Защита корпоративных документов: внутри и снаружи
В современных условиях ведения бизнеса необходимо обеспечивать доступность определенной информации за контуром периметра корпоративной сети банка, внутри которого ресурсы могут быть защищены от внешних атак IPS\IDS-системами, периметровыми межсетевыми экранами и другими средствами защиты. При этом информация может передаваться в файлах и выходить в Интернет. Как в этих условиях сохранить безопасность данных и обеспечить защиту конфиденциальной информации?
Известны нашумевшие случаи утечки данных через файлы, утерянные или похищенные злоумышленниками. Например, в октябре 2017 года неизвестный нашел на земле флеш-накопитель, на котором обнаружились подробные сведения о системах безопасности крупнейшего в Великобритании аэропорта Хитроу. По утверждению журналистов Daily Mail, которым была передана флешка, на ней располагались 76 файлов общим объемом 2,5 гигабайта, содержавших сведения о мерах безопасности, принятых для защиты королевы Елизаветы II и высших политиков страны при использовании ими аэропорта, а также об антитеррористических мерах. Или информация, датируемая июлем 2018 года, об утечке конфиденциальных документов более чем 100 компаний, включая General Motors, Fiat, Chrysler, Ford, Tesla, Toyota, ThyssenKrupp и Volkswagen. Данные находились в открытом доступе на сервере, принадлежащем компании Level One Robotics. В результате в общем доступе оказалось 157 гигабайт данных, содержащих как коммерческую тайну этих компаний, так и персональные данные сотрудников.
Всего этого могло бы не случиться, если бы защита была применена непосредственно к файлам, в которых содержалась конфиденциальная информация.
Сбербанк, как крупнейший банк страны, также сталкивается с такими рисками. Наш опыт показывает, что решить эту проблему помогают системы класса IRM (Information Rights Management). Они не только позволяют ограничить доступ к документам, но и выполняют аудит действий пользователя. В качестве примера рассмотрим, как работает IRM-решение от компании Microsoft — RMS (Rights Management Services).
Для сотрудников Сбербанка существует стандарт работы с документами, содержащими конфиденциальную информацию, который обязывает шифровать файлы, которые потенциально могут попасть в Интернет. Кроме этого, используется шифрование файлов с помощью RMS в ряде автоматизированных систем, имеющих интерфейсы доступа вне защищенного периметра банка.
В ближайшее время в Сбербанке планируется внедрить RMS в процессы мобильных клиентских менеджеров, что позволит безопасно работать с материалами, содержащими коммерческую и банковскую тайну, значительно повысив быстроту и качество принимаемых ими решений, требующих анализа конфиденциальной информации.
Microsoft RMS
С помощью RMS можно ограничить права на использования файла (например, разрешить только для чтения); обозначить круг лиц, которым этот файл будет доступен; вести аудит действий над файлом, а также ограничить время использования файла (посредством облачного решения Azure Information Protection отозвать файл либо ограничить по времени доступ к нему). При этом важно не забывать, что RMS не может полностью защитить информацию. Получатель может, например, открыть файл и сфотографировать экран с помощью мобильного телефона.
RMS — это не замена уже давно известных средств контроля доступа, шифрования и других технологий защиты данных, он предоставляет собой агрегированное решение, которое позволяет не только шифровать, но и контролировать документ на протяжении всего жизненного цикла, ограничивать доступ к нему только для определенных пользователей в определенный диапазон времени и открытие файла только в определннных приложениях. Ведь можно зашифровать файл, но как только вы отправите его другому человеку и этот файл будет расшифрован, его можно будет копировать, изменять и распространять дальше.
AD RMS
AD (Active Directory) RMS — on-premise-решение. Серверная служба RMS входит в Windows Server (начиная с Windows Server 2008), в качестве базы данных выступает SQL Server. Модель on-premise часто выбирают, чтобы обеспечить комплексную безопасность внутри организации. Кроме того, AD RMS — логичный выбор при использовании инфраструктуры на базе Active Directory.
Решение построено на использовании сертификатов и реализует две степени защиты. Первая — это аутентификация пользователя: защищенный RMS-файл сможет открыть только тот, кому автор документа разрешил доступ к нему. Вторая — права, которые назначил сам автор: например, чтение без права копирования. Параметры защиты встраиваются непосредственно в документ и заверяются сертификатами пользователя и сервера RMS. Последние версии RMS позволяют защищать файлы любого формата, правда, при этом сохраняется лишь первый уровень защиты — аутентификация пользователей при открытии документов. Единожды открыв, например, TXT-файл, имеющий право доступа пользователь уже не ограничен в действиях и потенциально может сделать с таким файлом все что угодно.
Решение включает в себя три основных компонента: RMS-сервер, RMS-клиент (приложения со встроенной поддержкой RMS) и RMS-приложения с SDK.
RMS-сервер отвечает за сертификацию доверенных лиц, обеспечивает лицензирование защищенного правами контента и регистрирует пользователей и серверы. Он также служит точкой управления RMS.
Сервер AD отвечает за аутентификацию пользователя.
Рис.1. Компоненты AD RMS
Чтобы исключить доступ пользователей к данным в обход клиента RMS, данные зашифровываются и подписываются, а затем привязываются к лицензии на публикацию. RMS использует в качестве основы для контроля доступа к документам для его дешифрования инфраструктуру открытого ключа (PKI). PKI применяет асимметричное шифрование, в котором для процесса шифрования/дешифрования используются два ключа: открытый и закрытый. В среде RMS документ зашифровывает пользователь. Любые запросы на доступ к документу поступают на сервер, который проверяет запрос и его назначение, включая печать, пересылку и даже сохранение документа. Чтобы получатель смог открыть файл, ему нужна лицензия пользователя этим контентом. Клиентское программное обеспечение RMS запрашивает и получает эту лицензию с сервера AD RMS.
Чтобы не устанавливать ограничения каждый раз отдельно по каждому файлу, поддерживаются шаблоны политик, имеющие определенный набор ограничений: например, не сохранять, не копировать или не печатать. Шаблоны настраиваются в зависимости от задач и хранятся в базе данных на сервере AD RMS. Защита конфиденциальных документов с применением механизма шаблонов в Сбербанке реализована в системе внутреннего электронного документооборота.
AD RMS работает по следующей схеме: отправитель с помощью клиентского программного обеспечения, например Word, формирует документ и хочет применить определенные ограничения. Клиентское приложение связывается с сервером RMS и формирует заявку на лицензию, которая необходима для публикации документа. Сервер выдает лицензию публикации, которая применяется к документу. Документ шифруется клиентским приложением, и к нему применяются соответствующие ограничения. После этого документ уходит к получателю. Чтобы получить доступ к данным, получателю необходимо пройти аутентификацию и связаться с сервером RMS для получения лицензии на использование документа. Запрос на использование лицензии выполняется через приложение с поддержкой RMS и после его завершения позволяет получателю обращаться к документу — в соответствии с ограничениями, которые применил автор документа.
Рис. 2. Разрешения для почтового сообщения (на примере почтового клиента Outlook, интегрированного с RMS)
В качестве клиента RMS выступает программное обеспечение с RMS-поддержкой, например Microsoft Office, для различных операционных систем (Windows, MacOS, IOS, Android).
Поддержку RMS можно встроить в любое приложение, используя SDK. На данный момент Microsoft выпускает SDK для платформ Windows, MacOS, IOS, Android. В Сбербанке используется локальная инфраструктура AD RMS.
Облачная реализация
В Сбербанке, как и в большинстве организаций, есть мобильные пользователи, работающие удаленно, компании-подрядчики, которым необходимо предоставлять доступ к корпоративным документам. Не всегда есть возможность обеспечивать безопасность только лишь с помощью имеющейся в локальной инфраструктуре AD RMS, или же этот вариант экономически нецелесообразен. Решить проблему поможет облачное SaaS-решение Azure RMS. Поэтому после реализации ряда успешных проектов по использованию локальной инфраструктуры AD RMS, которая в данный момент используется в Сбербанке, активно разрабатываются решения по интеграции с облачным сервисом Azure RMS.
Azure RMS использует функции AD RMS, однако во многом представляет собой более продвинутое решение. Так же, как AD RMS использует Windows Active Directory, Azure RMS использует для аутентификации пользователей Azure AD. Azure RMS не хранит защищенные клиентские данные и не имеет к ним доступа. В облаке хранятся только клиентские ключи шифрования, поэтому риск компрометации информации сводится к минимуму.
