Контакты
Подписка
МЕНЮ
Контакты
Подписка

Опыт внедрения модуля доверенной загрузки нового поколения на примере крупного российского банка

Опыт внедрения модуля доверенной загрузки нового поколения на примере крупного российского банка

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Опыт внедрения модуля доверенной загрузки нового поколения на примере крупного российского банка

Обеспечение безопасности хранимой и передаваемой информации – один из важнейших аспектов работы любой современной автоматизированной банковской системы. При этом основные усилия IТ- и ИБ-департаментов банков обычно направлены на защиту ядра информационной системы (ИС), в то время как автоматизированные рабочие места (АРМ) сотрудников обеспечиваются лишь базовым набором средств защиты информации: антивирусными программами, стандартными средствами аутентификации (смарт-карты, e- и USB-токены) и модулями доверенной загрузки (МДЗ).
Кирилл Прямов
Менеджер по маркетингу, ООО “АльтЭль"

К сожалению, традиционные средства обеспечения доверенной загрузки не предоставляют в распоряжение IТ-администраторов и офицеров безопасности возможности, необходимые на современном этапе развития ИС. Например, отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. Для решения данных проблем необходим кардинально новый подход, основанный на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. Примером подобного решения может служить МДЗ нового поколения ALTELL TRUST (разработчик – российская компания "АльтЭль"), который с недавних пор обеспечивает безопасность рабочих мест сотрудников в составе ИС одного из крупнейших российских банков, входящего в Топ-5. Подробнее как о самом продукте, так и о ходе его внедрения будет рассказано в статье.

Возможности ALTELL TRUST

Основные требования, которые банк предъявил к новому МДЗ, можно разделить на три группы.

Стоит отметить, что "АльтЭль" – единственная компания в Восточной Европе, являющаяся Independent BIOS Vendor (IBV) компаний Intel и AMD, что позволяет ей получать всю необходимую информацию для создания своего BIOS. В результате специалисты "АльтЭль" смогли в короткие сроки создать принципиально новое средство защиты информации от несанкционированного доступа, обеспечивающее доверенную загрузку, многофакторную аутентификацию на удаленных LDAP-серверах, разграничение прав доступа и централизованное удаленное управление.
  1. Доверенная загрузка:
    • контроль целостности критических областей и файлов ОС, модулей BIOS, а также критических объектов файловой системы;
    • двухфакторная аутентификация и мандатный контроль доступа до загрузки ОС;
    • поддержка USB-идентификаторов и смарт-карт RuToken и eToken;
    • поддержка удаленной авторизации пользователей с помощью LDAP/AD-серверов;
    • поддержка сертификатов x509.
  2. Удаленное управление:
    • удаленное управление пользователями, конфигурациями, группами компьютеров, загрузкой обновлений программного обеспечения;
    • централизованное управление процессом обновления установленного ПО;
    • поддержка Intel Active Management Technology (AMT).
  3. Контроль и безопасность соединений:
    • обеспечение безопасности соединений (TLS);
    • журналирование действий пользователей и всех этапов работы BIOS;
    • разделение ролей офицера безопасности (ИБ-департамент) и системного администратора (IТ-департамент);
    • поддержка Intel Active Management Technology (AMT).

Традиционные МДЗ, предлагаемые на российском IТ-рынке, не соответствовали выдвинутым требованиям, поэтому не могли быть применены в описываемом проекте. Специалисты компании "АльтЭль" предложили использовать для выполнения задачи свое решение ALTELL TRUST, доработанное в соответствии с пожеланиями клиента.

Стоит отметить, что "АльтЭль" – единственная компания в Восточной Европе, являющаяся Independent BIOS Vendor (IBV) компаний Intel и AMD, что позволяет ей получать всю необходимую информацию для создания своего BIOS. В результате специалисты "АльтЭль" смогли в короткие сроки создать принципиально новое средство защиты информации от несанкционированного доступа, обеспечивающее доверенную загрузку, многофакторную аутентификацию на удаленных LDAP-серверах, разграничение прав доступа и централизованное удаленное управление.

