Обзор CipherTrust Data Security Platform, платформы защиты данных


Обзор CipherTrust Data Security Platform, платформы защиты данных

CipherTrust Data Security Platform производства компании Thales представляет собой платформу, сочетающую функции обнаружения, классификации и защиты данных с инструментами гранулированного контроля доступа и централизованного управления криптографическими ключами. Её использование позволяет сократить объём ресурсов, направляемых компаниями на операции по защите данных, контролировать соблюдение корпоративных требований по безопасности, а также существенно снизить риски для бизнеса.

Сертификат AM Test Lab

Номер сертификата: 328

Дата выдачи: 10.02.2021

Срок действия: 10.02.2026

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура и функциональные возможности CipherTrust Data Security Platform
    1. 2.1. CipherTrust Manager
    2. 2.2. CipherTrust Transparent Encryption
    3. 2.3. CipherTrust Database Protection
    4. 2.4. CipherTrust Enterprise Key Management
    5. 2.5. CipherTrust Data Discovery and Classification
    6. 2.6. CipherTrust Tokenization
  3. Системные характеристики CipherTrust Data Security Platform
  4. Развёртывание CipherTrust Data Security Platform
  5. Пользовательский интерфейс администрирования CipherTrust Data Security Platform
  6. Сценарии применения CipherTrust Data Security Platform
    1. 6.1. Централизованное управление ключами компании
    2. 6.2. Защита сред больших данных
  7. Выводы

Введение

Ещё сравнительно недавно задача обеспечения комплексной защиты корпоративных данных решалась намного проще. Часто достаточно было внедрить систему защиты внешнего периметра, после чего у внешнего нарушителя оставалось не слишком много способов получения несанкционированного доступа к ним. Так же было и с данными, которые поступали от устройств и приложений, контролируемых ИТ- и ИБ-службами. Они хранились на полностью контролируемых компанией серверах и массивах памяти и при этом постоянно находились под надёжной защитой межсетевых экранов, отгораживающих их от внешних субъектов. Собственным сотрудникам при этом компании, как правило, по умолчанию доверяли.

В настоящее время огромные массивы данных поступают со стороны постоянно увеличивающегося числа приложений, пользователей, устройств, облачных сервисов и подключённого оборудования. Как правило, эти процессы сопровождаются стремительным сокращением объёмов информации, находящейся под контролем компании. С одной стороны, новые формы ведения бизнеса диктуют необходимость постоянного упрощения процедур доступа к данным из внешней среды. С другой — внедрение облачных технологий, служащих достижению этих целей, приводит к тому, что данные, пользователи и приложения оказываются за пределами физического контура компании. В число «инсайдеров», имеющих доступ к корпоративным данным, всё чаще парадоксальным образом попадают третьи лица, которые не работают на компанию.

В эпоху больших данных роль процессов обеспечения информационной безопасности (ИБ) не ограничивается защитой данных как таковой. Это обусловлено существенно выросшими объёмами информации, её высокой ценностью и разнородностью. Куда более важным фактором становится то влияние, которое оказывают процессы обеспечения ИБ на возможность успешной трансформации данных в информационные активы, служащие развитию бизнеса и повышению конкурентоспособности. Показательно, что за последнее время во многих странах была сформулирована идея о решающем значении безопасности бизнес-данных для обеспечения не только корпоративной, но и национальной безопасности.

Одна из насущных проблем заключается в том, что традиционные инструменты и технологии ИБ, разработанные для корпоративных информационных систем в прошлом, чаще всего не в состоянии удовлетворить требования по защите больших массивов неоднородных данных. Очевидный, а зачастую — и единственно возможный выход заключается в использовании платформы защиты данных, предоставляющей надёжный механизм защиты и управления доступом к данным для множества разнообразных сред и информационных систем.

Разумно предположить, что такая платформа должна в том или ином виде содержать как минимум следующие архитектурные уровни, начиная с самого нижнего.

Уровень контролируемых объектов — это структурированные (генерируемые бизнес-системами) и неструктурированные (генерируемые офисными системами) данные, безопасный доступ к которым должен регулироваться платформой. Соответствующие объекты могут поступать со стороны клиентов, традиционных файловых серверов и серверов баз данных, узлов передачи данных.

