Доверенная загрузка ос. Доверенная загрузка (аппаратные средства)

Архитектура

ALTELL TRUST имеет модульную архитектуру. Сам модуль доверенной загрузки устанавливается на защищаемые устройства, заменяя стандартный BIOS материнской платы, расположенный в чипе EEPROM, и обеспечивает доверенную загрузку BIOS, многофакторную аутентификацию до загрузки ОС и соблюдение ролевых политик доступа. Модуль удаленного управления разворачивается на сервере управления и позволяет осуществлять централизованное развертывание и обновление ПО, проводить аудит безопасности и управлять всеми модулями доверенной загрузки из единого центра.

Возможности

  • Контроль целостности BIOS, аппаратного и программного окружения, объектов файловой системы;
  • Многофакторная аутентификация пользователей до загрузки ОС;
  • Удаленное управление пользователями, конфигурациями, группами устройств, загрузкой обновлений ПО, включением/выключением защищаемых устройств;
  • Использование в качестве единственного ПО тонкого клиента (zero client);

Преимущества

  • Использование BIOS, созданного в России;
  • Упреждающий подход к защите от новых угроз;
  • Аутентификация на удаленных LDAP/AD-серверах;
  • Разграничение управленческих функций;
  • Удаленное централизованное управление;
  • Возможность адаптации к любому типу устройств;
  • Встроенный стек сетевых протоколов;
  • Централизованный сбор событий безопасности;
  • Неизвлекаемость из защищаемого устройства;
  • Поддержка технологии SSO;
  • Поддержка инфраструктуры PKI;
  • Встроенный доверенный гипервизор;
  • Сертификат ФСТЭК на МДЗ уровня BIOS 2 класса защиты.

Сценарии применения

ALTELL TRUST может применяться для обеспечение доверенной загрузки операционных систем, многофакторной аутентификации пользователей на удаленных AD/LDAP-серверах, удаленного централизованного управления парком защищаемых устройств, удаленного централизованного сбора событий безопасности, а также выступать в качестве единственного ПО тонких клиентов (концепция zero client). Подробное описание сценариев применения ALTELL TRUST приведено в соответствующем разделе.

Сравнение с конкурентами

Традиционные аппаратно-программные модули доверенной загрузки (АПМДЗ), представленные на российском рынке, не обладают возможностями, необходимыми на современном этапе развития информационных систем. Например, в АПМДЗ отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. ALTELL TRUST, напротив, изначально разрабатывался для решения этих задач. При этом использовались современные подходы к обеспечению доверенной загрузки, основанные на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. В результате в ALTELL TRUST реализованы более мощные, чем у традиционных АПМДЗ, защитные механизмы, при одновременном снижении издержек на администрирование инфраструктуры информационной безопасности за счет централизации управления и сбора статистики.

Поддерживаемые устройства

Из-за реализации ALTELL TRUST на уровне UEFI BIOS собственной разработки его необходимо адаптировать к конкретным моделям защищаемых устройств. Благодаря сотрудничеству с ключевыми вендорами (Intel, AMD, Lenovo, Panasonic) процесс доработки ALTELL TRUST максимально стандартизирован и сжат по времени. Так как сертифицируется сам модуль доверенной загрузки, а не BIOS целиком, внесение изменений не влияет на наличие сертификатов.

В настоящее ALTELL TRUST поддерживает:

  • материнские платы DFI (поддержка процессоров Core i5, 1× Xeon E3);
  • моноблоки Lenovo ThinkCentre M72z и M73z;
  • ноутбуки Panasonic Toughbook CF-53;
  • десктопы Lenovo ThinkCentre M92p и M93p, ALTELL FORT DT 5/7.

Сертификация

ALTELL TRUST сертифицирован во ФСТЭК России как средство доверенной загрузки уровня базовой системы ввода-вывода по второму классу защиты. Так как сертифицирован модуль доверенной загрузки, а не UEFI BIOS целиком, адаптация ALTELL TRUST к новым устройствам не будет отменять действие полученных сертификатов. В настоящее время ведутся работы по получению сертификата ФСБ.

Информационные материалы

Тестирование

Если вы заинтересовались возможностями ALTELL TRUST, наши специалисты могут провести его бесплатную демонстрацию.

Основы концепции

  • Контроль устройства , с которого BIOS начинает загрузку ОС (чаще, жёсткий диск компьютера, но это также может быть устройство чтения съёмный носителя, загрузки по сети и т.п.);
  • Контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой ОС;
  • Шифрование /дешифрование загрузочного сектора, системных файлов ОС, либо шифрование всех данных устройства (опционально).
  • Аутентификация , шифрование и хранение секретных данных, таких как ключи , контрольные суммы и хэш-суммы , выполняются на базе аппаратных средств.

