Data Loss Prevention (3. rész)– Titkosítási megoldások - Bruszik László
Mint azt már megállapítottuk több tanulmány eredménye alapján, mind a hordozható, mind az asztali számítógépek esetében szükség van olyan biztonsági rendszerekre, amelyek megakadályozzák, hogy a gépek elvesztése, eltulajdonítása vagy veszélybe kerülése esetén a rajtuk tárolt adatok elvesszenek vagy rossz kezekbe kerüljenek. Az alábbiakban részletesen bemutatjuk ezeket a titkosító megoldásokat.
Kizárólagos és azonosított hozzáférés
A sector-by-sector merevlemez-titkosító megoldás a teljes merevlemezt permanensen titkosítja valamilyen erős (jellemzően AES) titkosító algoritmussal. Amint a folyamat a végére ért (ami erősen függ a merevlemez méretétől, de mindenképp órákban mérhető egyszeri folyamat), a merevlemez tartalma csak az operációs rendszer bootolását megelőző sikeres ún. pre-boot azonosítás után hozzáférhető.
Ez a teljes, permanens titkosítás a megkövetelt pre-boot azonosítással együtt biztosítja, hogy csak és kizárólag jogosult személyek férhetnek hozzá a merevlemez tartalmához. Megjegyzendő, hogy a kizárólagos hozzáférhetőség e módon történő biztosítására olyan esetekben is szükség lehet, amikor az asztali vagy mobil számítógép egyáltalán nincs kitéve elvesztés vagy lopás veszélyének.
Ez a teljes, permanens titkosítás a megkövetelt pre-boot azonosítással együtt biztosítja, hogy csak és kizárólag jogosult személyek férhetnek hozzá a merevlemez tartalmához. Megjegyzendő, hogy a kizárólagos hozzáférhetőség e módon történő biztosítására olyan esetekben is szükség lehet, amikor az asztali vagy mobil számítógép egyáltalán nincs kitéve elvesztés vagy lopás veszélyének.
Transzparens működés
Általános felhasználói és üzemeltetési igényként jelenik meg, hogy a merevlemez-titkosító megoldás legyen a felhasználók számára teljesen transzparens, azaz a pre-boot azonosítástól eltekintve ne igényeljen plusz felhasználói tevékenységet a titkosítás nélküli állapothoz képest, praktikusan a felhasználó ne is vegyen észre semmi különbséget normál munkája során.
Erős azonosítás támogatása
Belátható, hogy a pre-boot azonosítás erőssége nagyon nagy mértékben meghatározza a merevlemez-titkosítás által nyújtott védelem erősségét. Bár szinte minden gyártó lehetővé teszi egyszerű felhasználónév és jelszó alkalmazását pre-boot azonosításkor, tapasztalataink egyértelműen azt támasztják alá, hogy jóval nagyobb biztonsági szintet jelent a kétfaktorú azonosítást lehetővé tevő eszközök használata.
Kulcsfontosságú ezért, hogy a megoldás támogasson erős azonosítást végző eszközöket (smart cardok, USB kulcsok (tokenek), TPM chip) pre-boot fázisban. Mindemellett fontos kiemelni, hogy ebben az esetben sem tekinthetünk el a felhasználók célirányú oktatásától, amely során a tudatos és biztonságos használat alapvető részleteire felhívjuk figyelmüket.
Kulcsfontosságú ezért, hogy a megoldás támogasson erős azonosítást végző eszközöket (smart cardok, USB kulcsok (tokenek), TPM chip) pre-boot fázisban. Mindemellett fontos kiemelni, hogy ebben az esetben sem tekinthetünk el a felhasználók célirányú oktatásától, amely során a tudatos és biztonságos használat alapvető részleteire felhívjuk figyelmüket.
Központi menedzsment felület
Az általános üzemeltetési szempontokon (központi szoftverterítés, központi konfiguráció) túlmenően egy fejlett központi menedzsment felület lehetőséget nyújt a végpontok titkosításának aktuális és historikus állapotának megjelenítésére is. Ez a funkció egyrészt lehetővé teszi a titkosított és a nem titkosított eszközök listázását, másrészt pl. egy laptop elvesztése esetén visszakereshető az elvesztés idejére vonatkozó titkosítási státusz (titkosítva volt-e, amikor elveszítették).
Egyszeri bejelentkezés támogatása
Felhasználók kényelmét szolgáló funkció lehet, ha az operációs rendszerbe történő beléptetés automatikusan történik meg sikeres pre-boot azonosítás után. Ezzel, bár megjelent egy új, felhasználói közreműködést igénylő művelet (pre-boot azonosítás), de a munka elkezdéséhez szükséges lépések számát nem növeltük, hiszen az operációs rendszerbe immáron nem szükséges külön bejelentkezni.
Kivételkezelés
Különösen mobil munkaállomások esetében fontos, hogy a biztonságos hozzáférhetőséget különleges helyzetben is tudjuk garantálni. Ilyen helyzet lehet pl. egy elveszített USB kulcs, vagy egy ehhez tartozó elfelejtett PIN-kód. Fontos, hogy ebben a helyzetben is, akár offline módon tudjunk valamilyen kontrollált módszerrel (pl. telefonos helpdesk segítséggel) hozzáférést biztosítani a jogosult felhasználónak.
A konkrét megvalósításokban a challenge-response módszer terjedt el, amely során előbb az azonosított felhasználó diktál be egy generált kódot a heldesk munkatársnak, majd ebből a kódból a helpdesk munkatárs generál egy válasz kódot, amelyet a felhasználó beírva sikeresen azonosítani tudja magát és így hozzá tud férni a titkosított merevlemezhez.
A konkrét megvalósításokban a challenge-response módszer terjedt el, amely során előbb az azonosított felhasználó diktál be egy generált kódot a heldesk munkatársnak, majd ebből a kódból a helpdesk munkatárs generál egy válasz kódot, amelyet a felhasználó beírva sikeresen azonosítani tudja magát és így hozzá tud férni a titkosított merevlemezhez.
Kidolgozott adatmentési eljárás
Merevlemez-titkosítás alkalmazása esetén külön gondot kell fordítani hardver vagy szoftverhiba esetén fellépő adatmentési eljárás kidolgozására. Tekintettel arra, hogy a merevlemez tartalma normál módszerekkel nem olvasható, gyártói eszköz szükséges pl. abban az esetben, ha az operációs rendszer valamilyen hiba miatt nem képes elindulni. Ilyen esetekre általában gyártói boot média áll rendelkezésre, amely megfelelő azonosítás után képes olvasni a titkosított tartalmat, így az adatmentés elvégezhető.
