Шифрование облачных данных | Безопасное хранилище – Mega

Раньше я боялся потерять флешку по причине того, что на ней присутствует информация, доступ посторонних к которой крайне противопоказан (ключи к серверам, пароли к панелям управления хостингом, доменами, сайтами и т.д.).

В чем проблема скажете, создай тем же TrueCrypt шифрованный образ нужного размера и пользуйся. А вот неудобно каждый раз подключать данный образ к системе, тем более, что компьютеры, куда может быть воткнута данная флешка, совершенно разные. По такому случаю приобрел corsair padlock 2 — флешку с аппаратным шифрованием, перед началом использования которой неодходимо ввести пароль. Огромный плюс в том, что защита именно аппаратная, не привязана к какой-либо системе.

Однако, тревога утраты данной дивной флешки стала носить иной характер — информацию хоть и не достанут, но и копии её нигде нет. Косяк страшный. Хранить копию на домашнем компе — тоже не вариант, хочется иметь доступ не только из дома. Выход есть — использовать облачное хранилище Яндекс.Диск, тем более на халяву дают 10 Gb. Грех не воспользоваться.

Для пущей надежности хранить свои секретные данные в облаке будем в зашифрованном виде. Для этих целей можно воспользоваться, упомянутой ранее программой TrueCrypt, но мы поступим иначе, ведь надо когда-то использовать возможности нашей любимой Mac OS X.

Вы знали, что шифрованный образ диска в Mac OS можно легко сделать средствами самой системы? Если нет, то сейчас узнаете.

На самом деле всё очень просто, но есть пара моментов, на которые нужно обратить внимание. Итак, запускаем Дисковую утилиту и нажимаем кнопку «Новый образ»:

Приступаем к настройке нашего нового образа. Задаем имя, максимальный размер (себе установил 500 Mb — для моих целей более чем достаточно). Обратите внимание, что я его сделал растущим (об этом чуть позднее). Кроме того выбираем метод шифрования — быстрый или надёжный. Тут выбор зависит от степени вашей паранойи, так что определяйтесь сами.

С местом хранения нашего шифрованного диска мы определись в самом начале — Яндекс.Диск, который реально монтируется в систему как диск. Собственно всё, вам остается придумать пароль и подтвердить его.

«Растущий образ диска» и «растущий пакет-образ диска». В чем разница?

Растущий пакет-образ диска. Это расширяющийся образ диска который состоит из маленьких кусочков по 8.5 МБ и имеет расширение .sparsebundle. Такой образ может расширяться до предельного значения который указывался при создании в поле «размер». Преимущество такого образа проявляется при резервном копировании. Копируется не весь образ, а только измененные части по 8.5 мб.

Растущий образ диска. Имеет расширение .sparseimage. Как вы уже догадались, в отличие от растущего пакет-образа диска, состоит из одного файла и имеет расширение .sparseimage. В случае изменений, файл перезаписывается целиком. Вообще все это имеет особое значение для Time Machine, а здесь я рассказал для общего ознакомления.


Что еще можно добавить к сказанному? Конечно, данное средство не универсально и получить доступ к вашему шифрованному диску из Windows или Linux не получится. Но на маке, использование такого диска представляется крайне удобным.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Шифрование данных в публичном облаке — контроль и спокойный сон заказчика

Облачные вычисления, Блог компании ИТ-ГРАД, Информационная безопасность

В современном мире все больше компаний рассматривают процесс перехода в облако, и многих останавливает от выбора такого пути единственный вопрос – вопрос защищенности данных. Причем источником такого рода опасений являются как представители бизнеса, так и отделы безопасности, традиционно подозрительно относящиеся ко всему новому, особенно если это связано со снижением контроля либо увеличением списка допущенных к данным лиц.

При этом конкретные задачи, которые ставятся перед сервис провайдером – это обеспечение защиты данных заказчика от доступа любых не авторизованных лиц, будь то сотрудники самого сервис-провайдера, либо любые третьи стороны, доступ которых к данным заказчик считает нежелательным.

