Доверенная загрузка и защита данных при удаленной работе на графических станциях

    Компания DEPO Computers совместно с ОКБ САПР разработала решение для обеспечения доверенной удаленной загрузки и контроля за состоянием данных.
    Существует множество программно-аппаратных средств защиты информации и доверенной загрузки, но сейчас речь пойдет о модуле Аккорд-АМДЗ (аппаратный модуль доверенной загрузки), интегрированного в решение по консолидации CAD-систем. Модуль Аккорд устанавливается в удаленную графическую станцию и перехватывает загрузку операционной системы. А аутентификация пользователя производится на PCoIP-терминале с помощью персонального средства криптографической защиты ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации), которое также можно использовать и для аутентификации при входе в домен.


    Аппаратная составляющая серверной части решения


    Модуль Аккорд-АМДЗ устанавливается в рабочую станцию, находящуюся в ЦОД в пределах локальной сети предприятия. Форм-фактор графической станции может быть различный. Для высокопроизводительных двухпроцессорных станций это может быть Blade исполнение или 1U. У графической станции DEPO Race BladeG10 есть ряд преимуществ и недостатков по сравнению с 1U-станцией DEPO Race C770R1U. Из плюсов можно отметить высокую плотность вычислительных мощностей: 10 лезвий занимают всего 7U в 19"-стойке. Также Blade-системы отличаются высокой отказоустойчивостью: шасси DEPO Race BladeEN710 оснащается четырьмя 2кВт блоками питания с возможностью горячей замены и избыточностью n+1. Также в Blade-системах поддерживается резервирование Ethernet-коммутатора и IPMI-модуля.

    1U-платформа, в свою очередь, отличается меньшей стоимостью, более надежной локальной дисковой подсистемой и возможностью устанавливать до двух карт NVIDIA Quadro или Tesla.

    В качестве 1-процессорного решения была разработана более бюджетная модель графических станций в стоечном исполнении — это DEPO Race C250S2U. О ней мы хотели бы написать чуть больше. Рабочая станция выполнена в 2U-корпусе с поддержкой ATX блоков питания, что существенно снижает стоимость. Платформа построена на C206-материнской плате с поддержкой ECC-памяти и процессоров Xeon E3. Существенным ограничением может стать использование только низкопрофильных карт расширения, что, в принципе, нам не мешает установить в рабочую станцию профессиональный видеоадаптер начального уровня, PCoIP хост-карту и модуль доверенной загрузки Аккорд.
    Система охлаждения корпуса реализована двумя 80мм вентиляторами спереди и одним 70мм сзади. При эксплуатации рабочей станции в более жестких температурных условиях есть возможность дополнительно установить сзади корпуса два 40мм вытяжных вентилятора.
    Дисковая подсистема строится из 4 дисков без возможности горячей замены — 2 спереди и 2 сзади.
    Блок питания имеет горизонтальный продув 80мм вентилятором. БП с 120мм вентилятором в этот корпус не подходят — это связано с расположением блока в корпусе.
    Передняя панель оснащена съемным пылевым фильтром. Также имеются отсеки для установки оптического привода и карт-ридера.

    Состав СЗИ


    Модуль Аккорд-АМДЗ имеет низкопрофильное исполнение и интерфейс PCI-E x1. Плата имеет разъем RJ-11, предназначенный для подключения устройства распознавания магнитных ключей-идентификаторов. Но, так как в нашем случае идентификация производится с помощью ШИПКА, в решении этот разъем не используется.
    Ключи ШИПКА имеют интерфейс USB и бывают двух типов: первый для доверенной загрузки ОС — он используется пользователем и второй для администрирования и настройки.

    Принцип действия


    Рабочая станция включается удаленно с помощью PCoIP-терминала. Перед загрузкой ОС Аккорд перехватывает управление. На этот момент хост-карта активирована и уже обеспечивает полную связь рабочей станции с терминалом. На экране появляется следующий запрос:



    Далее необходимо вставить ключ-идентификатор ШИПКА в любой USB-порт PCoIP-портала.
    Система произведет идентификацию ключа и запросит пароль.



    Если был вставлен пользовательский ключ, то при корректной аутентификации произойдет запуск операционной системы. Если же мы использовали ключ администратора, то увидим следующее окно:



    Выбрав «Администрирование» мы попадаем в меню настройки модуля Аккорд.



    Здесь можно настроить обеспечение контроля за целостностью как отдельных файлов, так и целых директорий. Система сохраняет контрольную сумму охраняемых объектов и проверяет ее перед каждой загрузкой операционной системы. Если пользователь в процессе работы случайно или намеренно произвел изменения в охраняемых объектах, то при следующем запуске рабочей станции ОС не будет загружена, а вход будет возможен только с помощью админского ключа. Таким образом набедокуревший юзер будет вынужден вызвать сисадмина и не сможет скрыть вмешательства.

    Usikoff,
    технический специалист DEPO Computers
    DEPO Computers
    Компания
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 13

      +1
      Я правильно понял, что одно рабочее место = один лезвие или 1U?
      Какие PCoIP-терминалы можно использовать на рабочих местах? Можно ли использовать сторонние тонкие клиенты?
        0
        Совершенно верно: одно рабочее место = один лезвие или 1U. С хост-картой совместимы только специализированные терминалы — они не имеют ОС и должны иметь ту же версию прошивки, что и хост-карта.
        +1
        Скриншоты интерфейса АПМДЗ (линуксовая прошивка) — реальные в уже готовом продукте?
        Каким образом возможно обновление прошивки?
          0
          Да, эти фото реальные в уже готовом продукте.
          Для обновления необходимо перевести устройство в технологический режим (в нашем случае снять брэкет и джампер) и произвести обновление прошивки согласно документации с оф.сайта.
          +1
          Спасибо!
          А возможен ли вариант удалённого обновления прошивки?
            0
            Нет. В целях обеспечения безопасности СЗИ возможна только локальная перепрошивка с непосредственным доступом к рабочей станции.
            0
            Понятно, спасибо за ответы!
              0
              какие существуют зарубежные аналоги шипки и аккорда применимые для данной задачи?
                0
                Для данной задачи нет смысла использовать зарубежные аналоги, т.к. они не имеют необходимых для РФ сертификатов.
                  0
                  меня, как раз, совершенно не интересует вопрос наличия сертификатов РФ.
                  меня интересуют аналоги в плане технических возможностей устройств\софта.
                    0
                    Их сейчас практически нет в России потому что они никому не нужны без сертификатов соответствия.
                      0
                      Возможно так оно и есть, но все-таки, имена у них имеются? =)
                        0
                        Да не возятся они в Россию, да же если имеют какие либо имена. Эта технология интересна в случаи ввода режима конфиденциальности, или при обработке персональных данных или конфиденциальных данных.
                        Зарубежные аналоги если и есть то использоваться не могут, так как не гарантируют выполнения заявленного функционала.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое