Контакты
Подписка 2025

Защищаем здесь и сейчас. Новый Secret Disk для безопасного перехода на отечественный Linux

Денис Суховей, 29/11/23

Перевод рабочих станций на Linux неизбежен, несмотря на все сложности, которые ждут пользователей и администраторов. В силах разработчиков СЗИ сделать так, чтобы пользователи сразу получали возможность работать в безопасном рабочем пространстве на своем компьютере. Одним из таких решений определенно стал Secret Disk для Linux, который предотвращает утечки конфиденциальной информации с помощью шифрования на рабочих станциях и серверах с отечественными ОС. Давайте разберемся, почему.

Автор: Денис Суховей, руководитель департамента развития технологий компании Аладдин

– Денис, расскажите о причинах, побуждающих отечественные компании переводить рабочие станции на Linux.

– Проблема защиты данных на рабочих станциях и серверах всегда была актуальна. Еще несколько лет назад, когда в крупных компаниях безраздельно царила ОС Windows, типовым решением для защиты был встроенный в операционную систему инструмент BitLocker. Несмотря на противоречивое поведение компании Microsoft, BitLocker пользовался популярностью благодаря тому, что распространялся бесплатно. И хотя это казалось решением на века, под влиянием геополитической обстановки ситуация стала меняться. Недружественное и непредсказуемое поведение Microsoft по отношению к российским клиентам, начавшееся в последние несколько лет, породило множество рисков использования встроенных в ОС Windows криптографических средств. Самый критичный из них – угроза дистанционной блокировки компьютера со стороны Microsoft. Это сделало BitLocker своеобразным аналогом вируса-шифровальщика, который в любой момент может заблокировать все данные на рабочей станции пользователя. Под этой угрозой оказались сотни тысяч рабочих станций в отечественных компаниях.

Такие обстоятельства сместили фокус внимания бизнеса на использование российских средств шифрования. В этот период сильно вырос спрос на Secret Disk для Windows, так как продукт отвечал всем актуальным требованиям: надежный, функционально развитый, полностью отечественный и простой в эксплуатации.

– Где сейчас мы находимся на пути к "линуксизации"?

– Точка невозврата была пройдена. Следующим шагом стал неотвратимый переход на Linux. К сожалению, для всех это сложный и продолжительный процесс. Linux-окружение сильно отличается от знакомого пользователям Windows: нет привычных сервисов (служба каталогов, PKI, удостоверяющий центр, двухфакторная аутентификация и т.п.), далеко не все прикладное ПО адаптировано, у некоторых программных продуктов вовсе нет версий для Linux. При разработке средств защиты все эти проблемы должны быть обязательно учтены.

Большой переход

Примерно три года назад статистика начала отражать признаки перехода российских компаний на Linux. Основным мотиватором этого процесса стали показатели перехода на отечественные ОС и софт, диктуемые государством. Поэтому первыми в отчет о миграции попали сетевые сервисы, веб-серверы, почтовые серверы – другими словами, все то, что и так работало под Linux. Естественно, провести перевод на другую ОС для серверов бизнес-приложений, сложного промышленного софта, где почти все работает исключительно на Windows, нет никакой возможности. Так что сейчас первыми в очереди на миграцию оказались рабочие станции.

– Как пришла идея разрабатывать СЗИ под Linux? Ведь на момент создания продукта еще не было кризиса доверия западным поставщикам, спрос на такие решения был плавающий.

– Идея создания версии Secret Disk для Linux возникла естественным образом задолго до острой фазы геополитического конфликта. Причиной послужило активное развитие отечественных операционных систем. Мы являемся технологическими партнерами всех ключевых производителей ОС и видим в них большой потенциал. Дополнительным мотивом стала собираемая нами статистика: в первую волную импортозамещения попал перевод на Linux рабочих станций.

– Расскажите про Secret Disk для Linux. Какие задачи защиты информации он выполняет?

– Secret Disk для Linux – это система защиты информации на рабочих станциях и серверах для операционных систем семейства Linux. Продукт обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования. Secret Disk для Linux – это универсальный способ защитить чувствительные к утечке данные. С его помощью можно организовать для пользователя безопасное рабочее пространство, где он может создавать, хранить и редактировать свои файлы. Доступ к этому пространству будет недоступен как для злоумышленников, так и для условно доверенных лиц, например других пользователей или системного администратора.

В первую очередь в Secret Disk было реализовано шифрование виртуальных дисков в файловой структуре Linux: этот функционал крайне востребован, интуитивно понятен для использования и не требует экспертного знания криптографии.

Secret Disk может быть быстро развернут на большом количестве рабочих станций под управлением Linux благодаря централизованному управлению. На компьютерах пользователей работает программный агент, который обеспечивает криптографическую защиту информации и двухфакторную аутентификацию. С помощью агента информация о пользователях автоматически регистрируется в централизованной консоли управления.

centralized-management-1

Для пользователей и групп могут применяться шаблоны политик. Можно выбрать размер защищаемого виртуального диска, алгоритм шифрования, второй фактор аутентификации. Можно также установить формат файловой системы внутри виртуального диска.

– Чем Secret Disk отличается от других СЗИ для Linux?

– Secret Disk для Linux позволяет строить систему защиты большого количества рабочих станций, даже если в ИТ-инфраструктуре пока отсутствуют инфраструктурные сервисы. Бизнес-логика продукта не требует обязательного наличия в Linux-инфраструктуре компании службы каталогов, системы PKI и УЦ. Как упоминалось ранее, регистрация пользователей в консоли управления администратора происходит автоматически, согласно данным, полученным от агента. Продукт поддерживает распространенные инструменты доставки и развертывания ПО на Linux. Все это обеспечивает быстрый ввод в эксплуатацию.