Уровень инструментов — это средства управления и контроля безопасности информации, предназначенные для интеграции в платформу. К данному уровню относится программное обеспечение (агенты) для шифрования / расшифрования данных, сканирования и классификации, интерфейсы интеграции с актуальным оборудованием и программным обеспечением.

Функциональный уровень — основной уровень платформы, который отвечает за реализацию её функций безопасности, анализ, а также управление — в том числе классификацией информационных активов, политиками безопасности, журналами регистрации событий и оповещениями.

Уровень пользовательского интерфейса — верхний уровень платформы, реализующий набор дружественных взаимоувязанных интерфейсов взаимодействия с операторами и администраторами безопасности в части настройки политик управления доступом, получения оповещений, подготовки отчётов, управления ролями пользователей, настройки механизмов шифрования и др.

Нужно отметить, что шифрование относится к числу основных механизмов обеспечения конфиденциальности данных в любой ИТ-среде, а управление криптографическими ключами составляет важную и наиболее сложно реализуемую функцию системы управления безопасностью. Для крупных корпоративных центров обработки данных задача эффективного управления ключами дополнительно усложняется за счёт большого объёма и высокого уровня распределённости информации, сервисов для её обработки и, соответственно, разнородных сервисов шифрования. Это обуславливает необходимость использования большого количества криптографических ключей, управление которыми и жизненный цикл которых могут сильно разниться в зависимости от информационной системы, политик безопасности и многих других факторов. Таким образом, в платформе защиты данных непременно должны быть реализованы механизмы, позволяющие компаниям успешно справляться со сложностями, присущими процессам управления криптографическими ключами.

Кроме того, следует учитывать, что многие фирмы в России, имеющие представительства в ЕС или обрабатывающие персональные данные лиц на территории ЕС, подпадают под действие Общего регламента защиты данных (General Data Protection Regulation, GDPR). Этот европейский документ имеет экстратерриториальное действие и распространяется на все компании, которые продают товары или оказывают услуги лицам, находящимся на территории ЕС, независимо от местонахождения самих компаний. Выполнение требований GDPR, а также иных международных нормативных требований представляет собой весьма непростую задачу, и предприятия вправе ожидать, что использование платформы защиты данных окажет существенную поддержку в деле её решения.

Компания Thales, обладающая обширным опытом разработки решений в области обеспечения информационной безопасности, в сентябре этого года выпустила собственную платформу защиты данных CipherTrust Data Security Platform (далее также — CDP). Интересная особенность этой платформы заключается в том, что в ней объединены как новые, так и уже прошедшие проверку временем модули, в совокупности реализующие функции обнаружения и классификации данных, шифрования, токенизации, управления доступом и работы с криптографическими ключами.

Реализация указанных функций вкупе с предоставлением гибких возможностей по обеспечению эксплуатационной однородности при работе в мультиоблачном окружении даёт CDP полное право претендовать на статус платформы, позволяющей компаниям различных размеров и форм собственности комплексно решать рассмотренные задачи по обеспечению защиты данных.

Архитектурные особенности, функциональные возможности и различные аспекты применения платформы от Thales на практике заслуживают более детального исследования.

Архитектура и функциональные возможности CipherTrust Data Security Platform

Платформа защиты данных CipherTrust Data Security Platform предоставляет компаниям следующие основные возможности:

  • Прозрачное шифрование файлов и полей баз данных.
  • Защита данных на уровне приложений с помощью шифрования.
  • Шифрование с сохранением формата данных.
  • Статическое и динамическое (токенизация) маскирование данных.
  • Дополнительный уровень контроля доступа к данным, в том числе для привилегированных пользователей.
  • Обнаружение и классификация данных, включая анализ рисков и визуализацию.
  • Централизованная защита и управление ключами для корпоративных и мультиоблачных сред, в том числе ключами шифрования баз данных (Oracle, Microsoft SQL Server, виртуальных машин VMWare, СХД, сред больших данных и др.).
  • Единая консоль для централизованного управления.
  • Мониторинг и отчётность.
  • Поддержка большого числа международных стандартов, регламентов и спецификаций в области ИБ (GDPR, PCI DSS и др.).

Функции платформы реализуются совокупностью входящих в её состав модулей, каждый из которых предоставляет весьма широкий набор возможностей. Целесообразно подробнее рассказать о тех модулях, которые предположительно должны быть наиболее востребованными на российском рынке ИБ.