В качестве решения этой задачи очевидным образом видится шифрование всех данных, расположенных в облаке, однако, как реализовать такое шифрование, когда традиционные решения являются или не поддерживаемыми в виртуальной среде (как например bitlocker для загрузочных дисков) или вообще не поддерживаемыми (как например бесплатный truecrypt), а самое главное – создают огромный management overhead для обеспечения их работоспособности.

Однако, немногие знают, что существуют корпоративные решения данной задачи, которые сочетают высокую степень защиты с удобством управления и использования.

В качестве решения для обеспечения шифрования данных в облаке мы предлагаем использование продукта SecureCloud компании Trend Micro, компании с мировым именем, основным профилем деятельности которой является корпоративная безопасность.

Данное решение обеспечивает управляемое шифрование данных заказчиков, расположенных в публичных облаках и совместимо с большинством предлагаемых типов публичных облаков, в т.ч. облаками VMware vCloud, которые мы используем. Также, данное решение совместимо с большинством операционных систем, которые могут использоваться в виртуальных машинах.

Решение предоставляется непосредственно компанией TrendMicro по модели SaaS, что позволяет с одной стороны, сохранить удобство для заказчика облачного подхода к IT-сервисам, с моделью биллинга «по подписке», отсутствием потребностей к созданию и поддержке собственных серверов, а для такого бизнес-критичного решения, и обеспечению их высокой доступности, и с другой стороны, оставляет управление ключами шифрования и доступом к данным вне контроля сервис-провайдера.

Модель использования решения предполагает, что диски виртуальных машин зашифровываются с использованием ключей шифрования, которые хранятся в системе SecureCloud. Через систему SecureCloud инициируются процессы начального шифрования либо расшифровывания защищаемых дисков. При попытке доступа к данным происходит обращение к системе SecureCloud, в результате которого, в зависимости от определенных системой политик, происходит либо автоматическая разовая выдача ключа шифрования для расшифровки данных (например, для загрузки ОС), либо выдача ключа только после одобрения администратора.

Для использования в облачной среде важно, что возможность применения политик автоматической выдачи ключа позволяют, с одной стороны, повысить доступность сервисов исключив время реакции администратора клиента из процессов перезагрузки машины, например, в случае сбоев оборудования и срабатывания автоматической перезагрузки машин на других серверах, в случаях проведения согласованных плановых работ, связанных с перезагрузкой машин в окна обслуживания, при этом сохраняя невозможность получения ключа каким-либо ПО, кроме непосредственно защищаемой ОС, либо вне заданных условий функционирования, невозможность доступа к offline копиям данных и возможность в любой момент прекратить автоматическую выдачу ключей.

В данной статье мы не будем углубляться в исследование используемых механизмов шифрования, их криптостойкости и т.п. и поднимать hollywar-ы такой тематики. Фактически, все современные решения по шифрованию данных удовлетворяют потребностям типичных клиентов облачных провайдеров, а основной задачей самой системы защиты является ограничение не целевого использования данных, а не противостояние попыткам расшифровки государственных тайн иностранными спецслужбами. Более подробную информацию по деталям используемых технологий можно изучить в Internet. Основные моменты, которым мы уделим внимание – это механизмы управления и интеграции в существующие системы и процессы.

Архитектурно решение состоит из системы управления, предоставляемой как сервис с доступом через консоль управления и агентов, установленных на защищаемых виртуальных машинах. Консоль управления SecureCloud доступна по web по адресу console.securecloud.com/ и выглядит типично для большинства web консолей, а агент доступен для загрузки с сайта компании trendmicro.
Первично для использования сервиса создаются учетные записи пользователей, которые будут управлять шифрованием и допуском к зашифрованным данным (в т.ч. политиками доступа и запросами на доступ).

Также SecureCloud можно подключить к инсталляции DeepSecurity для обеспечения проверки защищенности машины от вирусов перед принятием решения о выдаче ключа:

Для начала использования системы необходимо установить на виртуальную машину агент и подключить его к системе управления. При этом при использовании заданного в настройках системы управления ключа виртуальная машина будет автоматически добавлена в Inventory:

Также, можно инициировать начальное шифрование данных (можно сделать это в дальнейшем через консоль управления):

После конфигурации соответствующая запись становится доступной через консоль управления, прогресс шифрования также отражается в консоли:

При необходимости, ключи можно экспортировать для безопасного сохранения на резервном носителе и импортировать.

После окончания процесса данные на дисках оказываются полностью зашифрованными, с ключом, сохраненном только в системе SecureCloud и оперативной памяти ОС виртуальной машины.

20 лучших облачных хранилищ данных

Для управления процессом доступа к ключам используются политики, которые позволяют определить условия, при которых происходит автоматическая или ручная выдача, или отзыв ключа шифрования. В качестве условий кроме общих, таких как например ip адреса клиента, могут использоваться параметры антивируса TrendMicro:

В качестве возможный действий по запросу – ручное или автоматическое одобрение либо отказ в выдаче ключа

Также, есть возможность включение периодической проверки соответствия машины условиям, указанным в политике, с применением заданных действий в случае изменения условий.

При загрузке зашифрованной машины, перед ОС происходит загрузка агента, который, устанавливая безопасное соединение с системой SecureCloud, производит запрос ключа для доступа к данным:

Далее, в зависимости от установленных политик, происходит либо автоматическая выдача ключа, либо в системе SecureCloud появляется запрос на ключ, требующий ручной реакции:

После одобрения ключа загрузка системы продолжается.

Для обеспечения оперативного реагирования, система SecureCloud поддерживает гибкий механизм нотификаций о событиях, требующих реакции:

Вся информация о событиях и действиях, совершенных в системе как вручную, так и автоматически, доступна для просмотра через систему логгирования либо для создания регулярных отчетов.

Простота запуска и использования и, одновременно, высокий уровень контроля и безопасности, на наш взгляд, делают данную систему предпочтительной для использования компаниями, с одной стороны заинтересованными в защите своих данных от несанкционированного доступа любого рода, и с другой стороны, заинтересованными в удобстве и бизнес-эффективности применения облачных сервисов в качестве замены или для расширения собственной ИТ инфраструктуры.

ит-град, it-grad, шифрование данных, корпоративные решения, облачные сервисы, облачные вычисления, безопасность в облаке, cloud security, iaas, иаас, saas, cloud


наверх

Источник статей: Хабр.

Время указано в том часовом поясе, который установлен на Вашем устройстве.

Версия сайта: 0.8.
Об ошибках, предложениях, пожалуйста, сообщайте через Telegram пользователю @leenr, по e-mail i@leenr.ru или с помощью других способов связаться.

Всегдабр (расширение для Google Chrome)
Статистика посещений
СоХабр в ВК (новости проекта)

Если Вы еще используете утилиту TrueCrypt для шифрования личных данных, настало самое время перейти на альтернативную программу шифрования для защиты отдельных файлов или целых дисков

Свободно распространяемая программа TrueCrypt с открытым исходным кодом была популярна на протяжении 10 лет благодаря свой независимости от основных вендоров. Создатели программы публично неизвестны. Среди самых известных пользователей программы можно выделить Эдварда Сноудена и эксперта по безопасности Брюса Шнайера. Утилита  позволяет превратить флеш-накопитель или жесткий диск в защищенное зашифрованное хранилище, в котором конфиденциальная информация скрыта от посторонних глаз.

Таинственные разработчики утилиты объявили о закрытии проекта в среду 28 мая, объяснив, что использование TrueCrypt небезопасно. «ВНИМАНИЕ: Использовать TrueCrypt небезопасно, т.к. программа может содержать неустраненные уязвимости» — такое сообщение можно увидеть на странице продукта на портале SourceForge. Далее следует еще одно обращение: «Вы должны перенести все данные , зашифрованные в TrueCrypt на зашифрованные диски или образы виртуальных дисков, поддерживаемые на вашей платформе».