В зависимости от потребностей организации и наличия в инфраструктуре AD RMS Azure RMS может использоваться в двух сценариях: облачном и гибридном.
Облачный сценарий предполагает отсутствие собственной инфраструктуры RMS. Он особенно актуален для организаций, предоставляющих частичный доступ к корпоративной информации сторонним пользователям: например, временным сотрудникам или представителям контрагентов. Использование собственного AD RMS и AD домена компании для этих целей менее целесообразно и более рискованно в сравнении с управлением учетными записями посредством Azure AD и организации защиты c помощью Azure RMS. Использование Azure AD позволяет не предоставлять доступа сторонним пользователям внутрь периметра компании к AD RMS и AD компании. Предоставлять доступ к данным проще, если у организации-партнера уже есть каталог Office 365 или Azure (каталог Azure AD для поддержки аутентификации пользователей и облачной подписки Azure, поддерживающей RMS). При этом совместная работа не означает автоматического доступа внешних пользователей к защищенному контенту: они должны быть явно упомянуты в политике разрешения.
Механизм работы похож на AD RMS: служба RMS аутентифицирует пользователя, который хочет получить доступ к файлу, используя Azure AD; служба RMS авторизует пользователя на основе политики, прикрепленной к защищенному файлу; служба RMS регистрирует активность пользователя для целей аудита.
К основным преимуществам Azure RMS можно отнести поддержку Azure Information Protection (AIP). Эта технология включает автоматическую классификацию документа в соответствии с критериями, которые определил администратор безопасности. И назначение грифа, и последующая защита происходят в приложении (Word, Excel, Outlook и т.д.) в момент правки или создания документа. В AIP есть дополнительные возможности по отзыву прав на ранее защищённый документ и ограничение времени выданных на документ прав: вне зависимости от того, на чьём компьютере находится документ, он перестанет открываться по истечении указанного срока. Через специальный портал можно отслеживать, кто, когда и откуда обращался к защищенному документу.
Azure RMS позволяет легче управлять обменом защищенными документами по сравнению с локальным решением и обладает рядом преимуществ:
- не требуется развертывать и поддерживать собственную инфраструктуру;
- решение полностью интегрировано с Azure AD,
- поддерживает технологию AIP для автоматической классификации данных,
- поддерживает локальные серверные продукты Microsoft,
- может быть интегрировано с AD DS в гибридном сценарии.
Что касается гибридного решения, то оно позволяет полностью контролировать ключи шифрования и процесс авторизации при работе с внутренними конфиденциальными документами. Для этих целей используется локальная инфраструктура AD RMS. В то же время для защиты основной части конфиденциальных данных применяются механизмы защиты Azure, что позволяет обмениваться защищенной корпоративной информацией с контрагентами, отслеживать документы, использовать шаблоны защиты, организовывать работу с защищенными данными на мобильных устройствах.
Гибридное решение заключается в развертывании нескольких сервисов RMS:
- Для управления классификацией и шаблонами безопасности на серверах Azure RMS и AD RMS развертываются службы Azure Information Protection. Это облачное решение позволяет интегрироваться с локальной установкой RMS (через RMS-коннектор) в гибридном исполнении для автоматической защиты. Потребуется соединение между облачным сервисом и локальной инфраструктурой.
- Azure RMS позволяет определять политики для конфиденциальных данных в большинстве сценариев работы с документами и вести аудит доступа.
- AD RMS используется для определения политик конфиденциальных данных, которые не должны выходить за пределы периметра организации.
Опыт использования решения RMS от Microsoft в Сбербанке позволяет сделать вывод: решения класса IRM в сочетании с классическими системами защиты информации позволяют надежно защищать информацию не только внутри корпоративной сети, но и за ее пределами. Использование облачных решений даcт возможность существенно снизить совокупную стоимость владения и реализовать безопасный обмен документами с контрагентами, а интеграция c собственным Security Operation Center (SOC) Сбербанка позволит организовать непрерывный мониторинг защищенного документооборота.
Иван Карышев,
главный инженер управления экспертизы кибербезопасности Сбербанка
Андрей Алексеев,
руководитель направления управления экспертизы кибербезопасности Сбербанка
Опубликовано 01.11.2018