Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами
Когда я узнал, что мне предстоит подготовить обзор продукта Idera SharePoint encrypt, я начал готовиться к сложному как с административной, так и с пользовательской точки зрения решению. Когда я раньше сталкивался со средствами шифрования, особенно для Microsoft Outlook или Exchange Server, то всегда от пользователя требовалось выполнить некоторую последовательность шагов. Разработчики Idera понимают, что пользователей нельзя предоставлять самим себе в вопросах безопасности, а я свято верю в то, что системы безопасности можно сделать максимально понятными. В Idera SharePoint encrypt агенты устанавливаются на внешние веб-серверы SharePoint и спокойно выполняют всю работу. Нет программного обеспечения для установки на рабочий стол, нет и никаких видимых изменений в веб-интерфейсе SharePoint. Пользователи могут продолжать работать с SharePoint привычным образом, поскольку никакого обучения не требуется.
SharePoint использует Microsoft SQL Server для хранения данных. Несмотря на то, что можно задействовать механизм шифрования transparent data encryption (TDE) в SQL Server 2008, есть один существенный минус – вы не сможете запретить просмотр засекреченных данных SharePoint персоналом ИТ-подразделения, у которого есть привилегированные учетные записи. Продукт Idera SharePoint encrypt спроектирован таким образом, чтобы владельцы привилегированных учетных записей не могли просмотреть зашифрованные данные, что особенно полезно для организаций, которые передают сторонним пользователям часть своих ИТ-операций.
Однако решение Idera не может шифровать все типы файлов. Например, оно не в состоянии шифровать файлы. jpeg или. png. Более того, оно может шифровать только данные, которые хранятся в библиотеках документов, поэтому шифрование списка не поддерживается. Вы не можете выполнить поиск по содержимому зашифрованных документов, но документы можно найти по имени файла. Idera SharePoint encrypt способен расшифровать только файлы, доступ к которым производится через веб-интерфейс SharePoint. Это значит, что если вы работаете с приложениями, которые используют SharePoint API, зашифрованные документы можно просмотреть только тогда, когда они открыты через веб-интерфейс SharePoint.
Установка
Idera SharePoint encrypt состоит из агента (или службы), который устанавливается на внешний веб-сервер SharePoint. Служба шифрования поддерживает SharePoint 2007 SP2 и более новые версии, включая SharePoint Foundation, установленный на Windows Server 2003 или более поздних версиях. Панель управления может быть установлена на Windows 7 (64-разрядном), Windows Server 2008 R2 (64-разрядном) или Windows Server 2008 (64-разрядном) и требует Microsoft. NET Framework 4.0 или более новой версии. TCP-порт 5194 должен быть открыт на всех серверах, где запускается консоль управления и агент шифрования.
Если у вас более одного внешнего веб-сервера в ферме SharePoint, первый агент шифрования, который вы устанавливаете, становится главным агентом, который взаимодействует с панелью управления. Любые дополнительные агенты связываются с главным агентом. Учетные записи службы, от имени которых запускают агентов шифрования, должны принадлежать группе администраторов фермы SharePoint и локальным администраторам на сервере, где устанавливается служба. Более того, у них должны быть разрешения Database Owner в базе SharePoint, которая будет хранить зашифрованные данные.
Установка консоли и главного агента шифрования представляет собой простой процесс. Вы выполняете процесс добавления файла лицензий и первых двух учетных записей администратора консоли управления. Также необходимо убедиться, что панель управления может общаться с главным агентом шифрования. Если вы хотите установить агента на нескольких пользовательских веб-серверах SharePoint, следует указать IP-адрес главного агента шифрования.
Настройка
После установки требуется задать настройки вашей системы шифрования, этот процесс состоит из трех шагов. Первый шаг – это создание как минимум одной политики управления ключом в дополнение к двум политикам, созданным по умолчанию (none и decrypt). Политики управления ключом управляют автоматическим изменением ключа шифрования и сроком его действия. Я решил создать политику, которая использует 256-разрядное шифрование Advanced Encryption Standard (AES). Она требует, чтобы ключ менялся каждый год и хранился в течение 7 лет. Также поддерживается шифрование Federal Information Processing Standard (FIPS) 140-2.
