Šifrovací produkty a certifikace

3.2.2012

Jak to v praxi bývá, čas od času se ve větší organizaci vyskytne požadavek na tu či onu bezpečnostní certifikaci. Důvodů může být několik: legislativa, požadavky vedení společnosti, konkurenceschopnost, alibismus a jiné. Norem a předpisů v oblasti IT bezpečnosti existuje velké množství. Jak se v tom vyznat?

Bezpečnostní normy se dají třídit podle tematické podoblasti (např. řízení bezpečnosti, fyzická bezpečnost, informační bezpečnost), podle odvětví (průmysl, armáda, zdravotnictví, finance), země původu (nejčastěji USA, Velká Británie, Německo, Rusko) nebo podle působnosti dané normy (podnikové, národní, mezinárodní).
Certifikáty udělované na základě příslušných předpisů se liší nejen podmínkami získání, ale mimo jiné i kvalitou. Zajímavé z hlediska praxe jsou neoficiální certifikáty, tzv. referenční razítka. Produkt, který byl úspěšně implementován u leadera v daném oboru a ten souhlasil s vydáním např. integrační příručky, se mnohdy stává objektem zájmu dalších firem v oboru bez ohledu na další oficiální certifikace. V tomto textu se budu zabývat úzkou skupinou produktů pro šifrování dat, jejichž způsobilost se mnohdy měří počtem získaných certifikátů.
Rozhodnutí o konkrétní certifikaci bezpečnostního produktu většinou vychází ze snahy výrobce o úspěšné umístění produktu na trh. Častým nedorozuměním, se kterým se setkáváme v souvislosti s certifikací námi nabízených produktů, je značné zjednodušování a zobecňování daného osvědčení. Produkt, kterému je uděleno osvědčení o certifikaci (v naší oblasti typicky FIPS, Common Criteria nebo PCI DSS compliant), se považuje automaticky za bezpečný nehledě na jeho nasazení a zacházení s ním. Když mám „FIPSované“ zařízení, nemůže být přece žádný problém. Slýcháme i větu: „Auditoři po nás chtějí nějaký FIPS, čím vyšší úroveň, tím lepší.“ Na druhou stranu – zařízení nebo software testované podle určitých norem projde filtrem (bezpečnostním, uživatelským či kapitálovým), kterým neprojdou zařízení vysloveně nebezpečná.
Ať už nás k zavádění požadavků na certifikované produkty vedou jakékoli pohnutky, zaměřím se na potřeby zákazníků, kteří spravují vysoce citlivá data a osobní údaje. Mezi tyto zákazníky patří zejména banky, armáda, on-line poskytovatelé obchodních služeb a státní správa.
Z pohledu zabezpečení důvěrnosti a integrity citlivých dat bych je nejprve rozdělil na data uchovávaná v databázových systémech a data, která se vyskytují na pevných discích počítačů. V obou případech se jejich bezpečnost zajistí pomocí šifrovacích řešení, rozdíl je pouze v úrovni nasazení šifrování. V prvním případě přichází v úvahu šifrování databází a tokenizace, ve druhém šifrování disků a file-systémů. Oba případy si v následujících odstavcích popíšeme.
Šifrování databází
Výhodou dat uložených ve strukturovaných databázích je jejich logické uspořádání, které by se mělo podobat reálnému světu. Proto z databáze (tabulek či sloupců) musí být patrné, které údaje se budou vzhledem k vnějším i vnitřním požadavkům považovat za citlivé a budou podléhat zabezpečení či zvláštnímu režimu. Typicky se jedná o rodná čísla osob, hesla nebo čísla kreditních karet. Pokud máme rozhodnuto, která data se budou šifrovat, použijeme vhodné řešení: šifrování databázových tabulek (např. SafeNet ProtectDB) a/nebo tokenizaci.
Šifrování části databáze probíhá tak, že identifikujeme sloupce z tabulky, které budou zabezpečeny. Přidáme sloupec do stávající tabulky a do něj přesuneme zašifrované hodnoty původního sloupce. Šifrování a uložení původních dat je prováděno na externím hardwarovém zařízení. Následně se vynuluje původní sloupec s citlivými daty. Nakonec přejmenujeme tabulku a vytvoříme náhledy a triggery, aby se s tabulkou pracovalo stejně, jako když byla data v nezašifrované podobě (tím zajistíme on-line šifrování dat). Změny v aplikaci přistupující k databázi nejsou potřeba. Předností tohoto řešení je generování a uložení šifrovacích klíčů na externím hardwarovém zařízení DataSecure, centralizovaná správa uživatelů a klíčů a přenesení šifrovací zátěže z databázového stroje na externí hardware.
