Мы занимаемся информационной безопасностью

Zecurion

Zserver

  1. Продукты
  2. Защита от утечек информации (DLP)

Zecurion Zserver (Storage Security)

Zecurion Zserver относится к программам для шифрования данных, файлов и папок. Программа предназначена для надежной защиты данных, которые хранятся и обрабатываются на серверах и записываются на носители для резервного копирования. Программа осуществляет шифрование информации, размещенной на жестких дисках, на дисковых массивах (RAID-массивы любых конфигураций) и в SAN-хранилищах, методом прозрачного шифрования. Модуль для защиты резервных копий Zbackup осуществляет шифрование данных на магнитных лентах и оптических дисках.

Шифрование информации на жестких дисках и магнитных лентах (речь о шифровании файлов и папок) применяется для предотвращения утечек информации, связанных с физическим доступом злоумышленника к носителю с конфиденциальной информацией.

Программа шифрования данных. Решаемые задачи:

  • Защита конфиденциальной информации в местах хранения (в т. ч. шифрование диска).
  • Безопасная транспортировка и утилизация данных.
  • Защита баз данных, почтовых и файловых серверов в процессе работы.
  • Контроль доступа к защищаемой информации для пользователей и приложений.
  • Полное скрытие факта наличия на защищаемых носителях каких-либо данных и ПО.
  • Оперативное блокирование доступа к информации в случае экстренной необходимости.
  • Гарантированное уничтожение информации.

Zecurion Zserver

На сегодняшний день система Zecurion Zserver — одна из лучших программ для шифрования данных на рынке. Программа Zserver нашла широкое применение в банках, финансовых, страховых, производственных, транспортных, торговых и коммерческих компаниях любого масштаба: от небольших компаний до крупнейших российских и международных корпораций.

Применение

Зачем нужно шифрование?

Сегодня подавляющее большинство организаций для оптимизации своей работы использует централизованные хранилища информации — от простых сетевых NAS-накопителей и серверов начального уровня до специально построенных ЦОД с собственной охраной, системами пожаротушения и сигнализацией. Централизованное хранение информации кроме очевидных плюсов несет в себе и далеко не очевидный риск — риск того, что злоумышленники получат физический доступ непосредственно к носителям информации. Иллюзию защищенности создают обычно применяемые меры безопасности, ведь на первый взгляд физический доступ к носителям информации могут получить только доверенные люди, однако на деле это совсем не так.

Физический доступ к носителям информации может возникать в таких ситуациях:

  • работы по обслуживанию серверного помещения;
  • ремонт самого сервера или другого оборудования на месте или с вывозом из офиса;
  • невнимательность или коррумпированность сотрудников, ответственных за охрану помещения;
  • хранение данных в облачных сервисах или аренда ЦОДа;
  • изъятие серверного и другого компьютерного оборудования по решению суда или без него;
  • переезд и перевозка сервера в другое помещение или новый офис;
  • транспортировка магнитных лент или дисков с резервными копиями данных в депозитарий;
  • утилизация устаревшего, вышедшего из строя оборудования.

Совершить кражу данных с физического носителя довольно легко, а обнаружить такую утечку практически невозможно. Например, магнитную ленту с бэкапом можно просто заменить на пустую в депозитарии. Обнаружить подмену удастся лишь тогда, когда возникнет необходимость восстановить данные именно с этой ленты. Очевидно, что вероятность этого весьма невелика, поэтому утечка может никогда и не «всплыть».

Другое распространенное заблуждение — на серверах не хранится такая информация, потеря которой могла бы причинить вред компании. Для того чтобы его опровергнуть, достаточно представить себе возможные последствия утечки следующих типов данных, которые хранятся на серверах и резервных носителях (лентах и дисках) практически в любой организации:

  • информация о финансово-хозяйственной деятельности;
  • персональные данные клиентов и сотрудников (имена, адреса, телефоны, номера счетов и т. п.);
  • внутренние протоколы, приказы, должностные инструкции и штатное расписание;
  • списки клиентов и поставщиков и другие данные CRM- и ERP-систем;
  • договоры и условия работы с заказчиками и подрядчиками;
  • маркетинговый, финансовый, производственный и другие тактические и стратегические планы руководства.