CipherTrust Manager

Как показано на рисунке 1, CipherTrust Manager представляет собой своего рода ядро платформы, реализует функции центра управления безопасностью, а именно обеспечивает управление криптографическими ключами, гранулированный контроль доступа и настройку политик безопасности.

 

Рисунок 1. Функциональная архитектура CipherTrust Data Security Platform

Функциональная архитектура CipherTrust Data Security Platform

 

Основные возможности, предоставляемые модулем CipherTrust Manager:

  • Управление жизненным циклом ключей шифрования (генерация, ротация, уничтожение, импорт и экспорт).
  • Контроль доступа к ключам и политикам на основе ролей.
  • Поддержка возможности проведения аудита и составления отчётов.
  • Предоставление дружественного REST API для целей разработки и управления.
  • Возможность развёртывания как в аппаратном исполнении (модификации k470, k570), так и в виртуальной среде (модификации k170v, k470v).
  • Соответствие требованиям FIPS 140-2 (до 3-го уровня).
  • Возможность интеграции с HSM, например Thales Luna и Luna Cloud HSM.

CipherTrust Transparent Encryption

Модуль CipherTrust Transparent Encryption обеспечивает шифрование данных при их хранении, управление доступом пользователей, в том числе привилегированных, и детализированную регистрацию событий, связанных с доступом к информации.

С помощью программных агентов CipherTrust Transparent Encryption обеспечивается защита на уровне файлов, томов дисков и БД в операционных системах Windows, AIX и Linux на физических и виртуальных серверах, в облачных средах, контейнерах и в средах больших данных. Расширение Live Data Transformation для CipherTrust Transparent Encryption обеспечивает непрерывный доступ к данным при их трансформации (шифровании и замене ключей). Журналы регистрации событий и аналитические отчёты, содержащие данные о проведённых расследованиях, могут использоваться для обнаружения угроз с привлечением SIEM-систем, а также для подготовки отчётности о выполнении нормативных требований.

 

Рисунок 2. Функциональная архитектура модуля CipherTrust Transparent Encryption из состава CipherTrust Data Security Platform

Функциональная архитектура модуля CipherTrust Transparent Encryption из состава CipherTrust Data Security Platform

 

Развёртывание модуля не представляет большой сложности, не требует специальных знаний и занимает совсем немного времени.

Решения на базе CipherTrust Transparent Encryption являются масштабируемыми за счёт использования архитектуры агентского типа: клиентская часть CipherTrust Transparent Encryption по своей физической природе представляет собой набор драйверов уровня ядра, которые устанавливаются в стеке ОС на уровне выше файловой системы и томов жёсткого диска.

Операции шифрования / расшифрования данных, управления доступом на основе политик и аудита осуществляются агентами прозрачно для всех авторизованных приложений, функционирующих на вышестоящих уровнях. Внедрение программного обеспечения для шифрования производится бесшовно, работоспособность целевой системы сохраняется даже во время развёртывания или удаления программного обеспечения.

Решение на базе CipherTrust Transparent Encryption позволяет компаниям определять политики, которые проверяются перед предоставлением доступа к так называемым «GuardPoints», т. е. гранулированно защищённым ресурсам. GuardPoint может представлять собой том жёсткого диска, набор папок или файлов, каталог или корзину AWS S3, где размещены неструктурированные файлы или элементы структурированной базы данных. Политика определяет то, какой пользователь или процесс может получить доступ к GuardPoint и в какой период времени, а также перечень разрешённых операций и результирующие действия (разрешение / запрет, применение ключа для шифрования / расшифрования, аудит доступа пользователя).

Можно также настроить гранулированные политики управления доступом таким образом, чтобы ограничить область воздействия со стороны привилегированных пользователей (учётная запись «root», администраторы домена) только административными задачами, такими как резервное копирование, обновление, комплекс работ по обслуживанию оборудования и т. п., без предоставления возможностей по расшифрованию конфиденциальных данных. Также при правильной конфигурации пресекаются любые попытки вредоносных программ скрытным образом повысить привилегии пользователя.

Ещё можно определить политики для создания белого списка «доверенных» приложений, чтобы предотвратить доступ со стороны ненадёжных исполняемых файлов — например, программ-вымогателей — к хранилищам данных (GuardPoints), защищённым агентом CipherTrust Transparent Encryption.

