Szyfrowanie danych

Na szyfrowanie danych składają się dwa moduły: Full Disk Encryption (szyfrowanie dysków twardych) oraz Media Encryption (szyfrowanie nośników wymiennych). FDE dawniej znany był jako Pointsec PC, a ME jako Pointsec Protector. FDE ma to, czego możemy oczekiwać od nowoczesnego rozwiązania szyfrującego - wykorzystanie bezpiecznych algorytmów (m.in. AES 256, certyfikacja FIPS-140-2), środowisko graficzne preboot z obsługą tokenów czy awaryjną deszyfrację - szerzej o tym module pisaliśmy przy okazji omawiania produktów przeznaczonych do szyfrowania dysków twardych.

ME to tak naprawdę dwa elementy, może dwa i pół - moduł szyfrujący, moduł kontrolujący dostęp do urządzeń i "pół", czyli częściowa kontrola aplikacji. Moduł szyfrujący pozwala na zaszyfrowanie w zasadzie dowolnego nośnika wymiennego, włącznie z płytami CD/DVD (integracja np. z Nero czy funkcją nagrywania Windows). Możliwe jest także umieszczenie na zaszyfrowanym nośniku miniaplikacji, która pozwoli odszyfrować jego zawartość na komputerze niewyposażonym w oprogramowanie izraelskiej firmy. Kontrola urządzeń pozwala na zablokowanie całkowite lub częściowe (np. blokada funkcji zapisu) większości urządzeń podłączanych do komputera. Aby uprościć definiowanie blokowanych urządzeń, Check Point udostępnia sprytne narzędzie - Device Discovery Tool. Z jego pomocą możemy przeskanować nasz komputer lub dowolny komputer w sieci (pod warunkiem znajomości hasła administratora) i uzyskać listę podłączanych do niego urządzeń. Dzięki modułowi kontrolującemu urządzenia można np. zablokować wszystkie pendrive’y, z wyjątkiem trzech o wskazanym przez nas identyfikatorze.

(Nie)jeden serwer

Strona serwerowa (zarządcza) CPES wygląda dość dziwnie. Pierwsze wątpliwości i objawy lekkiej schizofrenii zaczynają się już na etapie wyboru sposobu instalacji. Mamy do wyboru dwie ścieżki. Pierwsza pozwala na instalację znanego wszystkim użytkownikom produktów Check Point systemu operacyjnego Secure Platform, pieszczotliwie zwanego SPLAT-em. W ostatniej fazie jego instalacji możemy wskazać, aby Secure Platform pełniło rolę serwera zarządzania dla rozwiązania Endpoint Security i dodatkowo doinstalować dodatek SmartPortal - graficzne środowisko zarządzania samym serwerem, jego parametrami i konfiguracją. Podczas instalacji należy pamiętać o zmianie domyślnego portu zarządzania - TCP 443 na inny. Jeżeli tego nie zrobimy, będziemy musieli przekonfigurować serwer, aby umożliwić dołożenie składnika Endpoint Security. W tym miejscu należy poczynić pewną uwagę. Upraszczając, Endpoint Security z punktu widzenia serwera zarządzania to produkt wcześniej znany pod nazwą Integrity - obecnie ta część pakietu nazywa się Secure Access. Za jego pomocą możemy sterować zaporą ogniową, kontrolować porty czy aplikacje, konfigurować parametry pracy antywirusa czy lokalnego NAC-a. Ale na tym kończą się obecne możliwości serwera postawionego na platformie Secure Platform. Żeby cieszyć się innymi elementami pakietu (Full Disk Encryption, Media Encryption, WebRH), musimy podeprzeć się systemem Windows. Ale nawet instalując produkt na Windowsie, szybko odkrywamy, że choć możemy całość "upchnąć" na jednej maszynie fizycznej, to w rzeczywistości instalujemy kilka różnych serwerów. Mamy więc właściwy serwer Endpoint Security, serwer zarządzania rozwiązaniem do szyfrowania dysków twardych - Full Disk Encryption, serwer administrowania szyfrowaniem nośników wymiennych - Media Encryption, serwer zarządzania licencjami dla FDE czy wreszcie moduł wsparcia użytkowników Web Remote Help (WebRH). Niestety, nie tylko liczba serwerów rozczarowuje - także konsoli zarządzania. Na próżno szukać integracji wszystkich elementów zarządzania w świetnej konsoli SmartConsole - musimy korzystać z przynajmniej trzech różnych interfejsów. Co prawda jest światełko w tunelu i prace nad integracją trwają, ale kiedy to nastąpi, dokładnie nie wiadomo. Wiele konsoli to również konieczność wielokrotnego powtarzania szeregu czynności konfiguracyjnych, np. definiowanie integracji z AD (osobno w Media Encryption, osobno w serwerze Endpoint Security/Secure Access). To chyba największa bolączka pakietu - brak centralnego zarządzania w pełnym rozumieniu tego słowa. Dotychczasowi użytkownicy flagowych produktów Check Pointa mogą być więc trochę rozczarowani. Wierni fani firmy twierdzą, że tak jest nawet lepiej, bo nie zawsze wszystkimi elementami zarządza jeden zespół i w ten sposób każdy może mieć pod kontrolą własny kawałek tortu. Nas ta argumentacja raczej nie przekonuje.