SODAT Encryption

Technické informace

Jak funguje SODAT Encryption?

SODAT Encryption je nástrojem v Endpoint Encryption, který je určený pro účinné zabezpečení citlivých dat společností, jako jsou osobní údaje, interní informace a know-how. Cílem produktu je zabezpečit tyto údaje proti ztrátě nebo zneužití pomocí šifrování, tedy ochrání informace před neoprávněným přístupem. Jedná se o nástroj, který využívá agentů na koncových stanicích uživatelů, které transparentně (neviditelně) šifrují informace na úrovni souborů a složek. Nástroj obsahuje propracovanou centrální správu, která využívá integrace s ActiveDirectory a umožňuje díky tomu organizacím efektivně řídit a kontrolovat šifrování dat na koncových stanicích. Zásadní výhodou je, že nástroj automatizuje celou řadu procesů od instalací agentů, distribuci nastavení, vydávání klíčů atp. a ze strany obsluhy je tak vyžadován minimální čas ke konfiguraci a provozu.

Díky transparentnímu šifrování souborů chrání uložené informace nejen při vypnutém stavu a přenosu média (jako například celodiskové šifrování v případě notebooku), ale kromě toho je dokáže ochránit před neoprávněným přístupem i v případě, kdy je zařízení zapnuto. Dokáže tedy zajistit bezpečnost uživatelských dat například i před privilegovanými uživateli, nebo bezpečnost dat skupiny zaměstnanců (např. oddělení) před jinými zaměstnanci či obecně uživateli.

Výhodou SODAT Encryption je, že nemění nijak způsob práce uživatele či aplikací na koncové stanici. Díky tomu je jednak zcela neviditelné pro uživatele a jednak zcela rezistentní vůči uživatelským zásahům či volbám. Společnosti pak poskytuje průběžné informace o stavu šifrování na koncových stanicích, které mohou jednak sloužit jako prostředek auditu při bezpečnostních incidentech, ale také mohou pomoci při změnách nastavení bezpečnosti.

1. SODAT Encryption klient

Na koncových stanicích s operačním systémem Microsoft Windows klient zajišťuje ochranu lokálně uložených dat v definovaných adresářích pomocí online souborového šifrování - operace šifrování a dešifrování probíhá ve vrstvě ovladače souborového systému. Ve výchozím nastavení se šifrují uživatelské profily.

Dále je možné chránit i jiné logické disky v operačním systému mimo systémových složek tak, že veškeré soubory uložené na tyto logické disky budou zašifrovány. Dále je také možné zabezpečit data ukládaná na externí paměťová zařízení s možností využití Portable aplikace pro přenos na stanici, kde klient není nainstalován.

Uživateli je automaticky vystaven šifrovací klíč, kterým jsou data chráněna. Přístup k takovým datům má pak pouze oprávněný uživatel. Veškeré vystavené šifrovací klíče jsou uloženy v centrální správě produktu a organizace má nad těmito klíči plnou kontrolu.K zašifrování profilu dochází na pozadí a práce uživatele není nijak ovlivněna.

Pro šifrování dat využívá klient symetrický šifrovací algoritmus AES256 společně s haschovací funkcí SHA2.

Koncový uživatel nemá možnost ovlivnit nastavení šifrovaných lokací na počítači. Klient je plně řízení skrze centrální správu.

Pro zvýšení ochrany dat je možné využít dvoufaktorovou autentizaci. Ta je realizována pomocí hardwarového tokenu nebo čipové karty standardu PKCS#11.

V případě nemožnosti se přihlásit nebo poškození uživatelského profilu je možné využít i v offline stavu (notebook je mimo síť společnosti) jednoduché a rychlé recovery události, pro přihlášení a přístup k zašifrovaným dat.

Na koncové stanici probíhá monitoring připojených periferií umožňujících ukládání nebo odesílání dat a na základě těchto informací je možné omezit připojování výměnných paměťových zařízení na základě whitelistu a blacklistu. Restrikce jsou realizovány prostřednictvím HardwareID nebo Sériového čísla zařízení.