CipherTrust Database Protection

CipherTrust Database Protection позволяет интегрировать в СУБД механизмы шифрования полей, содержащих конфиденциальную информацию. При этом обеспечивается централизованное управление ключами и отсутствует необходимость модификации приложений по работе с базами данных.

 

Рисунок 3. Функциональная архитектура модуля CipherTrust Database Protection из состава CipherTrust Data Security Platform

Функциональная архитектура модуля CipherTrust Database Protection из состава CipherTrust Data Security Platform

 

CipherTrust Database Protection поддерживает СУБД Oracle, Microsoft SQL Server, IBM DB2 и Teradata; алгоритмы шифрования AES, 3DES, FF3, FF1, RSA, ECC; операционные системы Microsoft Windows, Linux, Solaris, HP-UX, AIX; основные облачные платформы, включая AWS, Microsoft Azure и VMware.

CipherTrust Enterprise Key Management

CipherTrust Enterprise Key Management позволяет в соответствии с лучшими практиками и стандартами реализовывать централизованные промышленные решения по управлению ключами шифрования и политиками для сторонних инструментов: Microsoft SQL TDE, Oracle TDE и средств шифрования, совместимых с KMIP.

Решения на базе CipherTrust Enterprise Key Management призваны упростить административные задачи по управлению ключами шифрования с целью предоставления гарантий безопасности в отношении этих ключей и обеспечения возможности доступа к ним исключительно со стороны авторизованных служб.

 

Рисунок 4. Функциональная архитектура CipherTrust Enterprise Key Management из состава CipherTrust Data Security Platform

Функциональная архитектура CipherTrust Enterprise Key Management из состава CipherTrust Data Security Platform

 

Модули CipherTrust Enterprise Key Management поддерживают множество различных сценариев использования, включая следующие:

  • Модуль CipherTrust LUKS Key Management обеспечивает прозрачное шифрование диска для Linux. Агенты LUKS позволяют централизованно управлять ключами шифрования для разделов дисков Linux.
  • Модуль CipherTrust Cloud Key Manager упрощает процедуры управления в рамках концепции «bring your own key» (BYOK) на платформах Amazon Web Services, Microsoft Azure, Salesforce, IBM и Google Cloud.
  • Модуль CipherTrust KMIP Server обеспечивает централизованное управление клиентами KMIP, включая поддержку полного шифрования дисков (FDE), шифрования vSAN, возможность работы с большими данными, ленточными архивами, СУБД IBM DB2, VMware vSphere и т. д.
  • Модуль CipherTrust TDE Key Management обеспечивает поддержку различных СУБД, включая Oracle, Microsoft SQL и Microsoft Always Encrypted.

Немного задержимся на двух последних модулях, представляющих отдельный интерес.

Нужно отметить, что CipherTrust Manager предлагает всестороннюю поддержку стандарта KMIP. Любое устройство или клиентское программное обеспечение, поддерживающее KMIP, может взаимодействовать с CipherTrust Manager для облегчения процедур управления ключами шифрования. Наиболее показательные примеры KMIP-клиентов — системы управления в гиперконвергентных средах (Nutanix), самошифрующиеся диски в системах хранения данных (Netapp, Dell, IBM, HPE), нативное шифрование в базах данных нового поколения и инфраструктурах виртуализации.

Обобщённый порядок действий по организации взаимодействия с KMIP-клиентом выглядит следующим образом. Для начала нужно добавить запись о KMIP-клиенте в CipherTrust Manager, определить его параметры для регистрации. Затем необходимо установить доверие между CipherTrust Manager и KMIP-клиентом. И, наконец, остаётся зарегистрировать KMIP-клиент в CipherTrust Manager для получения возможности организации TLS-соединения с двусторонней аутентификацией между ним и серверами. После завершения процедуры регистрации будет сгенерирован сертификат для KMIP-клиента.

Что касается управления ключами шифрования для нативных решений по прозрачному шифрованию данных (Transparent Data Encryption, TDE), здесь мы имеем дело с классической задачей изолированного и безопасного хранения ключей отдельно от активов, которые они защищают, — это своего рода лучшая практика в области шифрования данных.

Решения на базе CipherTrust TDE Key Management позволяют централизовать процессы управления ключами для размещённых в облаке хранилищ Microsoft SQL Server и Oracle Database, достигая высокой степени контроля над ключами при одновременном повышении уровня защищённости данных.

