Шифрование уровня Enterprise, сравниваем, обсуждаем

[dav 5]

Про энтерпрайз решения никакого обсуждения не было от McAfee, Sophos, Symantec, GuardianEdge. Или никто не использует?

Исследование Gartner в области защиты данных на мобильных устройствах 2009:

magic_q_mdp_sep_2009.pdf

magic_q_mdp_sep_2009.pdf

[Сергей Ильин 1538]

Продукты шифрования корпоративного уровня - горячая тема в свете всем известного ФЗ№152 и защиты ИСПДн, только вот сразу встает вопрос о сертификации этих решений ...

[lepa 30]

Юзаем McAfee (бывший SafeBoot). Сильно больших претензий нет, единственное - перед покупкой техники желательно протестить на совместимость.

[karmacoma 10]

Юзаем McAfee (бывший SafeBoot). Сильно больших претензий нет, единственное - перед покупкой техники желательно протестить на совместимость.

Lepa, либо мы знакомы, либо это совпадение, но мы тоже используем бывший SafeBot (McAfee)...

P.S.

В свете закона №152, это решение - не сертифицировано, но ввиду его качества/стоимости - довольно популярно.

[Сергей Ильин 1538]

но ввиду его качества/стоимости - довольно популярно.

А не могли бы вы рассказать, почему выбор пал именно на McAfee Endpoint Encryption (бывший SafeBoot Encryption)? И какие еще продукты рассматривались?

[Pavel Polyanskiy 65]

Используем Symantec Endpoint Encryption. Для предприятий - отличное решение, поскольку:

- Обладает централизованным управлением (via AD) и возможностью быстрого развертывания и мониторинга.

- Возможностью восстановления забытого/утерянного пароля 3-мя способами и через службу Help Desk.

- Шифрует все данные на диске, включая открытые файлы, временные файлы, файлы swap и т.д.

- Шифрует переносные накопители.

- Обеспечивает защиту в Windows pre-boot среде.

- Поддерживает гибкую систему администрирования: на одном laptop'е можно зарегистрировать до 250 пользователей,

у каждого будут свои учетные данные для расширования хранимой информации.

- Имеет несколько типов администраторов.

- Обеспечивает возможность single-sign-on и автоматической аутентификации пользователей на защищаемом устройстве.

- Защищает от атак типа "холодная загрузка"

P.S. Использует AES 128/256, пока не сертифицировано в России.

[nremezov 5]

Когда-то работал с GuardianEdge - ну ничего так, шифрует, SSO, восстановление.

Одна проблема - не работает если в ПК больше одного жёсткого диска (может уже ситуация изменилась)

[Алeксaндр Кoвaлев 0]

Коллеги,

Если говорить о рынке корпоративного шифрования, то есть также решения для защиты данных в серверных хранилищах и на магнитных лентах. Сам рынок и игроки на нем немного другие, тем не менее, если говорить о «шифровании уровня enterprise», то не стоит забывать и об этом сегменте.

[Pavel Polyanskiy 65]

Когда-то работал с GuardianEdge - ну ничего так, шифрует, SSO, восстановление.

Одна проблема - не работает если в ПК больше одного жёсткого диска (может уже ситуация изменилась)

Сейчас продукт Guardian Edge поддерживает полное шифрование (sector-by-sector) нескольких жестких дисков.

[Сергей Ильин 1538]

Как на практике обстоят дела с внедрением перечисленных выше решений? Все таки это не антивирус поставить, риски больше, да сам процесс принудительного шифрования жеских дисков занимает время, требуется обучение пользователей и т.п.

[Pavel Polyanskiy 65]

Как на практике обстоят дела с внедрением перечисленных выше решений? Все таки это не антивирус поставить, риски больше, да сам процесс принудительного шифрования жеских дисков занимает время, требуется обучение пользователей и т.п.

Symantec Endpoint Encryption достаточно прост в развертывании. Тут есть несколько вариантов, обычно создаются инсталляционные пакеты

с уже готовым набором функций (которые вбиваются администратором при создании пакета).

Потом пакеты переносят на рабочие станции/ноутбуки через знакомые всем Microsoft SMS или обычный GPO. Процесс ширфрования занимает обычно не более 10 минут.

От пользователей требуется только завести аккаунт на своем ноутбуке для входа в систему (в pre-Windows среде).

Если настроен single sign-on, то можно использовать 1 пароль для входа в pre-boot среду и в Windows.

После установки и зашифрования диска клиент SEE будет связываться с сервером управления и поддерживать определенный heartbeat с ним.

Т.е. на сервере будет отражена актуальная информация о клиентских станциях (например, ОС, состояние - зашифровано или нет и т.д.).

Очень удобно.