Независимый эксперт по безопасности Грэм Клули вполне логично прокомментировал сложившуюся ситуацию: «Настало время подыскать альтернативное решение для шифрования файлов и жестких дисков».

Это не шутка!

Первоначально появлялись предположения, что сайт программы был взломан киберпреступниками, но теперь становится ясно, что это не обман. Сайт SourceForge сейчас предлагает обновленную версию TrueCrypt (которая имеет цифровую подпись разработчиков), во время установки которой предлагается перейти на BitLocker или другой альтернативный инструмент.

Профессор в области криптографии университета Джона Хопкинаса Мэтью Грин сказал: «Очень маловероятно, что неизвестный хакер идентифицировал разработчиков TrueCrypt, украл их цифровую подпись и взломал их сайт».

Что использовать теперь?

Сайт и всплывающее оповещение в самой программе содержит инструкции по переносу файлов, зашифрованных TrueCrypt на сервис BitLocker от Microsoft, который поставляется вместе с ОС Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise и Windows 8 Pro/Enterprise. TrueCrypt 7.2 позволяет дешифровать файлы, но не позволяет создавать новые зашифрованные разделы.

Самой очевидной альтернативой программе является  BitLocker, но есть и другие варианты. Шнайер поделился, что он возвращается к использованию PGPDisk от Symantec. Symantec Drive Encrpytion (110 долларов за одну пользовательскую лицензию) использует хорошо известный и проверенный метод шифрования PGP.

Существуют и другие бесплатные альтернативы для Windows, например DiskCryptor. Исследователь по компьютерной безопасности, известный как The Grugq в прошлом году составил целый список альтернатив TrueCrypt, который актуален и по сей день.

Йоханнес Ульрих, научный руководитель технологического института SANS пользователям Mac OS X рекомендует обратить внимание на FileVault 2, который встроен в OS X 10.7 (Lion) и более поздние ОС данного семейства. FileVault использует 128-битное шифрование XTS-AES, которое применяется в агентстве национальной безопасности США (NSA). По мнению Ульриха пользователи Linux должны придерживаться встроенного системного инструмента Linux Unified Key Setup (LUKS). Если Вы используете Ubuntu, то установщик этой ОС  уже позволяет включить полное шифрование дисков с самого начала.

Тем не менее, пользователям понадобятся другие приложения для шифрования переносных носителей, которые используются на компьютерах с разными ОС.  Ульрих сказал, что в этом случае на ум приходит PGP/GnuPG.

Немецкая компания Steganos предлагает воспользоваться старой версией своей утилиты шифрования Steganos Safe (актуальная версия на данный момент — 15, а предлагается воспользоваться 14 версией), которая распространяется бесплатно.

Неизвестные уязвимости

Тот факт, что TrueCrypt может иметь уязвимости в безопасности вызывает серьезные опасения, особенно учитывая, что аудит программы не выявил подобных проблем. Пользователи программы накопили 70 000 долларов для проведения аудита после слухов о том, что агентство национальной безопасности США  может декодировать значительные объемы зашифрованных данных. Первый этап исследования, в котором анализировался загрузчик TrueCrypt был проведен в прошлом месяце. Аудит не выявил ни бэкдоров, ни умышленных уязвимостей. Следующая фаза исследования, в которой должны были проверяться используемые методы криптографии была запланирована на это лето.

Грин был одним из экспертов, участвующих в аудите. Он рассказал, что не имел никакой предварительной информации о том, что разработчики планирую закрыть проект. Грин рассказал: «Последнее что я слышал от разработчиков TrueCrypt: «Мы с нетерпением ждем результаты 2 фазы испытания. Спасибо за ваши старания!».

