Наставление по криптографическому делу. Часть первая.

(или как управлять встроенным шифрованием Mac и Windows из одной консоли)

Суть данной заметки можно охарактеризовать простым выражением: BitLocker + FileVault + McAfee Drive Encryption = McAfee ePO. Разработчики McAfee (Intel Security) выпустили обновление Management of Native Encryption 2.0 (MNE), которое позволяет производить управление встроенными средствами шифрования Microsoft и Apple из консоли еРО, наряду с McAfee Drive Encryption (который обладает рядом преимуществ перед встроенными средствами Microsoft).

I. Пару слов о том, зачем это нужно или почему это важно для ИБ.

Во-первых, рано или поздно, независимо от сферы бизнеса, украинские компании приходят к необходимости шифрования данных на рабочих станциях персонала. Своеобразным катализатором этого процесса становится повсеместное использование ноутбуков (как личных, так и рабочих) для обработки данных компании. Очевидно, что чем солиднее бизнес предприятия, и чем выше должность сотрудника, тем дороже обойдется утеря его ноутбука. С точки зрения департамента ИБ мы получаем на входе «зоопарк» операционных систем, средства шифрования которых необходимо контролировать. Задача осложняется тем, что у Microsoft свои инструменты, а у Apple – свои и никто из них управлять «чужими» технологиями не позволяет. Таким образом, если появляется необходимость задействовать механизмы шифрования Microsoft, Apple и McAfee – раньше приходилось иметь дело с 2-3 отдельными консолями, что не лучшим образом сказывалось на безопасности. Теперь же, с появлением Management of Native Encryption 2.0 департамент ИБ может управлять тремя разными технологиями шифрования из единой консоли McAfee ePO. ePO_encryption_mgmt

Консоль ePO. Теперь можно контролировать шифрование трех вендоров из одной панели.

Во-вторых, предоставление возможности управления не только своими, но и сторонними решениями – это практическое воплощение идеологии McAfee Security Connected, согласно которой, по мере развития консоли McAfee ePolicy Orchestrator (ePO), она сможет использоваться как единая точка входа для управления всеми компонентами системы безопасности предприятия. Таким образом, заказчики могут уже сейчас ощутить преимущества управления средствами шифрования через консоль еРО. Задачи аудита и контроля зашифрованных систем значительно упрощаются, политики (настройки) для разных ОС применяются централизованно, а портал самообслуживания позволяет сотрудникам облегчить восстановление доступа к их зашифрованным системам (подробнее об этом ниже).

II. Теперь о самом решении.

Изначально, Management of Native Encryption (MNE) разрабатывался компанией McAfee как средство контроля встроенного шифрования Mac OS после выхода Mavericks 10.9 (подробнее об этом тут). Эволюция решений McAfee по шифрованию проиллюстрирована ниже:

mcafee_encryption_evolution3Процесс эволюции решений шифрования от компании McAfee

Среди нововведений второй версии MNE стоит особо выделить:

Управление встроенным шифрованием MS и Apple из консоли еРО. Преимущества данного подхода описаны выше. Остается только добавить, что MNE облегчает заказчикам процесс миграции BitLocker -> Drive Encryption. Простой пример: если сотрудник приносит на работу свой Windows ноутбук уже зашифрованный BitLocker`ом, то для контроля достаточно всего лишь установить McAfee Agent и модуль MNE из консоли еРО. В дальнейшем, если руководство/департамент ИБ определяет, что для защиты данных возможностей BitLocker не достаточно, из консоли еРО BitLocker легко отключается и вместо него разворачивается McAfee Drive Encryption. Если раньше, при установке Drive Encryption в случае наличия конфликтующего BitLocker администратору приходилось задействовать инструменты MS для отключения встроенного шифрования, то теперь, при использовании MNE 2.0 совместно с Drive Encryption 7.1 через консоль еРО этот процесс можно автоматизировать. Кроме того, состояние BitLocker на управляемых системах отражается в отчетах на консоли еРО (статус, использование портала, свойства системы, авторизованные пользователи). ePO_MNE_FV_BL_policy

Консоль еРО. Политики управления BitLocker и FileVault.

Портал самообслуживания для пользователей, чьи рабочие станции зашифрованы FileVault2 либо BitLocker`ом. Т.н. The Data Protection Self Service Portal (DPSSP) был внедрен в MNE с целью упрощения процесса восстановления доступа к зашифрованным системам. Теперь пользователи могут самостоятельно аутентифицироваться на этом портале и получить т.н. recovery key для своей системы без необходимости обращения к администратору. Все операции по выдаче ключей восстановления учитываются и сохраняются в логах аудита консоли еРО.

MNE_portalТак выглядит портал самообслуживания.

Standalone дистрибутив MNE для упрощенной установки на Mac OS системах. Представляет собой .dmg пакет, который включает в себя McAfee Agent 4.8 patch 2 и MNE. После установки данного пакета пользователь может указать данные для синхронизации с сервером еРО.

Более детально особенности Management of Native Encryption v2 описаны в базе знаний.

p.s.

Данная заметка открывает цикл публикаций, посвященных тонкостям настройки и использования решений шифрования от McAfee (Intel Security). Следите за обновлениями и оставайтесь осторожными при работе с высокими технологиями.

Advertisements

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: