Довірене завантаження та захист даних при віддаленій роботі на графічних станціях

віддаленій
Компанія DEPO Computers спільно з ОКБ САПР розробила рішення для забезпечення довіреного віддаленого завантаження та контролю за станом даних. Існує безліч програмно-апаратних засобів захисту інформації та довіреного завантаження, але зараз мова піде про модуль Акорд-АМДЗ (апаратний модуль довіреного завантаження), інтегрованого в рішення щодо консолідації CAD-систем. Модуль Акорд встановлюється у віддалену графічну станцію та перехоплює завантаження операційної системи. Аутентифікація користувача здійснюється на PCoIP-терміналі за допомогою персонального засобу криптографічного захисту ШИПКА (Шифрування, Ідентифікація, Підпис, Коди Аутентифікації), який також можна використовувати і для аутентифікації при вході в домен.

Апаратна складова серверної частини рішення

Модуль Акорд-АМДЗ встановлюється у робочу станцію, що у ЦОД у межах локальної мережі підприємства. Форм-фактор графічної станції може бути різним.

довірене
Для високопродуктивних двопроцесорних станцій це може бути Blade виконання або 1U. У графічній станції DEPO Race BladeG10 є ряд переваг та недоліків порівняно з 1U-станцією DEPO Race C770R1U. З плюсів можна відзначити високу щільність обчислювальних потужностей: 10 лез займають всього 7U в 19"-стійкі. Також Blade-системи відрізняються високою стійкістю до відмови: шасі DEPO Race BladeEN710 оснащується чотирма 2кВт блоками живлення з можливістю гарячої заміни і надмірністю. -системах підтримується резервування Ethernet-комутатора та IPMI-модуля. 1U-платформа, у свою чергу, відрізняється меншою вартістю, більш надійною локальною дисковою підсистемою та можливістю встановлювати до двох карт NVIDIA Quadro або Tesla.

Склад СЗІ

захист
МодульАкорд-АМДЗ має низькопрофільне виконання та інтерфейс PCI-E x1. Плата має роз'єм RJ-11, призначений для підключення пристрою розпізнавання магнітних ключів-ідентифікаторів. Але оскільки в нашому випадку ідентифікація проводиться за допомогою ШИПКА, у рішенні цей роз'єм не використовується. Ключі ШИПКА мають інтерфейс USB і бувають двох типів: перший для довіреного завантаження ОС - він використовується користувачем і другий для адміністрування та налаштування.

Принцип дії

Робоча станція включається віддалено за допомогою PCoIP-терміналу. Перед завантаженням ОС Акорд перехоплює керування. На цей момент хост-карта активована і забезпечує повний зв'язок робочої станції з терміналом. На екрані з'являється наступний запит:

завантаження

Далі необхідно вставити ключ-ідентифікатор ШИПКА у будь-який USB-порт PCoIP-порталу. Система здійснить ідентифікацію ключа та запросить пароль.

віддаленій

Якщо був вставлений ключ користувача, то при коректній автентифікації відбудеться запуск операційної системи. Якщо ми використовували ключ адміністратора, то побачимо наступне вікно:

даних

Вибравши «Адміністрування», ми потрапляємо в меню налаштування модуля Акорд.

довірене

Тут можна налаштувати забезпечення контролю за цілісністю як окремих файлів, і цілих директорій. Система зберігає контрольну суму об'єктів, що охороняються, і перевіряє її перед кожним завантаженням операційної системи. Якщо користувач у процесі роботи випадково або навмисно зробив зміни в об'єктах, що охороняються, то при наступному запуску робочої станції ОС не буде завантажена, а вхід буде можливий тільки за допомогою адмінського ключа. Таким чином наскудний користувач буде змушений викликати сисадміна і не зможе приховати втручання.

Usikoff, технічний спеціаліст DEPO Computers