Boxcryptor — шифрование данных в облачных сервисах

Нужно отметить, что аудит продолжится, как было запланировано, несмотря на остановку проекта TrueCrypt.

Возможно, создатели программы решили приостановить разработку, потому что утилита является устаревшей. Разработка прекратилась 5 мая 2014 года, т.е. уже после официального прекращения поддержки системы Windows XP. На SoundForge  упоминается: «Windows 8/7/Vista и более поздние системы имеют встроенные средства для шифрования дисков и образов виртуальных дисков». Таким образом, шифрование данных встроено во многие ОС, и разработчики могли посчитать программу больше не нужной.

Чтобы добавить масла в огонь отметим, что 19 мая TrueCrypt была удалена из защищенной системы Tails (любимой системы Сноудена). Причина до конца не ясна, но использовать программу явно не следует – отметил Клули.

Клули также написал: «Будь то обман, взлом или логичный конец жизненного цикла TrueCrypt, становится ясно, что сознательные пользователи не будут чувствовать себя комфортно, доверяя свои данные программе после произошедшего фиаско».

Перевод Comss.ru.

По материалам интернет-портала SecurityWatch

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Облачные хранилища становятся всё доступней, однако многие справедливо опасаются держать в них приватные данные. Описываемый в статье способ шифрует данные не только в облаке, но и расположенные локально. Для разблокировки шифрованных данных будет использоваться пароль пользователя операционной системы.

Это нужно учитывать при смене пароля, а также для обеспечения возможной синхронизации с другими своими компьютерами. Для решения нашей задачи используем программу EncFS (Шифрованная виртуальная файловая система) и пакет libpam-encfs (модуль для автоматического монтирования файловых систем EncFS использующий механизм модуля PAM)

Всё описанное ниже тестировалось на ОБЛАКО@mail.ru

Установка

sudoapt-getinstall encfs libpam-encfs

Создание необходимых каталогов

Создадим в каталоге пользователя директорию ~/<cloud>/.private, в которой будут храниться данные в зашифрованном виде, и точку монтирования шифрованной файловой системы ~/private:

mkdir-p ~/<cloud>/.private ~/private

где <cloud> — ваше название каталога который настроен для синхронизации облака. Названия каталогов конечно могут быть своими, но для простоты последующей настройки советую назвать их именно так.

Создаем шифрованную файловую систему EncFS

Создаем шифрованную файловую систему EncFS для уже созданных нами каталогов:

encfs ~/<cloud>/.private ~/private

в процессе создания выбираем режим эксперта: «x» — это для того что бы иметь возможность выбрать алгоритм шифрования имен «Null» — таким образом, файлы в облаке будут иметь привычные имена и не будут пересинхронизироваться при использовании на разных компьютерах.(?)

Остальные параметры по умолчанию. При вводе пароля не забудьте выбрать его равным паролю логина юзера в системе.

Cryptomator — Шифрование ваших облачных данных в Linux

Настройка автоматического монтирования EncFS при входе пользователя в систему (логине)

1. Редактируем файл «/etc/security/pam_encfs.conf»:

sudonano/etc/security/pam_encfs.conf

для того что бы отключить автоматическое размонтирование при простое закоментируем строку:

# encfs_default —idle=1

раскомментируем строку:

* .private private -v allow_other

отредактируем её таким образом что бы указать созданные нами ранее каталоги:

*<cloud>/.private private -v allow_other

Именно эта строка указывает на автоматическое монтирование EncFS при входе пользователя в систему. Пути могут быть как относительно домашнего каталога, так и полные.

Если синхронизируемые папки находятся вне домашнего каталога, то придётся вместо «*» прописать имя (логин) пользователя:

example_user /mnt/<cloud>/.private /home/example_user/private -v allow_other

2. Редактируем файл «/etc/fuse.conf»:

sudonano/etc/fuse.conf

где раскомментируем строку позволяющую опции монтирования не-root пользователям:

user_allow_other

3. Добавляем пользователя в группу fuse:

sudo usermod -a-G fuse $USER

Использование

Теперь, всякий раз при запуске системы, данные из ~/<cloud>/.private будут монтироваться в ~/private в расшифрованном виде. Пользователь должен работать с файлами расположенными именно в каталоге ~/private. Каталог c шифрованными данными сознательно сделан скрытым (в названии впереди добавлена точка) что бы случайно не ввести туда данные.

