Компания DEPO Computers совместно с ОКБ САПР разработала решение для обеспечения доверенной удаленной загрузки и контроля за состоянием данных.
Существует множество программно-аппаратных средств защиты информации и доверенной загрузки, но сейчас речь пойдет о модуле Аккорд-АМДЗ (аппаратный модуль доверенной загрузки), интегрированного в решение по консолидации CAD-систем. Модуль Аккорд устанавливается в удаленную графическую станцию и перехватывает загрузку операционной системы. А аутентификация пользователя производится на PCoIP-терминале с помощью персонального средства криптографической защиты ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации), которое также можно использовать и для аутентификации при входе в домен.
Модуль Аккорд-АМДЗ устанавливается в рабочую станцию, находящуюся в ЦОД в пределах локальной сети предприятия. Форм-фактор графической станции может быть различный. Для высокопроизводительных двухпроцессорных станций это может быть Blade исполнение или 1U. У графической станции DEPO Race BladeG10 есть ряд преимуществ и недостатков по сравнению с 1U-станцией DEPO Race C770R1U. Из плюсов можно отметить высокую плотность вычислительных мощностей: 10 лезвий занимают всего 7U в 19"-стойке. Также Blade-системы отличаются высокой отказоустойчивостью: шасси DEPO Race BladeEN710 оснащается четырьмя 2кВт блоками питания с возможностью горячей замены и избыточностью n+1. Также в Blade-системах поддерживается резервирование Ethernet-коммутатора и IPMI-модуля.
1U-платформа, в свою очередь, отличается меньшей стоимостью, более надежной локальной дисковой подсистемой и возможностью устанавливать до двух карт NVIDIA Quadro или Tesla.
В качестве 1-процессорного решения была разработана более бюджетная модель графических станций в стоечном исполнении — это DEPO Race C250S2U. О ней мы хотели бы написать чуть больше. Рабочая станция выполнена в 2U-корпусе с поддержкой ATX блоков питания, что существенно снижает стоимость. Платформа построена на C206-материнской плате с поддержкой ECC-памяти и процессоров Xeon E3. Существенным ограничением может стать использование только низкопрофильных карт расширения, что, в принципе, нам не мешает установить в рабочую станцию профессиональный видеоадаптер начального уровня, PCoIP хост-карту и модуль доверенной загрузки Аккорд.
Система охлаждения корпуса реализована двумя 80мм вентиляторами спереди и одним 70мм сзади. При эксплуатации рабочей станции в более жестких температурных условиях есть возможность дополнительно установить сзади корпуса два 40мм вытяжных вентилятора.
Дисковая подсистема строится из 4 дисков без возможности горячей замены — 2 спереди и 2 сзади.
Блок питания имеет горизонтальный продув 80мм вентилятором. БП с 120мм вентилятором в этот корпус не подходят — это связано с расположением блока в корпусе.
Передняя панель оснащена съемным пылевым фильтром. Также имеются отсеки для установки оптического привода и карт-ридера.
Модуль Аккорд-АМДЗ имеет низкопрофильное исполнение и интерфейс PCI-E x1. Плата имеет разъем RJ-11, предназначенный для подключения устройства распознавания магнитных ключей-идентификаторов. Но, так как в нашем случае идентификация производится с помощью ШИПКА, в решении этот разъем не используется.
Ключи ШИПКА имеют интерфейс USB и бывают двух типов: первый для доверенной загрузки ОС — он используется пользователем и второй для администрирования и настройки.
Рабочая станция включается удаленно с помощью PCoIP-терминала. Перед загрузкой ОС Аккорд перехватывает управление. На этот момент хост-карта активирована и уже обеспечивает полную связь рабочей станции с терминалом. На экране появляется следующий запрос:
Далее необходимо вставить ключ-идентификатор ШИПКА в любой USB-порт PCoIP-портала.
Система произведет идентификацию ключа и запросит пароль.
Если был вставлен пользовательский ключ, то при корректной аутентификации произойдет запуск операционной системы. Если же мы использовали ключ администратора, то увидим следующее окно:
Выбрав «Администрирование» мы попадаем в меню настройки модуля Аккорд.
Здесь можно настроить обеспечение контроля за целостностью как отдельных файлов, так и целых директорий. Система сохраняет контрольную сумму охраняемых объектов и проверяет ее перед каждой загрузкой операционной системы. Если пользователь в процессе работы случайно или намеренно произвел изменения в охраняемых объектах, то при следующем запуске рабочей станции ОС не будет загружена, а вход будет возможен только с помощью админского ключа. Таким образом набедокуревший юзер будет вынужден вызвать сисадмина и не сможет скрыть вмешательства.
