http://www.altell.ru/

Опыт внедрения модуля доверенной загрузки нового поколения в крупном российском банке

Опыт внедрения модуля доверенной загрузки нового поколения в крупном российском банке

Обеспечение безопасности хранимой и передаваемой информации — один из важнейших аспектов работы информационной системы в любом банке. Отечественной компанией «АльтЭль» был разработан современный модуль доверенной загрузки ALTELL TRUST, применяющий совр

Обеспечение безопасности хранимой и передаваемой информации — один из важнейших аспектов работы информационной системы в любом банке. При этом основные усилия ИТ- и ИБ-департаментов банков обычно направлены на защиту ее ядра, в то время как автоматизированные рабочие места (АРМ) сотрудников обеспечиваются лишь базовым набором средств защиты: антивирусными программами, стандартными средствами аутентификации (смарт-карты, токены) и модулями доверенной загрузки (МДЗ).

Традиционные средства обеспечения доверенной загрузки не предоставляют возможности, необходимые на современном этапе развития информационных систем. Отсутствуют функции мониторинга и удаленного управления парком защищаемых устройств, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются мандатный контроль и ролевая модель доступа к информации, не гарантируется безопасность работы в виртуальных средах. Кроме того, существующие МДЗ не могут защитить от новых видов угроз, действующих на уровне BIOS (например, буткита Rakshasa).

Для решения данных проблем необходим кардинально новый подход, основанныйна использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также стандарта NIST и концепций Trusted Computing Group. В настоящее время единственным примером подобного решения может служить МДЗ нового поколения ALTELL TRUST, разработанный российской компанией «АльтЭль». С недавних пор он обеспечивает безопасность рабочих мест сотрудников в составе информационной системы одного из крупнейших российских банков, входящих в ТОП-5.

Возможности ALTELL TRUST

Основные требования к новому МДЗ, сформулированные специалистами банка, можно разделить на три группы: доверенная загрузка, удаленное управление, контроль и безопасность соединений. Под доверенной загрузкой понимается: контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы; двухфакторная аутентификация и мандатный контроль доступа до загрузки ОС; поддержка USB-идентификаторов и смарт-карт RuToken и eToken; поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов; поддержка сертификатов X.509.

Во вторую группу требований входят удаленное управление пользователями, конфигурациями, группами компьютеров; централизованное управление процессом обновления установленного ПО; поддержка Intel Active Management Technology (AMT).

Под контролем и безопасностью соединений понимается обеспечение безопасности соединений (TLS); журналирование действий пользователей и всех этапов работы BIOS; разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (ИТ-департамент); поддержка Intel Active Management Technology (AMT).

Представленные на рынке МДЗ не соответствовали выдвинутым требованиям, поэтому не могли быть применены. Специалисты компании «АльтЭль» предложили использовать для выполнения задачи свое решение ALTELL TRUST, доработанное в соответствии с пожеланиями клиента. Получившийся продукт полностью удовлетворил все запросы заказчика; в настоящее время в банке эксплуатируется 10 тыс. защищенных рабочих мест.

Процесс работы ALTELL TRUST можно показать на примере четырех сценариев: аутентификации пользователей, удаленного управления, сбора логов и защищенной работы на тонких клиентах.

Аутентификация пользователей до загрузки ОС

При данном сценарии после включения защищаемого устройства управление сразу передается ALTELL TRUST, с помощью которого производится начальная инициализация и проверка оборудования, самопроверка, а также проверка критических областей и файлов ОС. Далее запрашивается идентификационная информация пользователя на основе заданной конфигурации (обычный запрос логина/пароля либо двухфакторная авторизация с использованием USB-токена или смарт-карты).

trust_scenario_1_s.jpg

Многофакторная аутентификация пользователей

Полученная информация отправляется для проверки на серверы департамента ИБ (данные о пользователях синхронизованы с данными ИТ-департамента); в случае положительного результата проверки пользователю предоставляется доступ.

Удаленное управление парком защищаемых устройств

Удаленное управление ALTELL TRUST осуществляется с помощью двух консолей: для системного администратора (осуществляется с помощью плагина, устанавливаемого в MS SCCM) и для офицера безопасности (с помощью АРМ офицера безопасности). При этом офицер безопасности управляет правами пользователей (в том числе системных администраторов), сертификатами, журналами и аудитом, а системный администратор, обладая необходимыми правами, может обновлять программное обеспечение и выполнять другие присущие ему функции.

trust_scenario_2_s.jpg

Удаленное управление

Такая схема позволяет соблюсти необходимый уровень информационной безопасности, снижая затраты на администрирование и расширение инфраструктуры.

Централизованный сбор логов

ALTELL TRUST позволяет выгружать логи из защищаемых устройств в режиме реального времени. В журнал записываются факты аутентификации пользователей и включения/выключения АРМ, а также результаты проверки целостности BIOS, файловой системы, аппаратного и программного обеспечения.

trust_scenario_3_s.jpg

Централизованный сбор логов

Кроме этого, также ведется история локальных и удаленных действий администраторов. Офицер безопасности может работать с базой данных с помощью специализированного АРМ офицера безопасности.

Защищенная работа на тонких клиентах

Наличие полнофункционального стека сетевых протоколов позволяет использовать ALTELL TRUST в качестве единственного ПО тонких клиентов («нулевой клиент»), организовав защищенную работу с удаленными рабочими столами (VDI). Перед подключением к виртуальному рабочему столу осуществляется многофакторная авторизация пользователей с использованием USB-токена и смарт-карты.

trust_scenario_4_s.jpg

Организация защищенной работы через тонкие клиенты

Образы виртуальных рабочих столов хранятся на серверах и управляются централизованно, что позволяет осуществлять их быстрое клонирование, восстанавливать образы из резервного хранилища, а также сохранять или возвращать состояние такого образа в любой момент времени. Возможность переключаться между несколькими виртуальными машинами позволяет одновременно работать с информацией разного уровня секретности.

