Шифрование диска — следующее поколение (администрирование и мониторинг Bitlocker)

Опубликовано: 8 Апреля, 2023


Введение


За прошедшие годы некоторые элементы ИТ превратились из «приятно иметь» в «абсолютно необходимое». Если вспомнить 10 лет назад, ИТ-ландшафт выглядел совсем иначе; у организаций были проблемы с исправлением систем (если они вообще устанавливали исправления), конфигурации редко стандартизировались, а данные хранились в множестве разных мест. Перенесемся в 2011 год, и мы увидим много улучшений; управление исправлениями в значительной степени автоматизировано, существует управление конфигурацией для стандартизации сборок серверов и настольных компьютеров, и… данные по-прежнему хранятся в множестве различных мест. Нравится вам это или нет, но шифрование данных необходимо, должно требоваться и останется здесь навсегда. Дело в том, что мобильные устройства становятся все более популярными, все больше работодателей осознают, что ноутбук, предоставленный сотруднику, даст им больше работы, когда они дома по вечерам и в выходные дни, кафе и аэропорты по всему миру и все больше и больше мобильных сотрудников берут с собой данные во время путешествий, и часто эти мобильные устройства украдены, оставлены в кабинах/самолетах и подвергаются злонамеренным атакам. Немногие организации спорят о том, «почему» шифрование данных, теперь основное внимание уделяется тому, «как».



Из коробки или третья сторона?


Шесть или семь лет назад продукты для шифрования дисков были узкой нишей; такие поставщики, как Guardian Edge, Safe Boot и PGP, продавали продукты для шифрования дисков, которые можно было установить на (тогда) существующие машины под управлением Windows XP. Лицензирование этих продуктов было отдельным, и компании, как правило, лицензировали эти продукты для своих мобильных устройств и отделяли совокупность мобильных устройств от совокупности традиционных «стационарных» устройств.


В 2006 году Microsoft выпустила шифрование диска Bitlocker, которое было встроено в некоторые SKU операционной системы (Windows Vista Enterprise и Windows Vista Ultimate). Из-за ограниченного распространения Vista Bitlocker только изредка использовался в ИТ-магазинах. Однако прецедент был создан; Было ли шифрование диска «из коробки» достаточно хорошим, или ИТ-специалистам по-прежнему приходилось оправдывать расходы на лицензию на стороннее программное обеспечение для шифрования дисков?


Microsoft предложила улучшения для Bitlocker в Windows 7, в том числе возможность шифрования нескольких томов (в Vista только загрузочный том может быть зашифрован). Они также добавили Bitlocker To Go, который позволяет шифровать съемные устройства (например, флэш-накопители USB или портативные жесткие диски), к которым можно получить доступ на других устройствах с Windows 7, а также в более старых операционных системах (Windows Vista и Windows XP). Однако в готовом решении Microsoft все еще есть некоторые недостатки; в частности, отчетность и комплексное управление.


Речь идет об интеграции


Жесткая реальность, с которой сталкиваются многие ИТ-магазины, ясна; По мере того как компания растет, а среда становится все более сложной, интегрированной и готовой к использованию, решения, помогающие снизить затраты и устранить сложность, становятся не только привлекательными, но и необходимостью. Когда поставщики систем безопасности начали реализовывать это видение интеграции, они приобрели «точечные решения» для шифрования дисков (например, McAfee приобрела Safe Boot) и интегрировали его в свой пакет. MПредложение управления через их централизованную консоль и маркетинг решения для шифрования дисков в качестве конкурентного преимущества понравилось клиентам. Но как насчет ИТ-магазинов, которые не могут себе позволить или продолжают оправдывать стоимость этих решений? Есть ли у Microsoft конкурентоспособное предложение для своей готовой технологии?


Сейчас, когда многие ИТ-специалисты создают и развертывают свои новые образы Windows 7, эти вопросы всплывают на поверхность, и пришло время внимательно взглянуть на то, что Microsoft может предложить в этой области. Microsoft добавила больше контроля над Bitlocker с помощью решения Microsoft Bitlocker Administration and Monitoring (MBAM), которое находится в стадии бета-тестирования (доступно здесь). Microsoft подверглась критике за то, что не предоставила предприятию полного решения для отчета о состоянии шифрования диска, и это их вход в космос.