Usikoff,
технический специалист DEPO Computers
Существует множество программно-аппаратных средств защиты информации и доверенной загрузки, но сейчас речь пойдет о модуле Аккорд-АМДЗ (аппаратный модуль доверенной загрузки), интегрированного в решение по консолидации CAD-систем. Модуль Аккорд устанавливается в удаленную графическую станцию и перехватывает загрузку операционной системы. А аутентификация пользователя производится на PCoIP-терминале с помощью персонального средства криптографической защиты ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации), которое также можно использовать и для аутентификации при входе в домен.
Аппаратная составляющая серверной части решения
Модуль Аккорд-АМДЗ устанавливается в рабочую станцию, находящуюся в ЦОД в пределах локальной сети предприятия. Форм-фактор графической станции может быть различный. Для высокопроизводительных двухпроцессорных станций это может быть Blade исполнение или 1U. У графической станции DEPO Race BladeG10 есть ряд преимуществ и недостатков по сравнению с 1U-станцией DEPO Race C770R1U. Из плюсов можно отметить высокую плотность вычислительных мощностей: 10 лезвий занимают всего 7U в 19"-стойке. Также Blade-системы отличаются высокой отказоустойчивостью: шасси DEPO Race BladeEN710 оснащается четырьмя 2кВт блоками питания с возможностью горячей замены и избыточностью n+1. Также в Blade-системах поддерживается резервирование Ethernet-коммутатора и IPMI-модуля.
1U-платформа, в свою очередь, отличается меньшей стоимостью, более надежной локальной дисковой подсистемой и возможностью устанавливать до двух карт NVIDIA Quadro или Tesla.
В качестве 1-процессорного решения была разработана более бюджетная модель графических станций в стоечном исполнении — это DEPO Race C250S2U. О ней мы хотели бы написать чуть больше. Рабочая станция выполнена в 2U-корпусе с поддержкой ATX блоков питания, что существенно снижает стоимость. Платформа построена на C206-материнской плате с поддержкой ECC-памяти и процессоров Xeon E3. Существенным ограничением может стать использование только низкопрофильных карт расширения, что, в принципе, нам не мешает установить в рабочую станцию профессиональный видеоадаптер начального уровня, PCoIP хост-карту и модуль доверенной загрузки Аккорд.
Система охлаждения корпуса реализована двумя 80мм вентиляторами спереди и одним 70мм сзади. При эксплуатации рабочей станции в более жестких температурных условиях есть возможность дополнительно установить сзади корпуса два 40мм вытяжных вентилятора.
Дисковая подсистема строится из 4 дисков без возможности горячей замены — 2 спереди и 2 сзади.
Блок питания имеет горизонтальный продув 80мм вентилятором. БП с 120мм вентилятором в этот корпус не подходят — это связано с расположением блока в корпусе.
Передняя панель оснащена съемным пылевым фильтром. Также имеются отсеки для установки оптического привода и карт-ридера.
Состав СЗИ
Модуль Аккорд-АМДЗ имеет низкопрофильное исполнение и интерфейс PCI-E x1. Плата имеет разъем RJ-11, предназначенный для подключения устройства распознавания магнитных ключей-идентификаторов. Но, так как в нашем случае идентификация производится с помощью ШИПКА, в решении этот разъем не используется.
Ключи ШИПКА имеют интерфейс USB и бывают двух типов: первый для доверенной загрузки ОС — он используется пользователем и второй для администрирования и настройки.
Принцип действия
Рабочая станция включается удаленно с помощью PCoIP-терминала. Перед загрузкой ОС Аккорд перехватывает управление. На этот момент хост-карта активирована и уже обеспечивает полную связь рабочей станции с терминалом. На экране появляется следующий запрос:
Далее необходимо вставить ключ-идентификатор ШИПКА в любой USB-порт PCoIP-портала.
Система произведет идентификацию ключа и запросит пароль.
Если был вставлен пользовательский ключ, то при корректной аутентификации произойдет запуск операционной системы. Если же мы использовали ключ администратора, то увидим следующее окно:
Выбрав «Администрирование» мы попадаем в меню настройки модуля Аккорд.
Здесь можно настроить обеспечение контроля за целостностью как отдельных файлов, так и целых директорий. Система сохраняет контрольную сумму охраняемых объектов и проверяет ее перед каждой загрузкой операционной системы. Если пользователь в процессе работы случайно или намеренно произвел изменения в охраняемых объектах, то при следующем запуске рабочей станции ОС не будет загружена, а вход будет возможен только с помощью админского ключа. Таким образом набедокуревший юзер будет вынужден вызвать сисадмина и не сможет скрыть вмешательства.
Usikoff,
технический специалист DEPO Computers