Аутентификация

Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.

Для подтверждения личности запускающего компьютер могут требоваться различные факторы:

  • Секретный логин и пароль пользователя;
  • Дискета , компакт-диск , флэш-карта с секретной аутентификационной информацией;
  • Аппаратный ключ , подключаемый к компьютеру через USB , последовательный или параллельный порты;
  • Аппаратный ключ, либо биометрическая информация , считываемые в компьютер с помощью отдельно выполненного аппаратного модуля.

Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.

Аутентификация может происходить:

  • Во время выполнения микропрограммы BIOS;
  • Перед загрузкой главной загрузочной записи (MBR) либо загрузочного сектора операционной системы;
  • Во время выполнения программы загрузочного сектора.

Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.

Этапы доверенной загрузки

На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.

  • Выполнение микропрограммы BIOS. На этом этапе могут быть реализованы: проверка целостности микропрограммы BIOS, проверка целостности и подлинности настроек CMOS, аутентификация (защита от запуска компьютера в целом, либо только от изменения конфигурации CMOS или выбора загрузочного устройства), контроль выбора загрузочного устройства. Этот этап загрузки должен быть полностью выполнен в микропрограмме BIOS производителем материнской платы;
  • Передача управления загрузочному устройству. На этом этапе BIOS, вместо продолжения загрузки, может передать управление аппаратному модулю доверенной загрузки. Аппаратный модуль может выполнить аутентификацию, выбор загрузочного устройства, дешифрование и проверку целостности и достоверности загрузочных секторов и системных файлов операционной системы. При этом дешифрование загрузочного сектора операционной системы может быть выполнено только на этом этапе. Микропрограмма BIOS должна поддерживать передачу управления аппаратному модулю, либо аппаратный модуль должен эмулировать отдельное загрузочное устройство, выполненного в виде жёсткого диска, сменного носителя либо устройства загрузки по сети;
  • Выполнение загрузочного сектора операционной системы. На этом этапе также может быть выполнена проверка целостности, достоверности загрузчика, системных файлов операционной системы и аутентификация. Однако исполняемый код загрузочного сектора ограничен в функциональности вследствие того, что имеет ограничение на размер и размещение кода, а также выполняется до запуска драйверов операционной системы.

Использование аппаратных средств

Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:

  • Высокой степени защищённость секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность);
  • Возможная засекреченность алгоритмов шифрования, выполняемых аппаратно;
  • Невозможность запустить компьютер, не вскрывая его содержимого;
  • В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля;
  • В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.

Примеры существующих аппаратных средств

Intel Trusted Execution Technology

Технология доверенного выполнения от Intel .

Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.

TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.

Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле TPM. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.

Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.

Аппаратный модуль доверенной загрузки "Аккорд-АМДЗ"

Представляет собой аппаратный контроллер, предназначенный для установки в слот ISA (модификация 4.5) или PCI (модификация 5.0). Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT 16, FAT32, NTFS , HPFS , UFS , UFS2, EXT2FS , EXT3FS, EXT4FS, QNX 4 filesystem, VMFS Version 3.

Вся программная часть модулей (включая средства администрирования), журнал событий и список пользователей размещены в энергонезависимой памяти контроллера. Таким образом, функции идентификации/аутентификации пользователей, контроля целостности аппаратной и программной среды, администрирования и аудита выполняются самим контроллером до загрузки ОС.

Основные возможности:

  • идентификация и аутентификация пользователя с использованием ТМ-идентификатора и пароля длиной до 12 символов;
  • блокировка загрузки ПЭВМ с внешних носителей;
  • ограничение времени работы пользователей;
  • контроль целостности файлов, аппаратуры и реестров;
  • регистрация входа пользователей в систему в журнале регистрации;
  • администрирование системы защиты (регистрация пользователей, контроль целостности программной и аппаратной части ПЭВМ).

Дополнительные возможности:

  • контроль и блокировка физических линий;
  • интерфейс RS-232 для применения пластиковых карт в качестве идентификатора;
  • аппаратный датчик случайных чисел для криптографических применений;
  • дополнительное устройство энергонезависимого аудита.

Модуль доверенной загрузки «Криптон-замок/PCI»

Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.

Особенности:

  • идентификация и аутентификация пользователей до запуска BIOS при помощи идентификаторов Тouch Мemory;
  • разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками для каждого пользователя;
  • блокировка компьютера при НСД, ведение электронного журнала событий в собственной энергонезависимой памяти;
  • подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм, экспорт/импорт списка проверяемых объектов на гибкий магнитный диск;
  • возможность интеграции в другие системы обеспечения безопасности (сигнализация, пожарная охрана и др.).

