Jste-li našimi věrnými a pozornými čtenáři, jistě vám předchozí dva díly tohoto
miniseriálu poodhalily mnohá úskalí snahy zajistit opravdu bezpečné uložen
í dat v podobě souborů a adresářových struktur.
Minulé pojednání, jež objasňovalo především problematiku uložení
šifrovacích klíčů, bylo zaměřeno na nejprostší způsob implementace: naším cílem
bylo ochránit jediný počítač, který nedisponoval žádnou speciální výbavou pro
pokročilou správu a nebyl členem žádné pokročilejší, centrálně spravované síťové
struktury. Protože takový scénář je udržitelný ve firemním prostředí spíše
výjimečně, v tomto díle zvýšíme nároky a situaci si zkomplikujeme. Konečně se
tak dostaneme do situace administrátora, pod jehož kuratelu spadá mnoho desítek
či stovek počítačů a uživatelů a správa každého jednotlivého „kusu“ bez určité
míry centralizace není prakticky zvládnutelná. Cílem je představit řešení, jež
dovolí ochranu souborů povýšit na spolehlivý pracovní nástroj, používaný
hromadně, a zároveň nás nebude nutit k nasazení nejrobustnějších technologií,
před nimiž máme respekt. Pokud jste však vyhraněnými příznivci technologií,
označovaných všeobecně jako infrastruktury s veřejnými klíči, považujte dnešní
díl za drobnou mezihru.
Scénář druhý: centrálně bez PKI
S nástroji pro silné šifrování je to až nápadně podobné jako třeba s ohněm nebo
zemním plynem: pod dohledem poučeného jedince jsou to dobří sluhové, ale
vymknou-li se, objeví se onen špatný pán. V nejedné rozsáhlejší síti můžete po
letmé konzultaci se správci zjistit, že možnosti šifrování souborového systému
uživatelé nejen nevyužívají, ale jsou jim přímo odepřeny: obava z bezděčné
ztráty dat při chybném použití, ztrátě šifrovacích klíčů či pádu hardwaru je
natolik silná, že potlačila jinak legitimní požadavky na ochranu dat. Ty jsou
mimo veškerou pochybnost zásadní: skutečné fyzické zabezpečení desktopových
strojů či přenosných počítačů s firemními daty pravděpodobně nikdy nebude
dosahovat takových parametrů, abychom zcizení či útok mohli vyloučit, samotný
způsob využití firemní výpočetní techniky přináší další komplikace v podobě
sdílení zdrojů, střídaní uživatelů na různých pracovních místech či zajištění
dostupnosti šifrovacích prostředků pro více uživatelů na jediné stanici.
Dosud dobře zvladatelná situace se nám tedy výrazně zkomplikovala díky síťové
komunikaci, jež nyní vstupuje do hry. Potřebujeme nejen chránit souborové
systémy jednotlivých úložišť – na stanicích či souborových serverech – před
přímým útokem, ale v souvislosti s běžnými způsoby použití firemních sítí
vystavujeme citlivé informace riziku při přenosu mimo disky mezi počítači a
stejným hrozbám čelí samotné šifrovací klíče. Navíc se nám s rostoucím počtem
uživatelů zvyšuje administrativní zátěž: veškeré operace je nutno automatizovat,
zálohy je potřeba provádět centrálně a na individuální přístup k jednotlivým
počítačům nezbývá příliš prostoru.
Naším cílem je tedy vybudovat zázemí pro služby na první pohled naprosto
samozřejmé: uživatel chce mít svá pracovní data dostupná prakticky kdykoliv a na
kterémkoliv počítači, my je chceme důkladně chránit šifrou a při tom všem se
nesmí ztratit či prozradit klíče. Shrnuto: úkol o to těžší, oč snáze vypadá. V
tomto díle se navíc cíleně vyhneme spolupráci s robustními infrastrukturami PKI
– důvodem je snaha oprostit řešení od dodatečné administrace a značných nákladů
na vybudování podpůrné struktury, jejíž zavedení vyžaduje opravdu pokročilý
návrh a náročnější správu. Jak už bylo naznačeno, příznivci PKI si příjdou na
své v příštím pokračování.
Jak rozplétáme síť?
V prostředí rozsáhlejších sítí s velkým množstvím uživatelů naráží návrhář či
administrátor, řešící problémy ochrany dat, na řadu typických obtíží. Služby,
jež jsou bez potřeby šifrování provozovány často velmi jednoduše a jejichž
správa není nijak obtížná, se mohou stát tvrdým oříškem. Podívejme se tedy na
nejběžnější problémy, jejichž řešení naleznete v následujících odstavcích.