Защита информации в местах хранения успешно реализуется Zserver Suite с помощью шифрования. Данные всегда находятся на носителях в зашифрованном виде и становятся доступны только при загрузке ключа шифрования. Для оперативного реагирования на нештатные события, например, срабатывание сигнализации или появление в офисе компании «незваных гостей», в системе Zserver Suite существует специально разработанная система тревоги, которая позволяет мгновенно блокировать доступ к данным с помощью «красной кнопки», радио- или даже GSM-сигнала — звонка на специальный номер телефона.


Zecurion Zserver всегда хранит защищаемые данные в зашифрованном виде и расшифровывает их лишь по необходимости. В системе используются только сверхстойкие и проверенные временем алгоритмы шифрования с длиной ключа до 512 бит — RC5, AES, XTS-AES и ГОСТ 28147-89.

Многопоточное шифрование Zecurion Zserver позволяет существенно повысить скорость шифрования данных на многопроцессорных и многоядерных серверах.

За счет специальной технологии «фонового» шифрования не требуется прекращение доступа к информации на этапе внедрения Zecurion Zserver.

Zecurion Zserver позволяет безопасно генерировать ключи шифрования с помощью движений мышью, шумов микрофона и множества других физических источников.

Ключи шифрования записываются на смарт-карту, защищенную PIN-кодом, — это гарантирует, что доступ к данным всегда будут иметь только доверенные лица.

Высокая скорость шифрования и низкие требования к аппаратным ресурсам делают Zecurion Zserver практически незаметным в работе.

В Zecurion Zserver реализована возможность мгновенной блокировки доступа к данным с помощью кнопки «тревоги», специальных радиобрелков, обычного телефона и любой современной сигнализации.

Zecurion Zserver полностью совместим со всеми ИТ-системами, так как работает в прозрачном режиме для операционной системы, приложений и пользователей.

Для полноценной работы с защищаемыми данными не требуется устанавливать какие-либо агенты или системы управления ключами на компьютеры рядовых сотрудников.

Управление Zecurion Zserver осуществляется через единую систему управления DLP-решениями Zecurion Zconsole, которая также поддерживает управление Zgate, Zlock и Zdiscovery.

Администрирование любого количества серверов осуществляется из единой консоли с любой рабочей станции сети или через Интернет.

Zserver вводится в эксплуатацию в рекордно короткие сроки за счет технологии «фонового» начального шифрования разделов. Это позволяет избежать простоя сервера и не прерывать работу пользователей с защищаемыми данными.

Все компоненты Zecurion Zserver изначально спроектированы для обеспечения надежной защиты хранимой информации. Благодаря прозрачному шифрованию, данные всегда хранятся на носителях в зашифрованном виде и автоматически расшифровываются только в оперативной памяти.

Защита конфиденциальной информации на корпоративных серверах

Zserver осуществляет шифрование серверов в любых дисковых конфигурациях. Система защищает информацию на жестких дисках, на RAID-массивах, в сетевых хранилищах SAN.

Защита любых типов данных от несанкционированного доступа

Zserver хранит в зашифрованном виде корпоративную информацию в любых формах: файлы всех типов, папки, базы данных, физические и виртуальные диски.

Защита данных за пределами организации

Корпоративная информация, перемещаемая за пределы корпоративной сети организации, остается защищенной благодаря шифрованию носителей резервного копирования — магнитных лент и оптических дисков.

Прозрачное шифрование

Система Zserver прозрачна для пользователей и приложений и не требует никаких изменений в их работе. Данные, хранящиеся на защищенных разделах, всегда находятся в зашифрованном виде и недоступны без ввода ключа шифрования.

Централизованное управление доступом

Система Zserver позволяет контролировать назначение прав общего доступа к защищенным сетевым ресурсам централизованно — через консоль управления Zserver.

Фоновое шифрование

Процесс внедрения Zserver (первоначального зашифровывания) осуществляется в «фоновом» режиме — параллельно с операциями чтения-записи и незаметно для работающих в этот момент пользователей и приложений.

Пауза и продолжение шифрования

Процесс первоначального зашифровывания раздела при необходимости может быть приостановлен в любой момент.

Перешифровывание раздела

Зашифрованный раздел может быть перешифрован с использованием нового ключа. Процесс перешифрования также выполняется в фоновом режиме, то есть пользователи в это время продолжают работу с данными на разделе.