Основные преимущества использования ALTELL TRUST

Перечислим 7 основных преимуществ подобных схем работы. Существует возможность авторизации пользователей на LDAP-сервере (Active Directory) с применением сертификатов X.509. Это освобождает системных администраторов от необходимости заводить одних и тех же пользователей, т.к. все учетные записи хранятся централизованно. При необходимости (например, увольнении сотрудника) администратор может мгновенно удалить записи или отозвать сертификат пользователя, заблокировав для него вход в систему.

Есть возможность контроля целостности среды функционирования, т.е. самого BIOS (его модулей), что исключает установку и развертывание дополнительных UEFI-модулей. Кроме этого, появляется возможность контроля гипервизора уровня BIOS.

Контроль целостность программной среды, секторов жесткого диска и аппаратной конфигурации происходит непосредственно из МДЗ. Это позволяет отказаться от установки дополнительного программного обеспечения в ОС и делает ALTELL TRUST кроссплатформенным — он независим от ОС, установленной на рабочем месте.

Возможно адаптировать ALTELL TRUST для работы на ноутбуках, тонких клиентах, смартфонах и планшетах, т.е. любых мобильных решениях, не позволяющих установить обычную плату для обеспечения доверенной загрузки BIOS.

Исключается необходимость перехватывать или блокировать загрузку АРМ, как это делают традиционные МДЗ, т.к. ALTELL TRUST получает управление непосредственно от BIOS и выполняет все защитные механизмы.

Поддерживается механизм ролевого доступа. В классических МДЗ используются две роли: «Администратор» и «Пользователь». С точки зрения информационной безопасности эта схема имеет изъян, т.к. дает равные права системному администратору и ИБ‑специалисту. Исходя из задач системного администратора (установка/обновление/удаление ПО), ему достаточно обладать возможностью ставить или снимать с контроля целостность тех или иных файлов, в то время как задачи ИБ‑специалиста значительно шире. В ALTELL TRUST предусмотрено три роли: «Офицер безопасности», «Системный администратор» и «Пользователь». Схематично механизм разграничения прав можно представить следующим образом:

Группа пользователей Назначение прав доступа к ПК Доступ к данным на ПК Модификация АО и ПО
Офицер безопасности Да Нет Нет
Системный администратор Нет Нет Да, при одобрении Офицером безопасности
Пользователь Нет Да Нет

Есть возможность удаленного управления. Для этой цели предусмотрен плагин, устанавливаемый в Microsoft System Center Configuration Manager и предоставляющий возможность доступа к BIOS и функциям замка в режиме удаленного рабочего стола. Он собирает журналы безопасности со всех АРМ и импортирует их в другую систему, например, в СУБД Microsoft SQL Server.

При этом в ALTELL TRUST используются все распространенные средства защиты: двухфакторная идентификация и аутентификация пользователей до загрузки ОС, контроль целостности программной и аппаратной среды функционирования, сторожевой таймер на загрузку ОС и ведение журнала безопасности. В совокупности все характеристики ALTELL TRUST позволяют использовать более мощные защитные механизмы, чем есть у традиционных аппаратно-программных МДЗ, при этом обеспечивая централизованное администрирование.

Сравнение ALTELL TRUST и популярных аппаратно-программных модулей доверенной загрузки*

Функция TRUST Соболь Аккорд
Варианты исполнения UEFI BIOS PCI, PCIe, mini PCIe PCI, PCIe, mini PCIe, mini PCIe half
Идентификаторы eToken PRO (Java) + смарт-карты, Rutoken ЭЦП iButton, eToken PRO (Java) и eToken PRO+ смарт-карта, Rutoken + RF iButton и Шипка
Контроль целостности UEFI BIOS

Оборудования

Системных областей HDD

Файлов и секторов

Реестра Windows
+

+

+

+

+


+

+

+

+


+

+

+

+
Блокировка загрузки с внешних носителей/ загрузка с одного доверенного устройства + + +
Сторожевой таймер + + +
Датчик случайных чисел программный физический физический
Поддержка операционных систем любая все Windows, МСВС, RHEL, Mandriva и AltLinux любая, при условии использования поддерживаемой файловой системы
Поддерживаемые файловые системы FAT, NTFS, EXT2, EXT3 FAT, NTFS, EXT2, EXT3, UFS FAT, NTFS, EXT2, EXT3, Sol86FS, QNXFS
Ведение журнала безопасности + + +
Удаленный сбор логов/журналов +
Программная инициализация комплекса + +
Возможность криптографической аутентификации + +
Неизвлекаемость из АРМ +
Удаленное управление +
Защита сетевых соединений +
БД пользователей Энергонезависимая память

LDAP-сервер
+

+




Управление доступом на основе ролей +
Возможность реализации SSO +
Поддержка инфраструктуры PKI +
Цена, руб. 6 тыс. руб. 8,5 тыс. руб. 9 тыс. руб.

*Данные о ценах и характеристиках конкурирующих решений получены из открытых источников интернета в октябре 2013 г.

Подводя итог, можно уверенно сказать, что разработанное решение помогло обеспечить необходимый уровень информационной безопасности банка, одновременно снизив его расходы на администрирование и защиту информации.

В настоящее время ALTELL TRUST проходит сертификацию на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) по 3 уровню контроля и технических условий, а так же на возможность использования для создания автоматизированных систем класса защищенности до 1В включительно по требованиям документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Ориентировочный срок получения сертификатов — первый квартал 2014 г.

Вернуться на главную страницу обзора