První z obtíží je spojená s tradičním způsobem práce s pracovními daty ve formě
dokumentů či jiných souborů, jež bývají v centralizovaném prostředí běžně
ukládány na souborových serverech. Než přistoupíme k jejich ochraně, jsou
některé výhody plynoucí z tohoto rozvržení celkem jasné: většinou je snazší
zálohovat centrální úložiště než spoléhat na důslednou zálohu disků všech
lokálních uživatelských stanic. Uživateli je ve firemní síti lhostejno, odkud ke
svým transparentně uloženým datům přistoupí.
Přistoupíme-li k zavedení ochrany takto ukládaných souborů šifrou, nastanou
následující komplikace. Data z centrálního úložiště, kde mají být v zašifrovaném
stavu, musí po síti ke klientovi doputovat, což lze udělat v zásadě dvěma
způsoby: buď jsou přenesena v chráněné formě a uživatel je dešifruje až lokálně
na svém stroji, u nějž fyzicky pracuje, nebo jsou dešifrována již na serveru a
posléze přenesena dodatečně chráněným síťovým kanálem uživateli, například s
využitím technologie VPN. A kde jsou naše šifrovací klíče? V prvním případě musí
administrace zajistit, že příslušný klíč bude uživateli dostupný na kterémkoliv
potřebném počítači, v situaci druhé pak naopak nutně musí na centrálním
souborovém serveru ležet klíče všech potenciálních uživatelů, kteří by měli
oprávnění data použít. A navíc musíme zajistit onen šifrovaný síťový kanál, což
je starost navíc. No vida, a jaká to je na první pohled samozřejmá síťová
služba!
Druhým, opět poměrně samozřejmým požadavkem je sdílení souborových zdrojů větším
počtem uživatelů a jeho řízení. Funkcionalita, jež v běžných situacích bývá s
uspokojivými výsledky zajištěno prostřednictvím uživatelských oprávnění na
jednotlivých složkách či souborech, přístupných i po síti díky tradičním
protokolům SMB/CIFS (tedy službě sdílení souborů a tiskáren…) nebo FTP, se při
snaze o ochranu šifrou proměňuje v zapeklitý problém. K výše popsaným požadavkům
na chráněný síťový přenos a distribuci klíčů se připojuje požadavek na sdílení
klíče pro potřebná data, a to podle specifických požadavků jednotlivých
uživatelů. Problém bývá řešen opět různými pohledy na věc. Jednou možností je
definovat jednotlivá šifrovaná úložiště, jež jsou přímo určena specifické
skupině, z čehož posléze vyplývá princip sdílení klíče oprávněnými uživateli.
Jiný přístup je založen na opačném myšlenkovém postupu: klíč je svázán s
jednotlivým uživatelem a sdílení je řešeno tak, že potřebné soubory jsou
opakovaně šifrovány pro všechny zamýšlené příjemce jejich vlastním šifrovacím
klíčem. A tím jsme samozřejmě možnosti nevyčerpali.
Třetí okolností, jíž bychom neměli podcenit, je samotný problém generování,
průběžné ochrany a zálohování šifrovacích klíčů všech uživatelů. Správa rozsáhlé
sítě by nikdy neměla dopustit, aby šifrovací klíče vznikaly neřízeně na
jednotlivých počítačích uživatelů a dostávaly se tak mimo dohled a především
mimo zálohovací procedury – výsledkem může být jak bezděčná ztráta důležitých
dat třeba po pádu pevného disku, tak třeba znepřístupnění klíčových dokumentů
díky zlé vůli zhrzeného zaměstnance, jenž cíleně své klíče po použití poškodí či
zničí. Možnost obnovy klíčů po případné ztrátě a jejich doručení na počítač, kde
probíhá záchrana dat ze zálohy, by měly být rychlé a snadno proveditelné. V
neposlední řadě je také potřeba podřídit centrální správě hardwarové nosiče
šifrovacích klíčů, pokud je v našem prostředí pro zvýšení bezpečnosti používáme:
zapomenutí kontrolního pinu či ukládání nových hesel patří mezi nejběžnější
situace.
Zdá se vám již teď, že problémů nám přibylo? A to chceme chránit ty nejběžnější
ze služeb, na jejichž komfort jsme zvyklí! Pojďme se podívat na konkrétní
řešení, jak toho skutečně dosáhnout.
Varianta 1:
Windows a Encrypted File System
Prvním prostředkem, jenž využijeme k uspokojení nastíněných požadavků, bude náš
tradiční výchozí mechanismus – služba šifrování souborového systému ve Windows.
