Защищаем здесь и сейчас. Новый Secret Disk для безопасного перехода на отечественный Linux
Денис Суховей, 29/11/23
Перевод рабочих станций на Linux неизбежен, несмотря на все сложности, которые ждут пользователей и администраторов. В силах разработчиков СЗИ сделать так, чтобы пользователи сразу получали возможность работать в безопасном рабочем пространстве на своем компьютере. Одним из таких решений определенно стал Secret Disk для Linux, который предотвращает утечки конфиденциальной информации с помощью шифрования на рабочих станциях и серверах с отечественными ОС. Давайте разберемся, почему.
Автор: Денис Суховей, руководитель департамента развития технологий компании Аладдин
– Денис, расскажите о причинах, побуждающих отечественные компании переводить рабочие станции на Linux.
– Проблема защиты данных на рабочих станциях и серверах всегда была актуальна. Еще несколько лет назад, когда в крупных компаниях безраздельно царила ОС Windows, типовым решением для защиты был встроенный в операционную систему инструмент BitLocker. Несмотря на противоречивое поведение компании Microsoft, BitLocker пользовался популярностью благодаря тому, что распространялся бесплатно. И хотя это казалось решением на века, под влиянием геополитической обстановки ситуация стала меняться. Недружественное и непредсказуемое поведение Microsoft по отношению к российским клиентам, начавшееся в последние несколько лет, породило множество рисков использования встроенных в ОС Windows криптографических средств. Самый критичный из них – угроза дистанционной блокировки компьютера со стороны Microsoft. Это сделало BitLocker своеобразным аналогом вируса-шифровальщика, который в любой момент может заблокировать все данные на рабочей станции пользователя. Под этой угрозой оказались сотни тысяч рабочих станций в отечественных компаниях.
Такие обстоятельства сместили фокус внимания бизнеса на использование российских средств шифрования. В этот период сильно вырос спрос на Secret Disk для Windows, так как продукт отвечал всем актуальным требованиям: надежный, функционально развитый, полностью отечественный и простой в эксплуатации.
– Где сейчас мы находимся на пути к "линуксизации"?
– Точка невозврата была пройдена. Следующим шагом стал неотвратимый переход на Linux. К сожалению, для всех это сложный и продолжительный процесс. Linux-окружение сильно отличается от знакомого пользователям Windows: нет привычных сервисов (служба каталогов, PKI, удостоверяющий центр, двухфакторная аутентификация и т.п.), далеко не все прикладное ПО адаптировано, у некоторых программных продуктов вовсе нет версий для Linux. При разработке средств защиты все эти проблемы должны быть обязательно учтены.
Большой переход
Примерно три года назад статистика начала отражать признаки перехода российских компаний на Linux. Основным мотиватором этого процесса стали показатели перехода на отечественные ОС и софт, диктуемые государством. Поэтому первыми в отчет о миграции попали сетевые сервисы, веб-серверы, почтовые серверы – другими словами, все то, что и так работало под Linux. Естественно, провести перевод на другую ОС для серверов бизнес-приложений, сложного промышленного софта, где почти все работает исключительно на Windows, нет никакой возможности. Так что сейчас первыми в очереди на миграцию оказались рабочие станции.
– Как пришла идея разрабатывать СЗИ под Linux? Ведь на момент создания продукта еще не было кризиса доверия западным поставщикам, спрос на такие решения был плавающий.
– Идея создания версии Secret Disk для Linux возникла естественным образом задолго до острой фазы геополитического конфликта. Причиной послужило активное развитие отечественных операционных систем. Мы являемся технологическими партнерами всех ключевых производителей ОС и видим в них большой потенциал. Дополнительным мотивом стала собираемая нами статистика: в первую волную импортозамещения попал перевод на Linux рабочих станций.
– Расскажите про Secret Disk для Linux. Какие задачи защиты информации он выполняет?
– Secret Disk для Linux – это система защиты информации на рабочих станциях и серверах для операционных систем семейства Linux. Продукт обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования. Secret Disk для Linux – это универсальный способ защитить чувствительные к утечке данные. С его помощью можно организовать для пользователя безопасное рабочее пространство, где он может создавать, хранить и редактировать свои файлы. Доступ к этому пространству будет недоступен как для злоумышленников, так и для условно доверенных лиц, например других пользователей или системного администратора.
В первую очередь в Secret Disk было реализовано шифрование виртуальных дисков в файловой структуре Linux: этот функционал крайне востребован, интуитивно понятен для использования и не требует экспертного знания криптографии.
Secret Disk может быть быстро развернут на большом количестве рабочих станций под управлением Linux благодаря централизованному управлению. На компьютерах пользователей работает программный агент, который обеспечивает криптографическую защиту информации и двухфакторную аутентификацию. С помощью агента информация о пользователях автоматически регистрируется в централизованной консоли управления.
Для пользователей и групп могут применяться шаблоны политик. Можно выбрать размер защищаемого виртуального диска, алгоритм шифрования, второй фактор аутентификации. Можно также установить формат файловой системы внутри виртуального диска.
– Чем Secret Disk отличается от других СЗИ для Linux?
– Secret Disk для Linux позволяет строить систему защиты большого количества рабочих станций, даже если в ИТ-инфраструктуре пока отсутствуют инфраструктурные сервисы. Бизнес-логика продукта не требует обязательного наличия в Linux-инфраструктуре компании службы каталогов, системы PKI и УЦ. Как упоминалось ранее, регистрация пользователей в консоли управления администратора происходит автоматически, согласно данным, полученным от агента. Продукт поддерживает распространенные инструменты доставки и развертывания ПО на Linux. Все это обеспечивает быстрый ввод в эксплуатацию.
