Хранение данных в криптоконтейнере на удаленном сервере и работа с ними с Android-устройств
Однажды к нам обратился наш давнишний клиент, использующий корпоративную версию CyberSafe. За достаточно продолжительный период совместного сотрудничества мы смогли убедиться, что вопрос защиты информации в его компании находится для него далеко не на последнем последнем месте. Состоявшаяся встреча еще раз это подтвердила.
Как выяснилось, вся корпоративная информация у него на фирме хранится зашифрованной на 4-Bay NAS Server. Тем не менее, некоторые данные он не хотел хранить внутри своей компании и решил разместить их арендованном VPN-серверегде-то за океаном. Таким образом, это позволило бы ему не держать эти файлы у себя в офисе и он мог бы не беспокоиться об их сохранности, а также о том, что они привлекут к себе ненужное внимание (в случае неожиданной проверки, например).
Вместе с этим, предпочитая мобильность и возможность иметь постоянный доступ к зашифрованным файлам, для него была важна возможность работы с ними не только из офиса, но и за его пределами с любого смартфона на Андроиде.
Этот разговор натолкнул нас на мысль о разработке мобильного приложения, которое не только бы поддерживало базовые функции шифрования, но и позволяло бы работать с зашифрованными файлами в прозрачном режиме, в то время как эти файлы размещены не на самом девайсе, а на некоем удаленном сервере.
Задача выглядела достаточно интересной и оставалось лишь воплотить ее в реальность. В результате совместными усилиями было создано Android application под названием CyberSafe Mobile.
Приложение умеет создавать криптоконтейнеры (у нас они называются сейфами), которые можно монтировать и работать с записанными в них файлами в прозрачном режиме. Алгоритмы шифрования: AES или ГОСТ на выбор пользователя. Создаваемые сейфы в дальнейшем могут быть использованы на локальном компьютере в PC версии программы и наоборот.
Описанная же выше задача была решена следующим образом.
1. Арендуем где-нибудь за границей сервер. Например, здесь за €74 можно взять в аренду сервер в Германии с уже установленной Windows Server 2012 R2.
2. Настраиваем VPN.
3. Создаем на сервере сетевую папку.
4. Создаем в этой папке криптоконтейнер (либо добавляем уже существующий). На скриншоте это сделано средствами CyberSafe Top Secret:
5. Подключаем телефон к VPN:
6. Подключаем созданную сетевую папку в CyberSafe Mobile:
7. На вкладке “Сейфы” в подключенной сетевой папке находим созданный нами сейф, выбираем его и монтируем:
Теперь все файлы, размещенные в контейнере, доступны нам для работы на смартфоне в режиме прозрачного шифрования, в то время как находятся они на удаленном арендованном сервере. Как известно, одним из основных недостатков криптоконтейнеров является то, что на время монтирования они становится уязвимыми. Однако при хранении файлов на сервере этот недостаток никак себя не проявляет и обслуживающий персонал никоим образом не может получить доступ к зашифрованным файлам, так как монтирование контейнера происходит на устройстве пользователя.
Если нужно, с файлами в контейнере может работать одновременно несколько человек, для этого им потребуется доступ к VPN, а также пароль к контейнеру.
Недостатком такой схемы является невысокая скорость обмена данными — она требует высокоскоростного подключения к интернет, а также не предусматривает работу с криптоконтейнерами больших размеров.
Что касается обратившегося к нам пользователя – он остался доволен таким решением и, вполне возможно, сейчас хранит свою информацию где-нибудь на серверах солнечного и теплого Пуэрто-Рико, а работает с ней на своем смартфоне из дождливой и пасмурной Москвы.