Так, CipherTrust дополняет нативный TDE Microsoft SQL Server, обеспечивая безопасное хранение и администрирование ключей, используемых в схеме шифрования базы данных. TDE Microsoft зашифровывает конфиденциальные данные в базе SQL с помощью ключей шифрования базы данных (DEK), а продукт Thales со своей стороны взаимодействует с Microsoft Extensible Key Management (EKM) для защиты ключей DEK с помощью мастер-ключей KEK, хранящихся в CipherTrust Manager, совместимом с FIPS 140-2.

Схожим образом CipherTrust Manager дополняет нативный TDE Oracle Database, предоставляя возможность централизованного хранения ключей шифрования Oracle Database и управления ими.

CipherTrust Data Discovery and Classification

CipherTrust Data Discovery and Classification предназначен для обнаружения структурированной и неструктурированной конфиденциальной информации в традиционных хранилищах, таких как файловые системы и базы данных, а также облачных средах, массивах больших данных. Единая консоль мониторинга позволяет:

  • выявлять конфиденциальные данные и определять связанные с ними риски,
  • способствовать принятию взвешенных решений об устранении недостатков в системе защиты,
  • приоритизировать и в ближайшем будущем автоматизировать выполнение задач по устранению недостатков и достижению соответствия нормативным требованиям.

Рисунок 5. Функциональная архитектура CipherTrust Data Discovery and Classification из состава CipherTrust Data Security Platform

Функциональная архитектура CipherTrust Data Discovery and Classification из состава CipherTrust Data Security Platform

 

CipherTrust Tokenization

CipherTrust Tokenization позволяет сократить стоимость и сложность соблюдения стандартов безопасности данных наподобие PCI DSS. Механизм токенизации позволяет заменять конфиденциальные данные специальным токеном таким образом, что конфиденциальная информация больше не хранится в базе данных бизнес-приложения и, соответственно, становится недоступной для неавторизованного обращения к ней. При этом замена проходит прозрачно для бизнес-пользователей.

Модуль доступен в вариантах с защищённым хранилищем исходных данных и без него. Поддерживаются функции динамической маскировки данных на основе политик и генерации токенов в приложениях через RESTful API.

 

Рисунок 6. Функциональная архитектура CipherTrust Tokenization из состава CipherTrust Data Security Platform

Функциональная архитектура CipherTrust Tokenization из состава CipherTrust Data Security Platform

 

Системные характеристики CipherTrust Data Security Platform

В целом CipherTrust Data Security Platform как совокупность функциональных модулей поддерживает следующие технологии и среды.

  • IaaS, PaaS и SaaS: Amazon Web Services, Google Cloud Platform, Microsoft Azure, IBM Cloud, Salesforce, Microsoft Office 365.
  • ОС: Linux, Windows, AIX.
  • Cреды больших данных: Hadoop, NoSQL, SAP HANA, Teradata.
  • СУБД: IBM DB2, Microsoft SQL Server, MongoDB, MySQL, NoSQL, Oracle, Sybase и др.
  • Контейнеры: Docker, Red Hat OpenShift.
  • Любые хранилища данных.

Развёртывание CipherTrust Data Security Platform

Для целей настоящего обзора было принято решение развернуть виртуальный образ CipherTrust Manager в исполнении «k170v» в среде виртуализации VMware. Данный способ позволяет без каких бы то ни было затруднений получить доступ к графическому интерфейсу администрирования CipherTrust Data Security Platform с тем, чтобы ознакомиться с предоставляемыми им возможностями.

Процедура развёртывания включает всего несколько шагов:

  1. Импортирование OVA-файла образа с помощью возможностей среды виртуализации (мы использовали VMware Workstation Pro).
  2. Настройка для импортированной виртуальной машины сетевого адаптера таким образом, чтобы можно было установить с ней сетевое соединение из хостовой операционной системы.
  3. Загрузка виртуальной машины.
  4. Обращение к развёрнутому серверу из хостовой операционной системы посредством веб-браузера по адресу, указанному в окне приглашения.

Рисунок 7. Стартовое окно сервера CipherTrust

Стартовое окно сервера CipherTrust

 

  1. Ввод в соответствующее поле стартовой веб-страницы CipherTrust Manager k170v открытого ключа SSH администратора. Этот ключ можно сгенерировать с помощью утилиты PuTTYgen или ей подобной. Сгенерированный открытый ключ нужно сохранить в безопасном месте, поскольку впоследствии он используется для доступа к серверу по SSH.