Еще одна отличительная особенность – возможность управлять зашифровыванием информации на множестве рабочих станций одновременно и создавать динамические группы пользователей для применения политик шифрования.
Продукт полностью российский, сторонние компоненты и библиотеки в нем не используются. Secret Disk также регулярно сертифицируется и соответствует требованиям, предъявляемым как ФСТЭК, так и ФСБ.
– В чем еще уникальность продукта?
– Eще одним плюсом стала возможность легко портировать в новую среду сердце системы, криптографический движок Secret Disk Crypto Engine, и использовать его в версии для Linux. Crypto Engine – это материализация всего того, что компания Аладдин сегодня понимает в криптографии, его код проверен испытательными лабораториями и сертифицирован в ФСБ России, он предмет гордости разработчиков. Все функции безопасности компактно умещены в один модуль, который отвечает за аутентификацию, защиту данных, обеспечение конфиденциальности и шифрование.
Использование Secret Disk Crypto Engine – это залог того, что все функции из версии для Windows однажды появятся и в Secret Disk для Linux.
– В чем особенность разработки СЗИ для Linux?
– Разрабатывать СЗИ для работы на Linux на порядок сложнее, чем аналогичые средства защиты для Windows, поэтому развитие продуктов происходит не так быстро, как хотелось бы.
Во-первых, архитектура Windows предоставляет очень много встроенных возможностей для разработчиков: библиотеки, готовые компоненты, базовые сервисы. В Linux большая часть аналогичной экосистемы отсутствует, и все недостающее приходится разрабатывать самостоятельно. И это очень серьезная сложность для разработчиков.
Во-вторых, ОС Windows одна, она хорошо изучена, стабильна и предсказуема. На современном российском рынке представлен целый зоопарк различных дистрибутивов операционных систем. Основой каждого дистрибутива являются последние версии ядра Linux, но название не должно вводить в заблуждение: необходимо добиваться 100%-ной совместимости и отдельно учитывать особенности каждого из дистрибутивов, которые применяются в корпоративной среде (на данный момент самые активно развивающиеся продукты – это Astra Linux, "Альт" и "Ред ОС"). Поэтому себестоимость разработки Linux-совместимых продуктов в лучшем случае в три раза выше, а на самом деле еще и больше.
Но есть и плюсы. Они связаны с тем, что у российских вендоров появилась возможность заново реализовать свои программные средства с учетом новых требований. На ИБ-рынке сейчас распространена практика реализации требований безопасной разработки (Secure Development Lifecycle, SDL): ФСТЭК России уделяет этому много внимания. Стандарт разработки безопасных программных средств требует заметной перестройки процесса разработки, и переход на Linux – это возможность внедрить практики безопасной разработки.
По этому пути прошел и Secret Disk для Linux. В продукте нет наследия старого кода (Legacy Problem). На всех этапах жизненного цикла соблюдены требования к безопасности при разработке. Мы строго придерживаемся подхода Secure by Design.
Что в планах?
Встраивание в консоль управления Linux
В Linux с удобством использования все очень непросто. Разработчики Secret Disk стараются как минимум не добавить сложностей со своей стороны. Поэтому, помимо развития своих инструментов централизованного управления, идет работа над интеграцией в органы управления операционной системы: в консоли администратора ОС появится отдельная вкладка для настройки Secret Disk.
Интеграция с системным окном авторизации
Процесс входа пользователя в сеанс операционной системы должен быть удобным, для этого Secret Disk будет интегрирован с окном входа в систему Linux. Сейчас эта возможность предлагается как экспериментальная, но в последующих версиях она станет стандартной функцией, то есть Secret Disk позволит пользователю получить доступ сразу ко всем защищенным информационным активам после ввода пароля в операционную систему.
Важен вопрос и второго фактора: в новых версиях для двухфакторной аутентификации добавится целый набор методов – аппаратные токены, смарткарты, приложение с виртуальными токенами и др.
Шифрование системных разделов
Помимо шифрования виртуальных дисков, в следующих версиях Secret Disk добавится шифрование системных разделов. Таким образом, на рабочей станции будет зашифровано все, не только данные, но и сама операционная система, включая временные файлы, файлы подкачки, гибернации, свопы и др.
Эта возможность защитит от сценария, когда из утерянного или похищенного ноутбука извлекается жесткий диск и подключается к другому компьютеру.
Заключение
На Linux придется переходить всем, потому что работа на Windows в долгосрочной перспективе будет осложнена либо вовсе невозможна. Прежде всего это касается государственных предприятий, объектов КИИ и крупных операторов персональных данных, чьи требования к обеспечению безопасности информации особенно высоки. Вопрос защиты информации на Linux актуален уже сейчас как для организаций, перешедших на новую операционную систему, так и для тех, кто только планирует это. Secret Disk позволяет решить этот вопрос и обеспечить безопасный переход и защиту данных в период, когда в ИТ-инфраструктуре одновременно присутствует и Windows, и Linux. Разработчики постарались сделать Secret Disk для Linux не только функциональным, но и комфортным в эксплуатации для администраторов и незаметным для пользователя. Неудобств, связанных с переездом на новую операционную систему, у пользователя и так будет много, и команда Secret Disk учла все, чтобы их не добавить, при этом полностью защитив данные.