Pro její použití především hovoří, jak již víme, dostupnost v rámci Windows bez
dalších nákladů za pořizování softwaru, takže jejími možnostmi začneme i
tentokráte.
Ačkoliv to tak na první pohled možná nevypadá, EFS lze za určitých podmínek
použít i pro řešení scénářů s centrálními souborovými servery či sdílení
šifrovaných dat. V každém případě je však dobré vědět, že v takových situacích
je EFS dotlačeno na úplnou hranici svých možností, pakliže nechceme nasazovat
robustní infrastrukturu PKI.
Začněme problematikou sdílení šifrovaných souborů více uživateli zároveň. Takový
postup je možný pouze v případě, že souborový sys-
tém je realizován na platformě Windows 2003 Server či Windows XP, neboť starší
Windows 2000 sdílení více uživateli vylučují. Další komplikací je fakt, že EFS
nedovoluje přiřadit více paralelních uživatelů s přístupem na společnou
šifrovanou složku – vždy se jedná o vlastnost jednotlivých souborů. A do třetice
dodejme, že technologie EFS vylučuje použití jakéhosi „skupinového“ klíče, jenž
by byl pro všechny oprávněné uživatele oním univerzálním přístupovým
prostředkem. Je patrné, že plošné a řízené nasazení je na hraně možností.
V případě snahy implementovat souborový server s možností vzdálené práce
jednotlivých uživatelů s vlastní šifrovanou složkou rovněž máme jisté varianty.
Systém EFS dovoluje šifrovat data na počítači, na němž není uživatel
interaktivně přihlášen – jedinou, ovšem dosti zásadní podmínkou je, že ve
chvíli, kdy se uživatel o toto pokusí, musí již být na serveru uložen příslušný
šifrovací klíč. Jednou z možností, jak toho dosáhnout, je přenést na souborový
server profily uživatelů a tam je udržovat funkční a aktuální. Bezpečné úložiště
klíčů pro EFS je totiž s profilem pevně svázáno a vytvoření jakési nezávislé
databáze nepřipadá v úvahu. Velkou nepříjemností je, že pokud na toto
zapomeneme, požadavek klienta nemusí být odmítnut, ale souborový server si
vytvoří nový (!) klíč pro šifrování a ten bude samozřejmě odlišný od
stávajícího, jenž leží ve funkčním profilu.
Na závěr zmiňme, že řešení EFS pracuje s oběma možnostmi jak přenášet data po
síti, tedy právě třeba na onen souborový server. Pokud chcete spoléhat na
dodatečný chráněný síťový kanál (preferován je třeba populární IPSec), lze
přistupovat na server běžnou službou CIFS/SMB, tedy jako na tradiční sdílenou
složku. Naopak chráněnou síťovou cestu poskytne služba WebDAV, neboť ta běží
nad protokolem HTTP a jako „náklad“ přenáší soubory v šifrované podobě – jejich
zpřístupnění probíhá až na lokálním klientském počítači.
Z důvodů, jež jsme v těchto odstavcích zmínili, je patrné, že při snaze
uspokojit naše požadavky jsme se službou EFS dospěli na samotnou hranici rozumné
spravovatelnosti.
Varianta 2:
SODATSW-Desktop Security System AreaGuard
Systém ochrany dat AreaGuard, s jehož základními možnostmi jsme se seznámili v
minulém díle při práci s jedním počítačem, nabízí pro řešení výše nastíněných
problémů řadu zajímavých možností.
Vedle vlastního šifrovacího engine AreaGuard Notes, který jsme minule využívali
jako samostatný soběstačný nástroj, zde vstupuje do hry další modul s názvem
AreaGuard AdminKit. Tento program je primárně určen právě k centrální
administraci a pokrytí potřeb větší sítě, přičemž zmíněný nástroj AreaGuard
Notes se stává pod jeho vedením výkonnou jednotkou na všech cílových počítačích,
kde je potřeba s šifrovanými daty pracovat či odkud se uživatelé o toto pokusí.
Ve srovnání třeba s variantou v podobě EFS je koncepční řešení v tomto případě
odlišné. Našim požadavkům mnohem lépe vyhovuje skutečnost, že AreaGuard AdminKit
dovoluje spravovat různé kategorie šifrovacích klíčů a nastavení: pro soukromou
ochranu dat jednotlivých uživatelů na lokálních discích je určen klíč osobní,
bez nároků na možnost sdílení, na druhé straně speciálně k provozování
souborových serverů je určen klíč skupinový, jenž je ze své podstaty poskytnut
všem definovaným uživatelům pro sdílené úložiště. Samozřejmostí je nezávislý
chráněný distribuční kanál, jehož pomocí jsou potřebné šifrovací klíče
doručovány uživatelům na koncové stanice.