Рисунок 8. Ввод открытого ключа SSH при первом подключении к CipherTrust Manager

Ввод открытого ключа SSH при первом подключении к CipherTrust Manager

 

  1. Вход в систему CipherTrust Manager k170v с помощью логина и пароля по умолчанию (admin / admin) и задание нового пароля для пользователя в соответствии с установленными политиками.

Рисунок 9. Смена пароля по умолчанию при первом подключении к CipherTrust Manager

Смена пароля по умолчанию при первом подключении к CipherTrust Manager

 

На этом можно считать развёртывание CipherTrust Manager завершённым.

Пользовательский интерфейс администрирования CipherTrust Data Security Platform

После выполнения всех процедур, описанных в предыдущем разделе, веб-страница CipherTrust Manager приобретает примерно следующий вид.

 

Рисунок 10. Графическое меню администрирования CipherTrust Manager

Графическое меню администрирования CipherTrust Manager

 

Как мы уже успели убедиться, платформа предоставляет значительное число функциональных возможностей. В эксплуатационной документации, которая исчисляется сотнями страниц, содержится очень подробное описание всех нюансов, связанных с администрированием платформы. В рамках настоящего обзора нет нужды даже пытаться охватить всё разом, поскольку каждый функциональный модуль имеет потенциал для отдельного предметного исследования. Однако для общего представления о пользовательском интерфейсе администрирования платформы целесообразно привести несколько характерных примеров.

На рисунке ниже представлены элементы управления, предназначенные для поиска зарегистрированных клиентов модуля CipherTrust Transparent Encryption (CTE). Отметим, что под CTE-клиентом понимается компьютер, на котором размещены подлежащие защите данные и установлен агент CipherTrust Transparent Encryption.

 

Рисунок 11. Поиск зарегистрированных CTE-клиентов в интерфейсе администрирования CipherTrust Manager

Поиск зарегистрированных CTE-клиентов в интерфейсе администрирования CipherTrust Manager

 

Сразу бросается в глаза, что пользовательский интерфейс администрирования выглядит и современно, и лаконично, и при этом несёт в себе большую полезную нагрузку. С одной стороны, приведённый фрагмент интерфейса представляется немного разреженным. С другой — нужно признать, что на относительно небольшой площади размещено весьма много элементов управления: здесь — и строка поиска, и подробная информация об обнаруженном клиенте в табличном виде, и инструментарий выбора клиентов в списке, сортировки списка, настройки отображения элементов и т. д.

А вот как выглядит элемент управления, позволяющий просмотреть статистические данные по всем зарегистрированным CTE-клиентам. Очевидно, для того чтобы в считаные секунды оценить текущую ситуацию с CTE-клиентами, не требуется даже обращения за справкой к эксплуатационной документации.

 

Рисунок 12. Просмотр статистических сведений о зарегистрированных CTE-клиентах в интерфейсе администрирования CipherTrust Manager

Просмотр статистических сведений о зарегистрированных CTE-клиентах в интерфейсе администрирования CipherTrust Manager

 

На рисунке 13 приведён ещё один показательный, на наш взгляд, пример несколько иного плана. Сперва может показаться, что окно перегружено текстом. Однако стоит только принять во внимание, что соответствующий раздел администрирования предназначен для создания политики защиты — крайне ответственной процедуры, — как выбранный обстоятельный и размеренный подход начинает казаться единственно верным.

Подробные пояснения к каждому значимому элементу (как и в примере выше, необходимость обращения к документации исключена, но этот эффект достигается совершенно иным образом), концепция мастера пошаговой настройки, всплывающие подтверждения — всё это заставляет пользователя проникнуться идеей важности выполняемой процедуры.