MBAM — высокие и низкие баллы


Есть несколько вещей, которые действительно выделяются в MBAM. Прежде всего, интеграция в Windows 7 для создания и развертывания образа обширна. Существует «клиент» MBAM, который можно использовать с выбранным вами средством развертывания, которое можно использовать для автоматизации процесса шифрования по мере создания образа/развертывания системы. В результате таргетинг также очень эффективен; если вы хотите ориентироваться только на подмножество устройств, таких как определенные модели ноутбуков, выпущенных для руководителей, это не проблема. Рекомендуется начать с базового уровня шифрования диска на всех устройствах, которые его поддерживают, даже на настольных компьютерах. Тот факт, что устройство не может быть «мобильным», не означает, что оно не может отключиться, особенно в физически небезопасном месте.


Репортаж тоже достаточно подробный. Механизм отчетов построен на основе лучших служб отчетов SQL. Как видно на рис. 1, сортировка по операционной системе, статусу соответствия, типу компьютера и т. д. легко выполняется в представлении браузера. Полезен быстрый просмотр того, является ли устройство «совместимым» или «не соответствующим», а также быстрое определение основной причины несоответствия устройства.


Изображение 23291
Рис. 1. Отчет о соответствии на основе SQL Reporting Services Source.


Депонирование ключей и управление ими значительно улучшены, что является еще одним недостатком стандартного шифрования диска Vista/Windows 7 с помощью Bitlocker. Bitlocker поддерживал условное депонирование ключей на основе Active Directory, но возникли вопросы, связанные с сегментированием доступа к этой ценной информации о секретных ключах. Действительно ли Active Directory — лучшее место для хранения данных для всех организаций? Как организации будут обрабатывать цепочку хранения ключей с точки зрения соблюдения требований?


С помощью MBAM условное депонирование ключей теперь можно передавать в зашифрованную базу данных SQL вместо Active Directory. Это дает возможность более точного контроля доступа к ключевому материалу. Удаление доступа к Active Directory для таких групп, как служба поддержки или группа поддержки настольных компьютеров, является привлекательной функцией MBAM. Восстановление ключей также значительно улучшено; теперь пользователь может выполнять восстановление ключа через веб-страницу. Конечно, для этого им потребуется отдельная машина, если их машина находится на «предзагрузочной» консоли восстановления Bitlocker.


Microsoft также внесла значительные улучшения в работу с Bitlocker для организаций, которые развертывают свой образ Windows 7 в качестве «стандартного» пользователя; конечные пользователи теперь могут запускать процесс шифрования («из коробки» Windows требует, чтобы это делал администратор). То же самое касается административных задач, таких как изменение PIN-кода запуска.


У MBAM есть и ряд недостатков. Во-первых, он еще не выпущен в производственной версии. В настоящее время он доступен для оценки в бета-версии с ожидаемой датой выпуска в конце этого года. MBAM также не будет бесплатным дополнением; Microsoft включает его в пакет Microsoft Desktop Optimization Pack (MDOP), который включает в себя такие функции, как виртуализация приложений и набор инструментов для диагностики и восстановления (DaRT). Это дополнительная услуга подписки, необходимая в дополнение к покупке клиента Windows.


Резюме


Независимо от того, придерживаетесь ли вы своего существующего «дополнения» или хотите оценить «готовое» решение для Windows, шифрование диска является необходимым компонентом каждой сборки ОС. Этот рецензент считает, что MBAM успешно соблюдает правило «80/20», предоставляя ключевые функции отчетности и управления, которые вполне могут быть достаточно хороши для многих предприятий, стремящихся сократить расходы и использовать интегрированные функции операционной системы. Дайте нам знать, что вы думаете: подходит ли вам MBAM или вы придерживаетесь существующего решения?