Сценарии применения ALTELL TRUST

Рассмотрим процесс работы ALTELL TRUST на примере процессов аутентификации пользователей и удаленного управления. Начнем с аутентификации (рис. 1). При данном сценарии применения после включения компьютера управление сразу передается ALTELL TRUST, который производит начальную инициализацию и проверку оборудования, самопроверку и проверку критических областей и файлов ОС. После этого запрашивается идентификационная информация пользователя на основе заданной в ALTELL TRUST конфигурации. Это может быть обычный запрос логина/пароля, либо двухфакторная авторизация с использованием USB-токена или смарт-карты. Полученная идентификационная информация отправляется для проверки на AD/LDS серверах департамента ИБ. При этом данные о пользователях на этих серверах синхронизированы с данными IТ-департамента.


Удаленное управление ALTELL TRUST осуществляется с помощью двух консолей управления (рис. 2) – одной для системного администратора (IТ-департамент), а второй для офицера безопасности (ИБ-департамент).


При этом последний управляет правами пользователей (в том числе системных администраторов), сертификатами, журналами и аудитом. Системный администратор, в свою очередь, обладая необходимыми правами, может обновлять ПО и выполнять другие присущие ему функции.

Основные преимущества использования ALTELL TRUST

Перечислим основные преимущества подобных схем работы:

  1. Возможность авторизации пользователей на LDAP-сервере (Active Directory) с применением сертификатов x509. Это освобождает системных администраторов от необходимости заводить одних и тех же пользователей, так как все учетные записи хранятся централизованно, и позволяет мгновенно заблокировать вход в систему.
  2. Возможность контроля целостности среды функционирования, то есть самого BIOS (его модулей), что исключает установку и развертывание дополнительных UEFI-модулей. Кроме этого, появляется возможность контроля гипервизора уровня BIOS.
  3. Осуществление контроля целостности программной среды, секторов жесткого диска и аппаратной конфигурации происходит непосредственно из МДЗ. Это позволяет отказаться от установки дополнительного программного обеспечения в ОС и делает ALTELL TRUST кроссплатформенным.
  4. Возможность адаптации ALTELL TRUST для работы на ноутбуках, тонких клиентах, смартфонах и планшетах, то есть любых мобильных решениях, не позволяющих установить обычную плату для обеспечения доверенной загрузки BIOS.
  5. Исключение необходимости перехватывать или блокировать загрузку АРМ, как это делают традиционные МДЗ, так как ALTELL TRUST получает управление непосредственно от BIOS и выполняет все защитные действия.
  6. Поддержка механизма ролевого доступа. В классических МДЗ используются две роли: "Администратор" и "Пользователь". С точки зрения ИБ эта схема имеет изъян: дает равные права системному администратору и ИБ-специалисту. В ALTELL TRUST предусмотрено три роли: "Офицер безопасности", раздающий права; "Системный администратор", отвечающий за аппаратное и программное обеспечение, и "Пользователь", работающий с данными на ПК.
  7. Самое важное преимущество ALTELL TRUST – возможность удаленного управления. Для этой цели в нем предусмотрен специальный плагин, устанавливаемый в Microsoft System Centre Configuration Manager и предоставляющий возможность доступа к BIOS и функциям замка в режиме удаленного рабочего стола. Кроме того, плагин позволяет собрать журналы безопасности со всех АРМ и импортировать их в другую систему, например в СУБД Microsoft SQL Server.

При этом в ALTELL TRUST используются все распространенные средства защиты: двухфакторная идентификация и аутентификация пользователей до загрузки ОС, контроль целостности программной и аппаратной среды функционирования, сторожевой таймер на загрузку ОС и ведение журнала безопасности.

Подводя итог, можно уверенно сказать, что разработанное решение помогло обеспечить необходимый уровень ИБ банка, одновременно снизив его расходы на администрирование и защиту информации.

АЛЬТЭЛЬ, ООО
196084 Санкт-Петербург,
ул. Цветочная, 18, лит. Б, офис 301,
бизнес-центр "Бизнес-Парк"
Тел.: (812) 309-0588, (495) 664-2240
Факс: (812) 677-3471
E-mail: info@altell.ru
www.altell.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013

Приобрести этот номер или подписаться

Статьи про теме