 

Рисунок 13. Создание политики в интерфейсе администрирования CipherTrust Manager

Создание политики в интерфейсе администрирования CipherTrust Manager

 

Сценарии применения CipherTrust Data Security Platform

Централизованное управление ключами компании

Проблема

Широкое внедрение решений в области шифрования данных, безусловно, способствует повышению уровня безопасности, но при этом компании сталкиваются с побочным эффектом в виде существенного усложнения жизни для ИТ-служб, которым в создавшихся условиях приходится решать проблемы управления множеством криптографических ключей. Почти все автономные устройства хранения данных и многие СУБД поддерживают механизмы собственного встроенного шифрования, создавая своеобразные «островки». Проблема с этими криптографическими «островками» выражается в том, что ключи и программное обеспечение для управления ими от разных производителей обычно отличаются слабой совместимостью. Эксплуатация каждой отдельно взятой системы шифрования требует прохождения специального обучения. Это приводит к необходимости затрачивать существенные ресурсы ИТ-персонала на разрешение проблем совместимости.

Кроме того, не исключена вероятность общего снижения уровня безопасности компании. Когда системный администратор выполняет собственные процедуры управления ключами шифрования для каждого хранилища данных, ключи, как правило, хранятся в том же месте, что и зашифрованные данные. Подобный подход повышает риск компрометации механизмов безопасности.

Хранение и передача ключей шифрования в ручном режиме, отсутствие механизмов управления паролями, невозможность отзыва ключей при увольнении сотрудника из компании могут привести к утечке данных. Строгое соблюдение нормативных требований в такой ситуации крайне затруднительно.

Решение

Компонент CipherTrust Enterprise Key Management позволяет централизовать процессы управления ключами как для собственных программных разработок компании, так и для используемых готовых коммерческих продуктов. Решения на его базе взаимодействуют с приложениями через стандартные интерфейсы и предоставляют доступ к надёжным функциям управления ключами и шифрования.

 

Рисунок 14. Централизованное управление ключами компании на базе CipherTrust Enterprise Key Management

Централизованное управление ключами компании на базе CipherTrust Enterprise Key Management

 

CipherTrust Manager как ядро корпоративных решений управления ключами Thales поддерживает три основных стандарта взаимодействия, которые используются большинством поставщиков серверов, хранилищ и устройств, в настоящее время развёрнутых в ИТ-средах: PKCS#11, EKM / MSCAPI, OASIS KMIP.

Защита сред больших данных

Проблема

По мере стремительного роста объёмов частных и корпоративных данных по всему миру увеличивается и спрос на извлечение из них выгоды в той или иной форме, а также на предоставление услуг бизнес-анализа. Деятельность компаний существенным образом зависит от этой информации, поскольку та позволяет своевременно и с большей эффективностью удовлетворять потребности людей. Очень многие компании используют среды больших данных и значительное число таких сред реализовано в облаке, что предъявляет повышенные требования к обеспечению безопасности информации.

В указанных условиях актуальны проблемы безопасности как общего характера, так и специфические для сред больших данных:

  • Несанкционированный доступ к данным может не только привести к финансовым потерям, краже личных сведений и нанесению репутационного ущерба, но также спровоцировать нарушение компанией установленных нормативных требований.
  • Привилегированным пользователям предоставляется высокий уровень доступа к ресурсам корпоративной сети, необходимый для выполнения должностных обязанностей. Однако если эти пользователи являются нарушителями или если их учётные данные похищены, предоставление чрезмерно высокого уровня доступа может привести к серьёзной утечке данных.
  • Большие данные поступают из множества источников с высокой скоростью и степенью разнородности, но при этом в значительном объёме. Нарушение конфиденциальности данных, полученных из зарубежных стран, может составить очень существенную проблему для компаний, обрабатывающих большие данные.

Решение

Как мы уже убедились, CipherTrust Transparent Encryption позволяет компании реализовать гранулированное управление доступом и надёжное шифрование в средах больших данных.

Типичное развёртывание может включать в себя установку агентов прозрачного шифрования файлов на узлах хранения данных или интеграцию сервиса хранения или управления ключами с нативным шифрованием системы BigData. Прозрачное шифрование может производиться на уровне файловой системы Linux узлов хранения данных, а также на любых других узлах для защиты служебных файлов конфигурации, журналов и т. п. С использованием возможностей аппаратной поддержки шифрования современными процессорами дополнительные накладные расходы на выполнение операций шифрования / расшифрования минимальны, что особо полезно в условиях, когда имеются ограничения на скорость обработки данных и вычислительные мощности.