Vedle zmíněné koncepce různých typů klíčů přichází administrátorům na pomoc
další prostředky. Důležitou možností je sestavení hierarchické struktury
uživatelů podle nároků na šifrování a sdílení chráněných dat, v níž samozřejmě
figurují především skupiny určené pro sdílení klíčů. V této fázi je možné
využití propojení s adresářovou službou Active Directory, případně obecnou
databází LDAP, takže jednotlivé uživatele není nutné paralelně vytvářet v
interní databázi AdminKitu, i když tato možnost zde zůstává dále k dispozici.
Účinným prostředkem pro samotné prosazení potřebných nastavení je systém
„šifrovacích politik“. Ty jsou, spolu s potřebnými klíči, distribuovány na
klientské počítače a následně zpracovány a prováděny „klientskou“ aplikací
AreaGuard Notes. Dosažitelné jsou tedy plošná, konzistentní nastavení potřebných
parametrů a důsledná kontrola nad šifrovacími klíči, které uživatelé mají k
dispozici pro svou rutinní práci – cílová aplikace předává na řídící server
záznamy o své činnosti a momentální konfiguraci, takže nejsou potřebné dodatečné
prostředky ke kontrole.
Již v předchozích dílech jsme upozornili na rizika, jež vyplývají z ukládání
klíčů či hesel na lokálních počítačích. Systém AreaGuard Notes tomu čelí
možností centrální správy bezpečných hardwarových nosičů, třeba v podobě tokenů
připojovaných přes rozhraní USB. Aplikace AreaGuard AdminKit pak dovoluje jednak
přímou administraci těchto zařízení, jednak specifikaci politik, jejichž
prostřednictvím je vynuceno korektní použití hardwarových zařízení pro žádoucí
operace. Právě srovnání „bezplatné“ varianty EFS a systému Desktop Security
System AreaGuard dobře ilustruje, jakou přidanou hodnotu uživatel získává, pokud
investuje do specializovaného řešení. Základní výbava Windows nedisponuje řadou
důležitých možností a její nasazení v rozsáhlé síti je víceméně vázáno na
použití robustní struktury PKI. Bez dodatečného softwaru je řada požadavků
řešitelná obtížněji, někdy za cenu náročnější administrace. Systém AreaGuard
Notes je na druhou stranu dobrou ukázkou předem jasně navrženého řešení, jehož
cílem je vystačit si i bez implementace PKI a přesto nabídnout vyhovující
centrální správu.
Kam zamíříme příště?
Jak již bylo v tomto dílu několikrát naznačeno, při příštím setkání povedou naše
kroky již přímo k pokročilým scénářům, využívajícím zázemí struktur PKI. Ukážeme
si opět, jaké výhody nám přinese navázání ochrany souborů na existující PKI a co
lze v takových případech očekávat za výhody pro centrální správu. A pokud jste
nabyli dojmu, že tím bude problém s ochranou souborů vyřešen, nenechte se zmást:
další díl bude pojednávat o situacích, kdy se uživatel pokouší data zneužít či
zcizit jako oprávněný uživatel, a to třeba pomocí hardwarového nosiče.
Koneckonců věděli jste, že více než dvě třetiny útoků na data ve firemních
sítích mají na svědomí „vnitřní“ uživatelé? 05s0054/jp o
Nejen pevné disky, ale též výměnná média se mohou stát předmětem důsledné
ochrany souborových zdrojů. Na výběr je několik šifrovacích algoritmů.
Spolupráce s databází Active Directory zajišťuje integraci stávajících
uživatelských účtů a skupin.
Použití různých typů šifrovacích klíčů pro individuální či skupinovou práci
dovoluje předem jednoznačně vymezit přístupnost datových zdrojů.
Veškeré administrátorské operace, včetně správy hardwaro-vých komponent
(tokeny), jsou soustředěny v AreaGuard AdminKitu.
Základní a jednou z mála metod zálohování klíčů pro šifrování EFS stále zůstává
export do formátu PKSC 12.
Windows XP přinesly novinku v podobě podrobnější správy šifrovaných souborů, což
umožňuje sdílení mezi více uživateli.
Zajímavou možností pro zajištění bezpečného přenosu šifrovaných souborů po síti
je využití protokolu WebDAV.
Šifrování EFS je možné uživatelům rovněž odepřít, čímž lze případně předcházet
neočekávaným kalamitám.
PŘEDPLATNÉ
ČLÁNKY DO MAILU