Zapisać i jednocześnie zaszyfrować

Rosnące wymagania na bezpieczeństwo informacji przechowywanych lub przesyłanych w formie elektronicznej powodują, że użytkownicy systemów IT zwracają coraz większą uwagę na systemy umożliwiające szyfrowanie danych.

Rosnące wymagania na bezpieczeństwo informacji przechowywanych lub przesyłanych w formie elektronicznej powodują, że użytkownicy systemów IT zwracają coraz większą uwagę na systemy umożliwiające szyfrowanie danych.

Być może już za kilka lat zapis danych w postaci elektronicznej na dysku, taśmie, płycie DVD lub dowolnej innej pamięci masowej będzie realizowany domyślnie z jednoczesnym szyfrowaniem informacji. Z obecnego punktu widzenia większości administratorów IT nie jest to perspektywa zbyt zachęcająca. Dla wielu z nich pewnie kojarzy się przede wszystkim z dodatkowymi kosztami oraz problemami z wydajnością i zarządzaniem takim systemem.

Jednak rosnący poziom zagrożeń, wzrost znaczenia systemów informatycznych i związane z nimi nowe regulacje prawne nieuchronnie prowadzą do popularyzacji systemów szyfrujących. W tym kierunku idzie też rozwój technologii i oferty producentów. Można tu z jednej strony wymienić procesory i dyski ze zintegrowanymi, sprzętowymi układami do obsługi szyfrowania, które już pojawiły się na rynku (jak również wyposażone w takie napędy notebooki), a z drugiej korporacyjne, biblioteki taśmowe z napędami zawierającymi zintegrowane mechanizmy szyfrujące. W tym ostatnim przypadku warto zauważyć, że specyfikacje dotyczące szyfrowania zostały wprowadzone do najnowszego standardu LTO-4, a podobne mechanizmy znalazły też zastosowanie w bibliotekach taśmowych wykorzystujących format DLT.

W porównaniu z dostępnymi od dawna rozwiązaniami programowymi, tego typu sprzętowe rozwiązania zasadniczo zmieniają sytuację rynkową, bo technologie szyfrowania stają się stopniowo elementem dostępnym jako standardowe wyposażenie.

Więcej sprzętu niż oprogramowania

Według Infonetics Research sprzedaż różnego typu urządzeń appliance do zabezpieczania systemów IT rośnie szybciej niż tego typu rozwiązań programowych. Wartość rynku tego typu sprzętu i oprogramowania wzrosła o 15%, tj. do 4,6 mld USD w 2006 r., ale na przykład sprzedaż urządzeń appliance SSL VPN aż o 40%.

Z punktu widzenia rynku masowego do tej sytuacji najbardziej przyczynia się popularyzacja urządzeń UTM (Universal Threat Management) zaczynających znajdować coraz większe zastosowanie w małych i średnich firmach. Są to zintegrowane systemy z reguły zawierające firewall, filtry antywirusowe i treści, ale także moduły VPN ze sprzętowymi mechanizmami szyfrowania transmisji.

W teorii systemy szyfrujące są stosunkowo proste, ale w praktyce ich wdrożenie jest trudnym procesem wymagającym dobrego zaprojektowania, sprawnego zarządzania, a także stawiającym często duże wymagania na moc przetwarzania. I stąd właśnie rosnąca popularność urządzeń appliance, których zaletą jest względnie łatwa implementacja, z reguły wyższy poziom zabezpieczeń oraz wydajność w porównaniu z rozwiązaniami czysto programowymi.