 

Рисунок 15. Защита сред больших данных на базе CipherTrust Transparent Encryption

Защита сред больших данных на базе CipherTrust Transparent Encryption

 

С использованием платформы CipherTrust для защиты сред больших данных компании могут рассчитывать на соответствие нормативным требованиям, предотвращение угроз со стороны привилегированных пользователей и обеспечение надёжной защиты с помощью механизмов шифрования данных.

Выводы

Число инцидентов, связанных с утечками корпоративных данных во всём мире, увеличивается с угрожающей скоростью, и в этих условиях защита конфиденциальных сведений приобретает для всех компаний критически важное значение. Помимо этого, предприятия прикладывают все усилия для того, чтобы соответствовать постоянно совершенствующимся международным и национальным требованиям по обеспечению конфиденциальности данных и защите облачных сред на фоне повышенного спроса на поддержку возможности работы огромного числа удалённых сотрудников.

Платформа CipherTrust Data Security Platform, предложенная Thales, призвана помочь компаниям защитить и обезопасить доступ к наиболее важным данным и программному обеспечению в рамках процессов создания, хранения или распространения информации — от облачных сред и центров обработки данных до устройств и сетей. Платформа позволяет безопасным образом перейти на использование облачной среды, одновременно обеспечивая соответствие требованиям безопасности.

Механизмы CDP постоянно совершенствуются. При этом платформа имеет исчерпывающую эксплуатационную документацию на все функциональные модули, входящие в её состав. Благоприятное впечатление оставляет то обстоятельство, что в состав документации включены разделы под описание известных ограничений, связанных с использованием платформы, и рекомендации по применению компенсирующих мер, позволяющих нивелировать возможный негативный эффект от их наличия. При этом следует отметить, что подавляющее большинство ограничений носит весьма специфический характер и вряд ли может составить существенную проблему для потребителя.

Достоинства:

  • Комплексная защита данных с большим набором возможных сценариев, в том числе централизованное управление ключами, шифрование, трансформация данных в режиме реального времени, токенизация с динамическим маскированием данных, управление доступом привилегированных пользователей к защищаемой информации и помощь в проведении расследований.
  • Обнаружение и классификация конфиденциальных данных в локальных средах, а также инфраструктурах больших данных и облаков с оценкой рисков для бизнеса и автоматизацией процессов их устранения с помощью набора коннекторов CipherTrust. Единая консоль управления упрощает администрирование коннекторов с помощью механизма лицензирования в режиме самообслуживания.
  • Гибкие возможности развёртывания: физическое или виртуальное устройство с гибридной кластеризацией для сред высокой доступности, поддержка мультиарендности. Продукт работает в различных типах окружения, защищает структурированные и неструктурированные данные при хранении независимо от формы их представления.
  • Обеспечение защиты в мультиоблачной среде, в том числе реализация мультиоблачного принципа Bring Your Own Encryption (BYOE), позволяющего избежать привязки к сервисам шифрования от конкретного поставщика услуг. Платформа предусматривает ряд сценариев для безопасного переноса производственных задач из локальной среды в облачную и обратно без потери контроля на всём протяжении процесса.
  • Соответствие FIPS 140-2, поддержка большого числа международных стандартов, регламентов и спецификаций в области ИБ (GDPR, PCI DSS, HIPAA и др.)
  • Наличие дружественного интерфейса программирования приложений (API). В состав платформы входит ряд модулей, которые позволяют разработчикам самостоятельно добавлять усиленные механизмы защиты данных на уровне приложений и при этом не требуют чрезмерно высокого уровня квалификации в области криптографии.
  • Обширная партнёрская экосистема. Платформа предлагает широкий набор партнёрских интеграций с ведущими корпоративными системами хранения, серверами, базами данных и SaaS, такими как NetApp, Dell EMC, Pure Storage, IBM, Oracle TDE, Teradata, ServiceNow, AWS, Microsoft Azure, Google Cloud и многие другие.
  • Развитая служба поддержки, функционирующая в режиме 24х7 и доступная по телефону и электронной почте; наличие современного портала поддержки клиентов, на котором размещаются доступное для скачивания программное обеспечение, актуальные версии эксплуатационных документов, база знаний, FAQ и пр.

Недостатки:

  • Отсутствие сертификатов соответствия требованиям по безопасности информации, действующим на территории Российской Федерации.
  • Отсутствие эксплуатационной документации на русском языке.
  • Весьма высокие требования к квалификации персонала для обеспечения эффективной эксплуатации функциональных возможностей платформы.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.