Ve specifických případech (nejčastěji z důvodů compliance s požadavky PCI DSS) se nasazuje tzv. tokenizace. Jedná se o nahrazení citlivých dat (většinou čísel kreditních karet) daty podobného formátu, která citlivá nejsou - tokenem. Originální citlivá data jsou bezpečně uložena v šifrované podobě. Šifrovací klíče se nacházejí v závislosti na konkrétním řešení buď na centrální šifrovací platformě (na jejím pevném disku), nebo bezpečněji v HSM modulu (viz rámeček). Výhody tokenizace jsou v transparentnosti procesu šifrování pro koncové uživatele (i aplikace) a ve vytvoření chráněné zóny pro citlivá data, která podléhá bezpečnostnímu auditu namísto celé databáze.
Šifrování souborů a pevných disků
V případě, že máme důležitá data uložená v souborech na různých místech (file-servery, uživatelské stanice, notebooky), vyvstávají oproti předchozí situaci další rizika: odcizení uživatelské stanice/notebooku a neautorizovaný přístup a manipulace se soubory. Zde považuji za užitečné nasazení systémů pro šifrování pevných disků a souborů.
Šifrování pevných disků a výměnných médií má smysl, když chcete zaručit, aby se kritická data nedostala ven z ukradeného nebo ztraceného pevného disku nebo laptopu. Šifrovací software kromě samotné ochrany dat přidá před login do operačního systému tzv. pre-boot autentizaci, po jejímž úspěšném absolvování se odšifruje klíč k datům na disku/partition a je možné transparentně disk používat. Pokud uživatel nezná přihlašovací údaje nebo nemá autentizační token chráněný PINem, objeví na disku jen nepoužitelná, zašifrovaná data. Šifrování výměnných médií (flash paměti, USB disky) se používá, aby nedocházelo k přenosu škodlivých souborů do firemní infrastruktury a naopak, abychom zamezili nekontrolovanému úniku dat z organizace.
Ochrana souborů a složek spočívá v jejich jednorázovém zašifrování s tím, že klíč má k dispozici pouze řádně autentizovaný uživatel s příslušnými právy. Každý soubor/složka je zašifrován unikátním klíčem FEK (File Encryption Key), přičemž klíče FEK jsou zašifrovány dalším symetrickým klíčem KEK (Key Encryption Key), který je generován a uložen na hardwarové platformě v počtu jeden KEK na file-server/stanici. U systému pro šifrování souborů a složek lze využít centralizovanou správu klíčů a šifrovacích politik na hardwarovém zařízení DataSecure. Bezpečnost jde dále posílit zavedením dvoufaktorové autentizace čipovými kartami nebo USB tokeny a použitím HSM zařízení pro bezpečné uložení hlavních šifrovacích klíčů.
Shrnutí
Představil jsem několik principiálních řešení pro ochranu dat typu Data-at-Rest. Každé má svá specifika a potenciální uživatele. Zároveň se tyto systémy dají podle potřeb organizace doplňovat a kombinovat. Vzhledem k úvodním odstavcům tohoto textu je potřeba uvést, že smysluplné nasazení kteréhokoli z uvedených řešení nepochybně zvyšuje úroveň bezpečnosti a tím i pravděpodobnost, že organizace úspěšně projde bezpečnostními audity. Při výběru konkrétních produktů doporučuji brát v úvahu nejen počet získaných certifikátů, ale důležité jsou i zkušenosti ostatních firem z oboru a existence referenční nebo integrační příručky dodávané výrobcem.
Společnost SafeNet Inc., jejíž produkty dodáváme na český a slovenský trh od roku 1993, klade mimořádný důraz na bezpečnost a použitelnost svých produktů, přičemž jejich kvalita se také odráží v dosažené certifikaci. 

Autor: Ing. Vladimír Kvíz   |   Sekce: Články   |   Tisk   |   Poslat článek známému


Související články


RSS kanál  |  XML Sitemap  |  Mapa webu  |  Redakční systém WebRedakce - NETservis s.r.o. © 2019

Použití obsahu těchto webových stránek je podmíněno souhlasem společnosti ASKON International.