Specjalną klasą urządzeń są sprzętowe szyfratory - specjalizowane systemy znane i stosowane od dawna, ale stosowane głównie w instytucjach rządowych lub wojskowych, przede wszystkim ze względu na ich wysoką cenę - profesjonalne szyfratory kosztują od kilku do kilkudziesięciu tysięcy dolarów. Obecnie można jednak przewidywać, że rynek na takie urządzenia będzie systematycznie rósł i stopniowo będą one znajdować coraz więcej zastosowań. Szyfratory są bowiem rozwiązaniem umożliwiającym zabezpieczanie nie tylko transmisji wrażliwych danych, ale również informacji zapisywanych w różnego typu pamięciach masowych. Rynek szyfratorów przeznaczonych na rynek komercyjny, a nie urządzeń specjalizowanych np. do zastosowań wojskowych, jest stosunkowo młody - liczy ok. 5 lat.

Szyfrowanie sprzętowe

Szyfrowanie programowe jest najbardziej popularne, ale jest wolne, jego zastosowania są ograniczone, podobnie jak poziom zapewnianego bezpieczeństwa. Mechanizmy sprzętowe, już dostępne dla pamięci taśmowych i dyskowych, umożliwiają szyfrowanie w czasie rzeczywistym bez zmniejszania wydajności urządzeń. Szyfratory w formie urządzeń appliance oferują podobną funkcjonalność, a dodatkowo mają uniwersalne zastosowania - z reguły nie zależą od platformy i mogą być wdrażane w systemach heterogenicznych.

Architektura SSAP

Nową koncepcję szyfrowania danych zapisywanych w pamięciach masowych opracowała firma Maxxon. SSAP (Secure Storage Application Platform) to koncepcja przełącznika bezpośrednio podłączonego do sieci SAN i dostarczającego usługi szyfrowania danych, a także inne funkcje związane z zarządzaniem i zabezpieczaniem pamięci masowych oraz obsługującego jednocześnie różne protokoły, jak Fibre Channel, FCIP i iSCSI. Rozwiązania oparte na SSAP wykorzystują jedną centralną konsolę umożliwiającą zarządzanie wieloma politykami bezpieczeństwa i pamięciami masowymi.

System działa w sposób przezroczysty dla infrastruktury pamięci masowych, aplikacji i użytkowników. Jak podkreślają przedstawiciele firmy, jest to jego zaletą, bo przerwy w dostawie usług, zmniejszenie wydajności lub kłopotliwe procesy autoryzacji są trudne do zaakceptowania, a czasami nawet powodują, że użytkownicy zaczynają próbować ominąć system zabezpieczeń, co może mieć fatalne skutki.

Przełączniki mają modularną architekturę pozwalającą na instalację dodatkowych kart z interfejsami i szyfratorami (maksymalnie mogą zawierać do 256 portów). Umożliwiają też jednoczesną obsługę pamięci dyskowych i taśmowych różnych producentów, a atrybuty zabezpieczeń mogą być elastycznie określone przez hosta, LUN lub urządzenie końcowe.

"Jeśli ktoś realizuje szyfrowanie w Windows, musi udostępnić klucz do obliczeń przez system. W efekcie haker, który z sukcesem zaatakuje Windows, może uzyskać dostęp do kluczy. Użytkownik może oczywiście zaszyfrować również klucze, ale wciąż musi dostarczyć klucz kolejnego poziomu - i ten najwyższy zawsze jest podatny na atak" - mówi Kevin Brown, wiceprezes firmy Decru. "W urządzeniach appliance klucze są przechowywane w specjalizowanym elemencie sprzętowym, do którego dostęp jest fizycznie chroniony. Oprócz tego urządzenia pracują pod kontrolą specjalnego systemu operacyjnego wyposażonego tylko w niezbędny zestaw funkcji oraz wykorzystują mechanizm dwuskładnikowej autoryzacji, a więc stawiają bardzo wysoką barierę dla prób włamania" - dodaje.

Ponieważ w szyfratorach sprzętowych klucze są przechowywane w jednym miejscu, łatwiejsze jest też zarządzanie nimi. Dodatkową zaletą tych urządzeń są sprzętowe generatory liczb losowych, które są znacznie silniejszym mechanizmem zabezpieczeń niż standardowe, pseudolosowe generatory programowe.


TOP 200