Настройка синхронизации с другими компьютерами

При настройке синхронизации с другим компьютером сначала настраиваем синхронизацию с облаком, синхронизируем все файлы и только затем настраиваем EncFS. Поскольку, файл «.encfs6.xml» уже будет на месте, программа EncFS, при правильном указании каталогов, должна спросить у вас только пароль.

Будьте готовы к тому, что при неправильных действиях вновь созданный пустой каталог может привести к опустошению содержимого соответствующего каталога в облаке и на всех связанных с ним компьютерах.

Замечания

  1. Если включен автологин в систему в файле «/etc/lightdm/lightdm.conf», то монтирование шифрованного каталога в «~/private» автоматически осуществляться не будет. Оно и понятно. Но не сразу
  2. В ubuntu при монтировании EncFS в файловом менеджере появляется съемное устройство «private». А, допустим в Debian 7 XFCE, смонтированная система никак себя не обнаруживает. Об успешном монтировании можно судить или по наличию файла «.encfs6.xml» в точке монтирования, или командами df-h|grep encfs

    или

    cat/etc/mtab |grep encfs

  3. В процессе настройки и эксплуатации может потребоваться отмонтировать шифрованную систему. Выполняется командой: fusermount -u ~/private

Теперь о реверсе

Хранение локальных файлов в шифрованном виде может быть нецелесообразным, например, если домашний каталог и так шифруется, или, как у меня, зашифрован весь корень, или же вы вообще не собираетесь шифровать данные локально. Для такого случая есть интересная опция –reverse. Что бы её использовать меняем местами как в настройках, так и в голове понятия SOURCE и TARGET. Теперь источником будут обычные нешифрованные данные, а в точке монтирования TARGET PATH будут шифрованные данные.

Таким образом меняется команда создания шифрованной файловой системы:

encfs —reverse ~/private ~/<cloud>/.private

И строка в файле «/etc/security/pam_encfs.conf» меняется соответственно:

* private <cloud>/.private -v allow_other

Для расшифровки синхронизированных данных на другом (новом) компьютере необходимо хранить файл encfs6.xml из каталога с нешифрованными данными.

После окончания синхронизации — загрузки всех шифрованных данных на новый компьютер, приостанавливаем синхронизацию. Расшифровываем данные с помощью файла encfs6.xml и пароля во временный каталог:

ENCFS6_CONFIG=~/temp_dir/.encfs6.xml encfs ~/<cloud>/.private ~/temp_dir/private

Копируем расшифрованные данные из временного каталога на своё постоянное место хранения:

cp-r ~/temp_dir/private ~/private

Очищаем каталог ~/<cloud>/.private от шифрованных данных любым известным вам способом. И создаем новую шифрованную файловую систему с использованием сохраненного файла encfs6.xml:

ENCFS6_CONFIG=~/temp_dir/.encfs6.xml encfs —reverse ~/private ~/<cloud>/.private

Проверяем наличие шифрованных данных в нужном каталоге и возобновляем синхронизацию с облаком.

Сведения о безопасности encfs

Ссылки

Согласно аудиту безопасности, выполненному Taylor Hornby (Defuse Security), текущая реализация Encfs уязвима или потенциально уязвима нескольким типам атак. Например, атакующий с правами чтения/записи шифрованных данных может понизить стойкость шифрования последующих данных без уведомления законного пользователя, или может использовать временной анализ для получения информации.

Пока эти проблемы не будут устранены, encfs не должна рассматриваться безопасной для важных данных в случаях, где эти атаки возможны.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *