ALTELL TRUST

ALTELL TRUST — модуль доверенной загрузки нового поколения, реализованный на уровне UEFI BIOS. В отличие от своих аналогов он обладает уникальными характеристиками: неизвлекаем из защищаемого устройства, может управляться удаленно, поддерживает ролевую модель доступа и многофакторную аутентификацию на удаленных AD/LDAP-серверах, а также обеспечивает контроль целостности BIOS. Благодаря наличию стека сетевых протоколов с помощью ALTELL TRUST можно организовать безопасную работу с VDI-инфраструктурами и терминальными сервисами (например, по протоколу RDP/RemoteFX). Может быть отнесен к классу СЗИ от НСД.

Архитектура решения

---

Особенности

• Защита BIOS и объектов файловой системы;
• Неизвлекаемость из АРМ;
• Работа на всех типах устройств;
• Ролевая модель доступа (3 роли);
• Удаленное централизованное управление;
• Удаленное централизованное журналирование событий безопасности;
  
• Многофакторная аутентификация на удаленных LDAP/AD-серверах;
• Поддержка инфраструктуры PKI;
• Встроенный стек сетевых протоколов.

Посмотреть все возможности

---

Сценарии применения

ALTELL TRUST может применяться для многофакторной аутентификации пользователей на удаленных AD/LDAP-серверах, удаленного централизованного управления парком защищаемых устройств, удаленного централизованного сбора событий безопасности, защиты от НСД, а также выступать как средство защиты BIOS или единственное ПО тонких клиентов (концепция zero client). Подробное описание сценариев применения ALTELL TRUST приведено в соответствующем разделе.

Подробнее

---

Сравнение с конкурентами

Традиционные аппаратно-программные модули доверенной загрузки (АПМДЗ), представленные на российском рынке, не обладают возможностями, необходимыми на современном этапе развития информационных систем. Например, в АПМДЗ отсутствуют функции мониторинга и удаленного управления парком ПК, не поддерживается многофакторная аутентификация на удаленных серверах, не применяются ролевая модель доступа и мандатный контроль доступа к информации, не гарантируется безопасность работы в виртуальных средах. ALTELL TRUST, напротив, изначально разрабатывался для решения этих задач. При этом использовались современные подходы к обеспечению доверенной загрузки, основанные на использовании технологий UEFI Trusted Boot с применением доработанных и расширенных функций, а также концепций NIST и Trusted Computing Group. В результате в ALTELL TRUST реализованы более мощные, чем у традиционных АПМДЗ, защитные механизмы, при одновременном снижении издержек на администрирование инфраструктуры информационной безопасности за счет централизации управления и сбора статистики.

Посмотреть подробное сравнение

---

Преимущества

• Использование UEFI BIOS, созданного в Российской Федерации. Так как «АльтЭль» — единственный независимый разработчик BIOS в Восточной Европе, ни один российский или западный конкурент не сможет предоставить аналогичный уровень интеграции модуля доверенной загрузки в BIOS при одновременной гарантии отсутствия недекларированных возможностей, закладок и скрытых уязвимостей;
• Упреждающий подход. С помощью ALTELL TRUST обеспечивается гарантированная защита BIOS как от уже существующего вредоносного ПО, действующего на уровне firmware (аналогов Rakshasa, Mebromi и т. д.), так и будущих угроз, в том за счет снижения эффективности угроз класса APT (аналогов Duqu, Gauss и другого кибероружия);
• Исключение несанкционированного доступа с помощью многофакторной аутентификации на удаленных AD/LDAP-серверах, в том числе с использованием сертификатов X.509. Использование централизованной аутентификации позволяет освободить администраторов от необходимости заводить одних и тех же пользователей в разных системах и оперативно заблокировать пользователя (например, сразу после подписания приказа об увольнении сотрудника);
• Разграничение управленческих функций. ALTELL TRUST позволяет гибко разграничить функции системного администратора и офицера безопасности с помощью системы ролей и мандатной модели доступа, что положительно сказывается на уровне информационной безопасности организации;
• Удаленное централизованное управление парком защищаемых устройств, группами пользователей, а также процессом обновления программного обеспечения и BIOS;
• Кроссплатформенность. За счет реализации на уровне UEFI BIOS существует принципиальная возможность адаптировать ALTELL TRUST для любого типа устройств (смартфон, планшет, ноутбук, десктоп, сервер, все зависит только от потенциального спроса и объема свободной памяти в чипе EEPROM);
• Использование в VDI. За счет реализации стека сетевых протоколов и функций проброса токенов и файловой системы ALTELL TRUST может использоваться в качестве единственного ПО тонких клиентов (zero client), что позволяет создавать защищенную VDI-инфраструктуру;
• Централизованный сбор событий безопасности со всех защищаемых устройств, в том числе факты аутентификации пользователей, включения/выключения АРМ, историю действий пользователей и т. д. Выгрузка логов осуществляется в режиме реального времени. Возможна адаптация логов для загрузки в SEIM-системы;
• Неизвлекаемость из защищаемого устройства (по сравнению с традиционными АПМДЗ);
• Поддержка технологии единого входа SSO (Single Sign-On), что позволяет автоматически аутентифицироваться во всех других системах после прохождения процедуры первой аутентификации;
• Встроенный гипервизор. В ALTELL TRUST реализована возможность встраивания гипервизора в BIOS, что позволяет обеспечить доверенную загрузку виртуальных сред.

---

Поддерживаемые устройства

Из-за реализации ALTELL TRUST на уровне UEFI BIOS собственной разработки его необходимо адаптировать к конкретным моделям защищаемых устройств. Благодаря сотрудничеству с ключевыми вендорами (Intel, AMD, Lenovo, Panasonic) процесс доработки ALTELL TRUST максимально стандартизирован и сжат по времени. Так как сертифицируется сам модуль доверенной загрузки, а не BIOS целиком, внесение изменений не влияет на наличие сертификатов.

В настоящее ALTELL TRUST поддерживает:

• моноблоки Lenovo ThinkCentre M71z, M72z и M73z;
• ноутбуки Lenovo Thinkpad T520 и T530, Panasonic Toughbook CF-31 и CF-53;
• десктопы Lenovo ThinkCentre M92p и M93p, ALTELL FORT DT 5/6/7/8;
• тонкие клиенты ALTELL FORT TC 1600.

Ведутся работы по реализации поддержки:

• защищенных планшетов Panasonic Toughpad FZ-G1;
• ультрабуков-трансформеров Panasonic Toughbook CF-AX3;
• серверных плат на базе Intel Xeon E3/C2xx;
• плат для встраиваемых решений на базе Intel Atom N2600/D2550 & NM10.

Подробнее

---

Сертификация

ALTELL TRUST передан на сертификацию по следующим регулирующим документам:

• ФСТЭК — «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля;
• ФСТЭК — «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) — по 2 классу защиты;
• ФСТЭК — «Профиль защиты средств доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты ИТ.СДЗ.УБ2.ПЗ»;
• ФСБ — «Требования к аппаратно-программным модулям доверенной загрузки» на класс 3Б.

Срок получения сертификатов — IV квартал 2014 года.