Следующий шаг – это создание как минимум одного списка управления доступом ACL. Существует три вида ACL:
*None – шифрует и дешифрует файлы для всех пользователей, у которых нет иного списка контроля доступа, кроме того, который определен базовой системой безопасности SharePoint;
*Block Admins – шифрует и дешифрует файлы для всех пользователей и позволяет быстро убедиться, что ИТ-администраторы не могут видеть зашифрованные данные;
*Specify Users – разрешает и запрещает доступ к зашифрованному контенту определенным локальным пользователям, пользователям Active Directory или SharePoint.
Для данного теста я выбрал Block Admins.
Заключительный шаг – это переключение на вкладку Portals, которая показана на приведенном экране, и выбор библиотеки или библиотек документов для применения ваших ACL и политик управления ключом. После применения политики шифруются все элементы в библиотеке. Любые элементы, которые последовательно добавляются или создаются посредством веб-интерфейса SharePoint, также шифруются.
Экран. Ярлык Portals в окне Idera SharePoint encrypt |
Для каждого зашифрованного элемента Idera регистрирует событие и идентификатор шифрования KeyGUID. Если документ потребуется дешифровать когда-либо в будущем, администратор может открыть его как текстовый файл и посмотреть KeyGUID, чтобы определить, какой ключ шифрования требуется для расшифровки документа. Документы также можно расшифровать, используя встроенную политику дешифрования. Если встроенная политика или политика управления ключом удаляются из библиотеки документов SharePoint, зашифрованные при действии такой политики файлы остаются зашифрованными.
Предусмотрено, что администраторы могут обозревать структуру используемой всеми библиотеки документов SharePoint, но не содержание документов. Это очень полезно, если администраторам нужен доступ к средствам изменения структуры библиотеки или управления представлениями, но необходима защита от просмотра секретного контента.
Idera SharePoint encrypt использует ключ Master Encryption Key (MEK), резервная копия которого создается ежедневно. XML-файлы, которые содержат всю информацию о настройках и политике, также должны быть зарезервированы. Все криптографические функции выполняются самим программным обеспечением, поэтому отдельная инфраструктура открытых ключей Public Key Infrastructure (PKI) не требуется.
То, что нужно, но…
Idera SharePoint encrypt имеет много удобных функций, но есть и подводные камни:
-недостаточная поддержка расшифровки документов программами сторонних компаний, которые используют разные SharePoint API (например, модуль Outlook для облегчения доступа к документам SharePoint), является серьезным ограничением, если ваша организация использует или планирует использовать такие программы;
-Idera SharePoint encrypt не может шифровать все типы файлов и шифрует только те, которые размещены в библиотеках документов.
Важно еще заметить, что в отличие от SQL Server TDE, решение от Idera не может шифровать базы данных, соответствующие файлы журналов, резервные копии, данные, записанные в базы данных tempdb, мгновенные снимки и любые зеркальные экземпляры баз данных, которые могут существовать в средах с высокой степенью безопасности. Кроме того, TDE имеет преимущество в том, что может шифровать все элементы SharePoint.
Однако сегодня многие организации используют обновленную поддержку Remote BLOB Storage (RBS) в SharePoint 2010 для перемещения данных из SQL Server в более дешевые формы хранения. В таком случае вам подойдет средство шифрования независимой компании, такое как Idera SharePoint.
Начиная проверку возможного решения для шифрования, следует тщательно подумать, готовы ли вы смириться с недостатками Idera SharePoint encrypt. Если да, то это решение определенно заслуживает внимания.
Idera SharePoint encrypt
ЗА: работает без использования отдельной инфраструктуры открытых ключей; понятен пользователям; не разрешает владельцам привилегированных учетных записей просматривать секретные данные.
ПРОТИВ: не поддерживает декодирование документов программами сторонних компаний, использующими различные SharePoint API, поэтому зашифрованные документы приходится просматривать через веб-интерфейс SharePoint; некоторые типы файлов не могут быть зашифрованы.
ОЦЕНКА: 2,5 из 5
ЦЕНА: от 25000 до 40000 долл. в год, зависит от среды SharePoint.
РЕКОМЕНДАЦИИ: если вам нужен быстрый способ управлять шифрованием в среде SharePoint и вы не планируете использовать какие-либо утилиты SharePoint сторонних фирм, Idera SharePoint encrypt является именно тем решением, которое сделает систему безопасности проще для администраторов и пользователей.
КОНТАКТЫ: Idera, http://www.idera.com