ViPNet SafeBoot - сертифицированный высокотехнологичный программный модуль доверенной загрузки (МДЗ), устанавливаемый в UEFI BIOS различных производителей. Предназначен для защиты ПК, мобильных устройств, серверов (в том числе и серверов виртуализации) от различных угроз несанкционированного доступа (НСД) на этапе загрузки и от атак на BIOS.

Защита для компьютеров и серверов должна действовать с момента их включения. Время с момента включения до старта операционной системы является ключевым для доверия к системе в целом. На самых ранних этапах загрузки есть риск:

  • Передачи управления недоверенному загрузчику;
  • Загрузки вредоносного кода в UEFI;
  • Перехвата данных и отключения базовых защитных механизмов.
Все это может привести к обходу всех установленных в операционной системе средств защиты и краже информации. Встраивание модуля доверенной загрузки ViPNet SafeBoot защищает компьютер от этих угроз и делает систему доверенной.

Назначение:

ViPNet SafeBoot предназначен для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы. ViPNet SafeBoot повышает уровень безопасности устройств и компьютеров за счёт:

  • Авторизации на уровне BIOS, до загрузки основных компонентов операционной системы;
  • Контроля целостности BIOS, защищаемых компонентов операционной системы и аппаратного обеспечения;
  • Блокировки загрузки нештатной копии операционной системы.

Сценарии использования

Продукт ViPNet SafeBoot может использоваться как совместно с другими продуктами ViPNet, так и отдельно. Основные задачи которые могут быть решены:
  • Выполнение требований приказов ФСТЭК*:
    • №17 по защите государственных информационных систем (ГИС);
    • №21 по защите информационных систем персональных данных (ИСПДн);
    • №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
  • Защита от НСД на самых ранних этапах загрузки компьютеров или устройств с UEFI BIOS.

Преимущества

  • Программный МДЗ с возможностью установки в UEFI BIOS различных производителей.
  • Неизвлекаемость, в отличие от аппаратных исполнений МДЗ.
  • Упрощенные методы настройки МДЗ за счет шаблонов администрирования.
  • Полный контроль целостности UEFI за счет проверки целостности всех его модулей.
  • Российский продукт.

Сертификация во ФСТЭК России

ViPNet SafeBoot соответствует требованиям руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет использовать продукт для построения:
  • ИСПДн до УЗ1 включительно;
  • ГИС до 1 класса защищенности включительно;
  • АСУ ТП до 1 класса защищенности включительно.

Что нового в версии ViPNet SafeBoot 1.4

  1. Режим неактивности — ключевая возможность направленная на удобство OEM-поставки SafeBoot в рабочих станциях и серверах, производителей аппаратных платформ. Подробное описание в приложенном документе.
  2. Внедрение системы лицензирования — продукт теперь лицензируется по серийному номеру.
  3. Поддержка авторизации по западным сертификатам — повышение удобства работы с продуктом. Встречаются заказчики, которые используют авторизацию по токену и сертификату выданным Microsoft CA, в т. ч. и через LDAP. Именно по данной причине нами было решено поддержать такой метод аутентификации.
  4. Поддержка JaCarta-2 ГОСТ — расширение списка поддерживаемых ключевых носителей для аутентификации.

ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.

Строгая двухфакторная аутентификация - Аутентификация пользователя с помощью токена с сертификатом формата x.509 (двухфакторная), пароля или их сочетания. Поддерживаемые идентификаторы:

  • JaCarta PKI
  • Rutoken ЭЦП
  • Rutoken ЭЦП 2.0
  • Rutoken Lite
  • Guardant ID

Ролевой доступ

  • Пользователь.
  • Администратор.
  • Аудитор.

Контроль целостности. Чтобы платформе можно было доверять, нужна гарантия, что все важные модули, загружаемые при старте системы, неизменны. Поэтому ViPNet SafeBoot проверяет целостность:

  • всех ключевых модулей UEFI BIOS;
  • загрузочных секторов жесткого диска;
  • таблиц ACPI, SMBIOS, карты распределения памяти;
  • файлов на дисках с системами FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot не важно какая операционная система установлена);
  • реестра Windows;
  • ресурсов конфигурационного пространства PCI/PCe;
  • CMOS (содержимого энергонезависимой памяти);
  • завершенности транзакций - NTFS, EXT3, EXT4.

Для удобства пользователей появилась возможность автоматического построения списков контроля для ОС Windows.

Журнал событий безопасности. Для удобства предусмотрены несколько режимов ведения журнала с разным уровнем детализации.