Надежная защита ключей шифрования

Открыть или закрыть доступ к зашифрованным данным может только администратор информационной безопасности с помощью специального ключа шифрования. (После открытия доступа данные будут доступны для обычных пользователей и приложений в прозрачном режиме.) Ключи шифрования могут храниться на специальных смарт-картах и USB-ключах, дополнительно защищенных PIN-кодом. Такой подход надежно защищает ключи шифрования и, соответственно, саму зашифрованную ими информацию.

Генерация ключей шифрования

В системе Zecurion Zserver предусмотрена возможность генерации исключительно надежных ключей шифрования. Для сбора случайной информации можно использовать движения мышью, шумы микрофона звуковой платы, квантовый генератор случайных чисел Quantis, ввод случайной последовательности вручную в HEX-редакторе и другие источники.

Безопасное хранение ключей шифрования

Для хранения ключей шифрования используются электронные идентификаторы: микропроцессорные карты (смарт-карты) или USB-брелки. На одной смарт-карте можно хранить одновременно до 16 ключей шифрования.

Защита ключей PIN-кодом

Дополнительный уровень защиты обеспечивает 8-значный PIN-код, который необходимо ввести для того, чтобы получить доступ к памяти электронного ключа и прочитать ключ шифрования.

Не зная PIN-код, прочитать ключ шифрования невозможно, а дополнительное ограничение по вводу PIN-кода исключает возможность его перебора. Четыре попытки ввода неправильного PIN-кода заблокируют данные на смарт-карте или USB-ключе.

Ввод PIN-кода «под принуждением»

Для экстренных случаев существует возможность ввода специального PIN-кода «под принуждением», при котором все ключи шифрования, хранящиеся на смарт-карте, стираются.

Кворум ключей шифрования

Кворум ключей шифрования в Zecurion Zserver позволяет минимизировать человеческий фактор за счет разделения ключей на несколько частей. В таком случае для открытия доступа к данным может быть задействован не один, а несколько сотрудников, например, будет обязательно участие системного администратора, руководителя службы безопасности и исполнительного директора.

Загрузка ключа шифрования

Ключ шифрования загружается администратором один раз при старте сервера для начала работы с зашифрованными данными.

100%-ный контроль доступа

Ключи шифрования генерируются администратором Zecurion Zserver самостоятельно при внедрении или в процессе эксплуатации системы. При этом Zserver не создает никаких резервных копий или мастер-ключей, то есть доступ к данным может получить только владелец ключа шифрования.

Сигнал «тревога»

Сигнал «тревога», или так называемая «красная кнопка», необходим для экстренного блокирования доступа к зашифрованным данным. Он стирает из памяти сервера все ключи шифрования и делает данные недоступными, может подаваться с любой рабочей станции сети или через Интернет по протоколу TCP/IP, а также по мобильному телефону, радиобрелку или команде сигнализации.

Администрирование нескольких серверов

Консоль управления Zserver позволяет одновременно подключаться к нескольким серверам Zserver. В процессе работы на серверы можно одновременно загружать ключи, осуществлять шифрование в фоновом режиме, производить другие операции с любым из подключенных серверов.

Журналирование

Все действия, выполняемые администратором Zserver, записываются в журнал. Журналирование можно осуществлять в различные форматы файлов (текстовый или XML) или в Windows Event Log, при этом журнал может храниться как на локальном, так и на удаленном компьютере.

Работа в виртуальных средах

Архитектура Zecurion Zserver специально адаптирована для использования продукта в виртуальных средах, в том числе VMware и Hyper-V.

Дополнительные возможности

Zserver Enterprise Key Server

Модуль Zserver Enterprise Key Server дает возможность централизованного управления ключами шифрования на неограниченном количестве серверов.

Zserver Script Pack

Дополнительный пакет расширения Zserver Script Pack позволяет подключать внешние сценарии и задавать собственную реакцию на события системы.

Zserver Disk Access Control

Модуль контроля доступа к диску Zserver Disk Access Control позволяет управлять доступом к информации со стороны пользователей и приложений, выполняя роль дискового firewall.

Кластерная версия

Zecurion Zserver может функционировать на серверах в составе кластера под управлением Microsoft Cluster Services.

COM-интерфейс

Для более тесной интеграции с существующими информационными системами в Zecurion Zserver существует возможность управления комплексом через COM-интерфейс. Это позволяет значительно расширить возможности по управлению системой и встроить команды управления Zecurion Zserver практически в любое ПО.

Уничтожение данных

Систему Zserver можно использовать для уничтожения данных. Для этого достаточно зашифровать информацию на диске и уничтожить ключ шифрования.