[dav 5]

Symantec Endpoint Encryption = ОЕМ GuardianEdge? Это так?

[karmacoma 10]

А не могли бы вы рассказать, почему выбор пал именно на McAfee Endpoint Encryption (бывший SafeBoot Encryption)? И какие еще продукты рассматривались?

1) Пробовали Zserver - но это несколько другой класс решений, и не для desktopo-v.

2) Пробовали Winmagic SecureDoc - довольно сложен в настройке...

3) Смотрели GuardianEdge - просто лично мне не понравилось (хотя это критерий сомнительный)

4) Пробовали McAfee Endpoint Encryption: понравилась простота, стоимость, функционал.

P.S. Посмотрел сообщение Павла Полянского про Symantec Endpoint Encryption. Хочется сказал Павлу большое спасибо за столь развернутый ответ. Видимо решение от Symantec 1 в 1 по функционалу с McAfee Endpoint Encryption (оно-то и понятно)... Хочется как-то узнать стоимость... Павел, не подскажите насчёт примерных цен? Понимаю что наличие руссифицированной версии для данных продуктов не обязательное условие, но всё-таки: "Симантек на русском языке?"...

Забыл добавить.

McAfee EE - не совсем корректно работает с некоторыми типами материнских план, поэтому переодически подвисает на аутентификации в pre-boot, что требует перезагрузки. Частоту зависаний сказать сложно, но они случаются...

Павел, с Symantec EE такие проблемы наблюдаются?

[Pavel Polyanskiy 65]

Symantec Endpoint Encryption = ОЕМ GuardianEdge? Это так?

Да, именно так. Продукт Guardian Edge выпускается под логотипом Symantec.

[Pavel Polyanskiy 65]

P.S. Посмотрел сообщение Павла Полянского про Symantec Endpoint Encryption. Хочется сказал Павлу большое спасибо за столь развернутый ответ. Видимо решение от Symantec 1 в 1 по функционалу с McAfee Endpoint Encryption (оно-то и понятно)... Хочется как-то узнать стоимость... Павел, не подскажите насчёт примерных цен? Понимаю что наличие руссифицированной версии для данных продуктов не обязательное условие, но всё-таки: "Симантек на русском языке?"...

Цены во многом зависят от объема и программы закупок Symantec (Express/Rewards/Gov/Ac)

Вот, например, цены для 50 пользователей c поддержкой на год:

ITEM DESCRIPTION QTY MSRP TOTAL

SYMC ENDPOINT ENCRYPTION FULL DISK 7.0 BNDL STD LIC EXPRESS BAND C BASIC 12MO 50 63,8$ 3190$

McAfee EE - не совсем корректно работает с некоторыми типами материнских план, поэтому переодически подвисает на аутентификации в pre-boot, что требует перезагрузки. Частоту зависаний сказать сложно, но они случаются...

Павел, с Symantec EE такие проблемы наблюдаются?

На самом деле однажды в SEE у меня возникла ошибка при шифровании диска на виртуальной машине VMware.

В любом случае, всегд есть hardware compatibility list где указано, какие жесткие диски/материнские платы поддерживаются.

[Ashot 110]

Есть еще решения от SecurStar (прородители True Crypt) и SafeNet (этот наряду, с упоменавшимся выше WinMagic'ом наиболее любим военными, но не нашими ). Ну и конечно PGP WDE в комплекте с Universal Server.

Но ИМХО Windows 7 BitLocker рулит и педалит, особенно после получения им FIPS Осталось только всех на Win 7 пересадить...

[Pavel Polyanskiy 65]

Но ИМХО Windows 7 BitLocker рулит и педалит, особенно после получения им FIPS Осталось только всех на Win 7 пересадить...

Чем же он так рулит?

Тот же SEE уже давно получил FIPS и EAL 2 по Common Criteria

У меня в свое время сложилось достаточно посредственное мнение о BitLocker. Чтобы им нормально пользоваться, нужно

очень много всего лишнего себе установить. А в рамках крупной компании это займет время.

[Ashot 110]

Тот же SEE уже давно получил FIPS и EAL 2 по Common Criteria

FIPS это не big deal (если это не Level 2, как у WinMagic). Это просто показатель, что MS серьезно взялось за BL. Ясно, что Guardian Edge (криптомодуль у SEE тотже самый) так же сертифицировались под FIPS - это must have для любого, кто занимается encryption.

А рулит BL именно в Win 7 (не Vista!). Какраз простотой развертывания, управления ключами (самое главное) и надежностью (качество файловых драйверов MS).

Да, тут (http://technet.microsoft.com/en-us/library/dd875547(WS.10).aspx) можно почитать "BitLocker Drive Encryption Deployment Guide for Windows 7"