SAFEND ENCRYPTOR Un enfoque basado en ficheros para la encriptación del disco duro Introducción Existen distintos enfoques para la protección de datos en discos duros locales: √ Encriptación total del disco (Full Disk Encryption-FDE) √ Encriptación de volúmenes virtuales (Virtual Volume Encryption) √ Encriptación basada en ficheros (File-based Encryption) Cada uno de ellos tiene ventajas y desventajas relativas al nivel de seguridad, al riesgo de corrupción de datos y al impacto sobre el rendimiento. Safend Encryptor desarrolla una nueva solución de encriptación del disco duro que compatibiliza la seguridad de una encriptación total del disco con la flexibilidad de la encriptación basada en ficheros. Este nivel de encriptación compaginado con la facilidad de uso y la simplicidad de implantación gestión, proporciona un alto nivel de seguridad que facilita su puesta en producción sin impacto en el rendimiento. Ventajas de la encriptación basada en fichero de Safend Su principal ventaja comparativa respecto de la solución de encriptación total del disco duro es la flexibilidad. La encriptación basada en fichero de Safend cubre la encriptación de datos sensibles sin tocar el sistema operativo. Antes, esta flexibilidad se percibía como una merma de la seguridad. Sin embargo, al combinarla con una gestión estricta, se alcanzan niveles de seguridad rigurosos, mientras que el rendimiento y la productividad no se ven alterados. La flexibilidad que ofrece la encriptación de disco duro basada en ficheros puede traducirse en varias ventajas clave: 1. Despliegue sencillo: uno de los mayores obstáculos del despliegue masivo de la encriptación total de disco duro es el temor a problemas vitales en el transcurso de la misma, que puede reducir al 0% la productividad de los usuarios. Safend Encryptor permite un despliegue sencillo, paso a paso. Cada paso aumenta la seguridad del sistema sin afectar la productividad. A lo largo de todas las etapas el sistema puede iniciarse con normalidad y la productividad no se detiene, que sí ocurre habitualmente con el encriptación total del disco duro. 2. Mecanismo de recuperación simple: Con la encriptación es esencial poder recuperar los datos de máquinas dañadas pues, de otro modo, los usuarios perderían toda su información. Los productos de encriptación total del disco duro (Full Disk Encription – FDE) pueden ofrecer recuperación, pero la misma se realiza de una forma complicada para el usuario, que implica iniciar la máquina desde otro sistema operativo. Safend Encryptor proporciona un mecanismo simple de recuperación que permite al usuario recuperar datos específicos, o la totalidad del disco duro localmente o de forma remota. MICROMOUSE, S.L. – Avenida del Doctor Marañón, 6 - 28220 Majadahonda - MADRID Telf.:+34 916398550 - Fax:+34 916391101 – Correo Electrónico: soporte@micromouse.com - www.micromouse.com SAFEND ENCRYPTOR 3. Modo Técnico: Para conservar niveles adecuados de seguridad es importante permitir el mantenimiento de sus sistemas sin exponer los datos clasificados. Los productos FDE tienen dos modalidades de operativa del sistema: completamente encriptado o completamente expuesto. Safend Encryptor presenta un tercer método: Modo Técnico. Esto permite al personal de TI que no posea suficientes credenciales para visualizar datos encriptados, omitir el proceso de autenticación y trabajar en el sistema sin acceso a ficheros encriptados. También posibilita al técnico informático instalar nuevos programas y realizar tareas de mantenimiento sin el riego de exposición de los datos clasificados. Esta funcionalidad no está disponible en productos FDE y representa una brecha de seguridad potencial para organizaciones que tengan implantadas soluciones de encriptación total de disco. Otros aspectos a tener en cuenta con Safend Encryptor Además de la funcionalidad comentada en el apartado anterior, Safend Encryptor aporta ventajas adicionales sobre los productos FDE: 1. Inicio de Sesión Único (Singel Sign On - SSO): como resultado de las limitaciones tecnológicas de los productos FDE, los mismos se ven forzados a crear sus propios modos de autenticación en un sistema de arranque secundario. Esta limitación crea varios problemas intrínsecos que son comunes a todos los productos FDE. Safend Encryptor potenciará la tecnología de encriptación basada en ficheros para ofrecer un Inicio de Sesión Único mejorado que no afecte al inicio de sesión estándar de Windows, protegiendo así sus datos sin modificar la infraestructura informática existente: √ √ √ √ La encriptación es completamente transparente para el usuario final. De hecho, ni siquiera ha de saber que su máquina está encriptada. Las actividades administrativas diarias, tales como la creación de nuevos usuarios o la restauración de contraseñas olvidadas, se ejecutan mediante Active Directory. El Help Desk no necesita utilizar otro sistema administrativo. No existen conflictos de interoperabilidad con otras aplicaciones que utilicen distintos métodos de inicio de sesión único. Soporta usuarios locales y de dominio. 2. Activación de Seguridad: Esta nueva característica permitirá al usuario autorizado a “cerrar sesión” de la encriptación, dejando así su disco duro protegido. Esta funcionalidad protegería los datos del usuario mientras trabaja en un entorno no seguro (por ejemplo, la navegación desde un ciber café). 3. Restricción de Acceso a Datos por usuario o aplicación: las siguientes versiones de Safend Encryptor permitirán a los administradores de sistemas impedir a usuarios o aplicaciones específicos el acceso a datos encriptados. De esta forma, los administradores autorizados podrán restringir el acceso a los datos exclusivamente a aquellas aplicaciones y usuarios autorizados. Al permitir tal grado de granularidad, se reducen drásticamente las filtraciones de datos. El FDE tradicional no soporta este tipo de restricciones. MICROMOUSE, S.L. – Avenida del Doctor Marañón, 6 - 28220 Majadahonda - MADRID Telf.:+34 916398550 - Fax:+34 916391101 – Correo Electrónico: soporte@micromouse.com - www.micromouse.com SAFEND ENCRYPTOR 4. Fichero de Backup Encriptado: el usuario podrá realizar copias de seguridad de datos encriptados sin necesidad de desencriptarlos previamente. Ello permitirá al usuario disponer de un almacenamiento de seguridad más fiable. Los productos FDE no ofrecen dicha funcionalidad, pues desencriptan automáticamente los datos cada vez que se leen por un usuario autorizado. RESUMEN Safend Encryptor, al utilizar encriptación basada en fichero, ha alcanzado el equilibrio óptimo entre seguridad, productividad y rendimiento. Es la mejor opción para proteger sus datos confidenciales por las siguientes razones: √ Rendimiento: Con la encriptación basada en fichero, el rendimiento de la CPU y del disco duro no sufren impacto alguno debido a que evita la constante encriptación y desencriptación del sistema operativo y de otros ficheros que no requieren protección. √ Proceso de Instalación: Puede resultar un proceso abrumador y temible para los usuarios cuando todos sus datos están “revueltos”. La Encriptación basada en fichero permite al usuario encriptar sólo algunos archivos, hasta tanto se convenza de que ni un error del operador, o un problema técnico, destruirá sus datos. Esta característica contrasta con el sistema de encriptación total de disco que encripta todo en el momento de la instalación. √ Facilidad de despliegue: Entre las ventajas de Safend Encryptor sobre los productos FDE tradicionales se incluye su despliegue más fácil para el usuario, ofreciendo el alto grado de seguridad, necesaria para proteger datos confidenciales. MICROMOUSE, S.L. – Avenida del Doctor Marañón, 6 - 28220 Majadahonda - MADRID Telf.:+34 916398550 - Fax:+34 916391101 – Correo Electrónico: soporte@micromouse.com - www.micromouse.com