Статьи

Atlansys WhiteCloud – личное облачное хранилище

15.03.2013

/

С ростом доступности интернета повышается мобильность бизнеса, увеличивается количество сотрудников, работающих вне офиса, и все больший спрос приобретают технологи, позволяющие эффективно участвовать в деятельности корпорации из любой точки планеты. Таким образом, растет рынок облачных услуг, позволяющих пользоваться различными информационными сервисами удаленно. На данный момент есть множество компаний, предоставляющих услуги облачного хранилища, однако пользователи часто отказываются доверять свои данные третьим лицам.

Решением подобной проблемы являются частные облачные хранилища, которые позволяют отказаться от услуг сторонней компании при создании облачного хранилища, и сформировать его на своем оборудовании. Выбор продуктов, позволяющих создать частное облачное хранилище, не так велик, и они представляют собой свободное программное обеспечение (например, ownCloud), и, как следствие, они не сертифицированы в России.

Продукт Atlansys WhiteCloud, разработанный российской компанией ООО «Программные системы Атлансис», по функционалу аналогичен ownCloud, и позволяет самостоятельно развернуть сервер защищенных хранилищ и обеспечить защищенный удаленный доступ к данным. В данный момент WhiteCloud проходит сертификацию во ФСТЭК России, которая позволит использовать его в информационных системах до классов 1Г и К1 включительно.

Развертывание частного хранилища на оборудовании приобретающей его корпорации является одним из вариантов использования данного продукта. На выделенном LAMP (Linux, Apache, MySQL, PHP) сервере, устанавливается серверная часть WhiteCloud, которая и будет управлять защищенными хранилищами пользователей и их ключами, а также обеспечивать удаленный доступ к ним посредством клиентов и веб интерфейса.

Также существует и другой вариант использования данного продукта: его продажа в качестве сервиса. Любой провайдер может развернуть у себя серверную часть WhiteCloud и продавать доступ к защищенным хранилищам конечным пользователям.

Гарантией защищенности хранилища выступает ассиметричное шифрование хранимых файлов индивидуальным ключом для каждого пользователя. Алгоритм шифрования выбирается между AES, DES и ГОСТ, однако в сертифицированной ФСТЭК версии выбор алгоритмов шифрования может измениться. Причем шифрование осуществляется на стороне клиента до пересылки, таким образом, по открытым каналам передаются уже зашифрованные контейнеры. Тот же принцип соблюдается и при совместном доступе к файлам: пользователь, пожелавший поделиться своими данными, получает открытый ключ другого пользователя из хранилища сертификатов, которым шифруется выбранный для общего доступа файл, и потом возвращает его на сервер, где он уже будет помещен в хранилище получателя файла.

При вышеописанной схеме шифрования доступ к своим файлам могут получить только непосредственные пользователи хранилищ, остальные же участники системы, включая администраторов, расшифровать чужие данные не смогут. Однако минусом подобной схемы будет невозможность восстановления закрытого ключа при его утрате.

Впрочем, система допускает создание мастер-ключа, который позволит администратору системы при необходимости перешифровать файлы хранилища пользователя для другого закрытого ключа. Данная схема может быть использована только при развертывании WhiteCloud на собственных серверах, т.к. наличие мастер-ключа у провайдера при использовании WhiteCloud как услуги, дает ему полный контроль над всеми хранимыми файлами и лишает данный продукт основного преимущества – защищенности информации от ознакомления посторонними лицами.

Серверная часть WhiteCloud, при наличии настроенного LAMP сервера, устанавливается достаточно быстро и настраивается в дальнейшем через Web-интерфейс:

Настроек у системы немного, и, в основном, они заключаются в выборе между описанными выше схемами работы с ключами шифрования. Остальные настройки – это пользовательские группы и квоты:

Также в интерфейсе администрирования сервера WhiteCloud можно найти журналы подключения пользователей:

Ни к каким другим журналам из администраторской консоли получить доступ нельзя, и посмотреть, например, историю работы пользователя с файлами администратор возможности не имеет.

С защищенным хранилищем пользователю можно работать либо с помощью Windows клиента, либо с помощью Web-интерфейса.

При установке обычного Windows-клиента, защищенное хранилище монтируется как съемный диск, и, при наличии носителя с закрытым ключом, позволяет работать с файлами через обычный проводник.

После запуска и авторизации клиент скромно занимает место в трее и предоставляет минимум настроек:

Таким образом, все процессы шифрования данных и синхронизации с удаленным сервером осуществляются для пользователя прозрачно.

При подключении через Web-интерфейс, могут возникнуть некоторые сложности. Необходимость использования закрытого ключа при работе с защищенным хранилищем заставляет модифицировать браузер специальным java-апплетом от разработчиков WhiteCloud, что может вызвать некоторые проблемы. Например, подключиться к защищенному хранилищу с iУстройства без джейлбрейка будет невозможно, и пользователю предоставляется выбор между мобильностью своего хранилища и законом. Также несколько настораживает необходимость копирования закрытого ключа на мобильное устройство, которое не является надежным хранилищем ключевой информации. Впрочем, если пользователь решил взломать свой iPhone, то его вряд ли остановит тот факт, что ключ будет храниться на несертифицированном ключевом носителе.

Но сам по себе Web-интерфейс предоставляет больший спектр возможностей, чем Windows клиент:

Помимо менеджера файлов, с помощью Web-интерфейса можно получить доступ к истории файлов или настроить общий доступ к ним:

Из минусов можно отметить неудобную работу с ключами в Web-интерфейсе, которая ограничивает мобильность хранилища, и некоторые некритичные баги (вроде не игнорирования временных файлов MS Office).

Завершая обзор, можно сделать вывод, что после получения сертификатов и корректировки некоторых недочетов это будет весьма интересным предложением для тех, кто ищет действительно защищенное облачное хранилище.