Еще одна отличительная особенность – возможность управлять зашифровыванием информации на множестве рабочих станций одновременно и создавать динамические группы пользователей для применения политик шифрования.

Продукт полностью российский, сторонние компоненты и библиотеки в нем не используются. Secret Disk также регулярно сертифицируется и соответствует требованиям, предъявляемым как ФСТЭК, так и ФСБ.

– В чем еще уникальность продукта?

– Eще одним плюсом стала возможность легко портировать в новую среду сердце системы, криптографический движок Secret Disk Crypto Engine, и использовать его в версии для Linux. Crypto Engine – это материализация всего того, что компания Аладдин сегодня понимает в криптографии, его код проверен испытательными лабораториями и сертифицирован в ФСБ России, он предмет гордости разработчиков. Все функции безопасности компактно умещены в один модуль, который отвечает за аутентификацию, защиту данных, обеспечение конфиденциальности и шифрование.

Использование Secret Disk Crypto Engine – это залог того, что все функции из версии для Windows однажды появятся и в Secret Disk для Linux.

– В чем особенность разработки СЗИ для Linux?

– Разрабатывать СЗИ для работы на Linux на порядок сложнее, чем аналогичые средства защиты для Windows, поэтому развитие продуктов происходит не так быстро, как хотелось бы.

Во-первых, архитектура Windows предоставляет очень много встроенных возможностей для разработчиков: библиотеки, готовые компоненты, базовые сервисы. В Linux большая часть аналогичной экосистемы отсутствует, и все недостающее приходится разрабатывать самостоятельно. И это очень серьезная сложность для разработчиков.

Во-вторых, ОС Windows одна, она хорошо изучена, стабильна и предсказуема. На современном российском рынке представлен целый зоопарк различных дистрибутивов операционных систем. Основой каждого дистрибутива являются последние версии ядра Linux, но название не должно вводить в заблуждение: необходимо добиваться 100%-ной совместимости и отдельно учитывать особенности каждого из дистрибутивов, которые применяются в корпоративной среде (на данный момент самые активно развивающиеся продукты – это Astra Linux, "Альт" и "Ред ОС"). Поэтому себестоимость разработки Linux-совместимых продуктов в лучшем случае в три раза выше, а на самом деле еще и больше.

Но есть и плюсы. Они связаны с тем, что у российских вендоров появилась возможность заново реализовать свои программные средства с учетом новых требований. На ИБ-рынке сейчас распространена практика реализации требований безопасной разработки (Secure Development Lifecycle, SDL): ФСТЭК России уделяет этому много внимания. Стандарт разработки безопасных программных средств требует заметной перестройки процесса разработки, и переход на Linux – это возможность внедрить практики безопасной разработки.

По этому пути прошел и Secret Disk для Linux. В продукте нет наследия старого кода (Legacy Problem). На всех этапах жизненного цикла соблюдены требования к безопасности при разработке. Мы строго придерживаемся подхода Secure by Design.

Что в планах?

Встраивание в консоль управления Linux

В Linux с удобством использования все очень непросто. Разработчики Secret Disk стараются как минимум не добавить сложностей со своей стороны. Поэтому, помимо развития своих инструментов централизованного управления, идет работа над интеграцией в органы управления операционной системы: в консоли администратора ОС появится отдельная вкладка для настройки Secret Disk.

Интеграция с системным окном авторизации

Процесс входа пользователя в сеанс операционной системы должен быть удобным, для этого Secret Disk будет интегрирован с окном входа в систему Linux. Сейчас эта возможность предлагается как экспериментальная, но в последующих версиях она станет стандартной функцией, то есть Secret Disk позволит пользователю получить доступ сразу ко всем защищенным информационным активам после ввода пароля в операционную систему.

Важен вопрос и второго фактора: в новых версиях для двухфакторной аутентификации добавится целый набор методов – аппаратные токены, смарткарты, приложение с виртуальными токенами и др.

Шифрование системных разделов

Помимо шифрования виртуальных дисков, в следующих версиях Secret Disk добавится шифрование системных разделов. Таким образом, на рабочей станции будет зашифровано все, не только данные, но и сама операционная система, включая временные файлы, файлы подкачки, гибернации, свопы и др.

Эта возможность защитит от сценария, когда из утерянного или похищенного ноутбука извлекается жесткий диск и подключается к другому компьютеру.

Заключение

На Linux придется переходить всем, потому что работа на Windows в долгосрочной перспективе будет осложнена либо вовсе невозможна. Прежде всего это касается государственных предприятий, объектов КИИ и крупных операторов персональных данных, чьи требования к обеспечению безопасности информации особенно высоки. Вопрос защиты информации на Linux актуален уже сейчас как для организаций, перешедших на новую операционную систему, так и для тех, кто только планирует это. Secret Disk позволяет решить этот вопрос и обеспечить безопасный переход и защиту данных в период, когда в ИТ-инфраструктуре одновременно присутствует и Windows, и Linux. Разработчики постарались сделать Secret Disk для Linux не только функциональным, но и комфортным в эксплуатации для администраторов и незаметным для пользователя. Неудобств, связанных с переездом на новую операционную систему, у пользователя и так будет много, и команда Secret Disk учла все, чтобы их не добавить, при этом полностью защитив данные.

Темы:КриптографияLinuxВебмониторэксЖурнал "Информационная безопасность" №5, 2023Secret Disk

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...