V rámci koncové stanice probíhá pravidelný datový audit, díky kterému má organizace přehled o aktuálním stavu zabezpečení dat a v případě ztráty zařízení doložitelnou informaci o tom, že data byla v době ztráty chráněna.

2. SODAT Encryption File Server

Je určen pro ochranu uložených dat na souborových serverech. Šifrování souborů probíhá přímo na serveru. Data jsou poskytována pouze oprávněným uživatelům, kteří mají k dispozici příslušný šifrovací klíč, jímž jsou data zabezpečena. Pro přístup z koncové stanice k šifrovaným datům není potřeba mít nainstalovanou klientskou část produktu. Klíče jsou vydávány na základě autorizace uživatelského účtu ke sdílenu uložišti.

3. SODAT Encryption Server

Server zajišťuje distribuci politik, příjem informací, jejich zpracování, aktualizace a správu klientů. Server spolupracuje s Active Directory a využívá informace o objektech pro jejich ověření na základě protokolu Kerberos a distribuci politik. Pro vyčítání objektů z Active Directory produkt využívá vlastní vytvořené servisní doménové účty. Jedná se o běžné doménové účty, a tudíž se nedochází k rozšíření schématu Active Directory.

Správa politik

Politiky je možné definovat na jakýkoliv objekt. Správa probíhá prostřednictví intuitivního grafické administrátorské konzole, dostupné jako spustitelná aplikace přímo na serveru, nebo administrátorské stanice.

Depozitář šifrovacích klíčů a správa

SODAT Encryption server obsahuje depozitář všech šifrovacích klíčů, které byly v rámci organizace vystaveny. Fyzicky jsou uloženy v šifrované Microsoft SQL databázi. Díky tomu má organizace vždy pod správou veškerá šifrovaná data. Klíče jsou ve výchozím stavu vystavovány s platností na jeden rok, po vypršení platnosti klíče dochází k automatickému přešifrování dat novým klíčem. Celý proces je plně automatizovaný tudíž nevyžaduje zásahy administrátora.

Produkt využívá 3 typy klíčů. Firemní, skupinový a osobní. Každý z klíčů je vhodný pro zabezpečení jiné oblasti dat. Firemní klíč je vhodný pro zabezpečení sdílených dat napříč celou organizací, skupinový klíč pak pro zabezpečení dat v rámci oddělení, skupiny uživatelů nebo např. projektu, ke kterému má pak přístup omezená skupina uživatelů, a osobní klíč je obvykle využíván pro zabezpečení dat uložených v profilech uživatelů na koncových stanicích nebo obdobně jejich osobních složkách na file serverech.

Vyhodnocení a reporty

Díky administrátorské konzoli má správce přehled o stavu zašifrovaných dat na koncových stanicích a souborových serverech. Dále poskytuje přehled o připojených externích zařízeních, vystavených šifrovacích klíčích a stavu klientů. Reporty je možné exportovat do souboru.

Alerting a auditing

Aplikace umí upozornit na data nacházející se mimo šifrované lokace a administrátor může jednoduše nešifrovaná data zabezpečit, bez nutnosti spolupráce s uživatelem. Informace jsou získávány z datového auditu, který se provádí pravidelně na koncové stanici. Tento datový audit lze také použít pro účely auditu a doložení stavu šifrování dat např. při ztrátě koncového zařízení. Mezi další upozornění patří připojení nového nebo zakázaného zařízení, případně pokus o přístup k cizím datům, kde kterým nemá uživatel patřičný klíč.

Interní skupiny

Interní skupiny jsou určeny pro vytváření separátních bezpečnostních politik v případech, kdy je nežádoucí propojení se skupinami v Microsoft Active Directory. Tyto skupiny jsou vhodné pro prostředí, kde je zapotřebí více oddělit role doménových administrátorů od rolí bezpečnostních manažerů.

Jak koupit

Ochrańte svá firemní data jednou provždy pomocí efektivního nástroje pro souborové šifrování.