Что такое средства доверенной загрузки (СДЗ) и как они применяются

Что такое СДЗ

В зависимости от того, на каком этапе загрузочного процесса работают СДЗ, их можно разделить на три категории.

СДЗ уровня BIOS — программные средства, работающие на этапе загрузки BIOS/UEFI. Обеспечивают проверку целостности прошивки и загрузчика ОС. 

СДЗ уровня плат расширения — программно-аппаратные модули, которые устанавливают на материнскую плату. Обеспечивают контроль и проверку целостности загрузочных компонентов, создание доверенной среды, а также обеспечение аутентификации пользователя.
СДЗ уровня загрузочной записи — программные средства, которые работают на этапе загрузки ОС. Выполняют проверку файловой системы, предотвращая выполнение измененных файлов или загрузку нештатной системы.

С какими уязвимостями помогает бороться СДЗ

Атаки на загрузчик

Одна из первых целей злоумышленника — загрузчик. Это компонент, который отвечает за запуск операционной системы. Если его заменить или модифицировать, он может выполнять произвольный код, что открывает путь для атак.

Пример такой атаки — Evil Maid Attack («атака злой горничной»), когда злоумышленник получает физический доступ к устройству, а пользователь не может определить, было ли вмешательство в оборудование. Другая известная уязвимость — BootHole, обнаруженная в загрузчике GRUB2. Она позволяет внедрять буткиты (bootkits), дающие злоумышленнику привилегии максимального уровня.

Атаки на ядро

Атаки на ядро операционной системы также представляют серьезную угрозу. Например, руткиты (rootkits) позволяют скрытно модифицировать системные файлы и автозагрузку, что дает злоумышленнику полный контроль над системой.

Атаки на BIOS/UEFI

Другой опасный вектор — атаки на BIOS/UEFI. Они позволяют внедрять вредоносный код на ранних этапах загрузки системы еще до старта антивирусных решений. Яркий пример — MoonBounce, UEFI-руткит, который модифицирует легитимные драйверы BIOS/UEFI, внедряя вредоносный код и получая полный контроль над системой.

Загрузка системы с внешнего устройства

Злоумышленник также может попытаться загрузить систему с внешнего носителя, чтобы обойти встроенные механизмы защиты.

Алгоритм работы СДЗ

1. Самопроверка и проверка компонентов системы. После включения системы средство доверенной загрузки выполняет самопроверку, анализируя целостность своих компонентов. Это предотвращает модификацию злоумышленниками самого СДЗ. Далее инструмент проверяет оборудование на исправность памяти, процессора и других компонентов, которые взаимодействуют с СДЗ.

2. Проверка целостности загрузчика ОС, системных файлов. СДЗ проверяет целостность BIOS/UEFI и сверяет контрольные суммы файлов с эталонными значениям. Так инструмент предотвращает запуск модифицированной ОС.

3. Аутентификация пользователя. Для предотвращения несанкционированного доступа СДЗ требует от пользователя пройти аутентификацию. В зависимости от настроек и используемого решения, аутентификация может быть разной:

• однофакторной;
• многофакторной;
• с использованием биометрии, USB-токенов, магнитного ключа.

4. Загрузка ОС. После успешной проверки системы и аутентификации пользователя СДЗ позволяет загрузить операционную систему. Помимо прочего, инструмент гарантирует, что средство доверенной загрузки не подвергалось несанкционированным изменениям, система не скомпрометирована, а пользователь аутентифицирован.

5. Логирование событий. При работе в системе средство доверенной загрузки ведет журнал событий. В него может входить информация о попытках изменения ядра ОС или загрузчика, обхода защиты системы, пересчета контрольных сумм, а также все действия пользователя.

Обзор отечественных средств защиты

Рассмотрим наиболее популярные средства доверенной загрузки отечественного производства.

Все платы буду сравнивать по пяти критериям: 

• защите от НСД, 
• контролю целостности,
• поддержке файловых систем,
• гибкости и совместимости,
• интеграции с другими СДЗ.

В статье мы рассматриваем не все доступные на рынке решения, однако важно знать, на что обращать внимание при выборе СДЗ. Для этого собрали небольшой чек-лист, который поможет в поиске оптимального продукта.

✅ Наличие сертификации — соответствует ли СДЗ требованиям ФСТЭК России, ФСБ России и других регуляторов?
✅ Совместимость с оборудованием — поддерживает ли СДЗ ваши серверы, операционные системы?
✅ Аппаратная поддержка — работает ли модуль с TPM  и другими аппаратными средствами защиты?
✅ Функции и технологии — есть ли в СДЗ контроль целостности, защита от несанкционированного доступа (НСД) и другие необходимые вам механизмы?
✅ Интеграция в инфраструктуру — насколько легко вписать СДЗ в вашу текущую систему защиты?
✅ Удобство использования — сложна ли настройка СДЗ и его администрирование?
✅ Стоимость — соответствует ли цена возможностям решения и вашему бюджету?

Этот чек-лист поможет оценить СДЗ, которые не попали в обзор, и выбрать оптимальный вариант для вашей инфраструктуры.

СДЗ Dallas Lock

Dallas Lock — программно-аппаратный комплекс для защиты информации вплоть до уровня «совершенно секретно». Доступен в форм-факторах PCI-e, mini PCI-e и M.2.

Функциональные  возможности

Защита от несанкционированного доступа (НСД). В решении реализована двухфакторная аутентификация с использованием аппаратных идентификаторов. Контроль пользователей осуществляется до загрузки штатной ОС.

Контроль целостности: мониторинг файловой системы, реестра, области диска, BIOS/CMOS и аппаратной конфигурации с использованием контрольных сумм (CRC32, хэш MD5, хэш ГОСТ Р 34.11-94). При выявлении нарушений срабатывает сигнализация и блокировка компьютера. Возможна установка датчика вскрытия корпуса.

Поддержка файловых систем: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4 и VMFS.

Гибкость и совместимость. Dallas Lock работает на любой ОС и совместим с большинством материнских плат.
Интеграция с другими средствами защиты. Поддерживает работу с СКЗИ ViPNet CSP, КриптоПро CSP, ViPNet Client для шифрования данных, а также с аппаратными идентификаторами Рутокен, Aladdin eToken, eSmart, JaCarta и Touch Memory (iButton).

Аккорд-АМДЗ

Аккорд-АМДЗ — аппаратный модуль доверенной загрузки ОС от компании ОКБ САПР. Позволяет запускать ОС только с заранее определенного носителя. Доступен в форм-факторах PCI-e, mini PCI-e, M.2.

Функциональные возможности

Защита от НСД: аутентификация пользователя с помощью персонального аппаратного идентификатора, определяющего права доступа. На основе предъявленных идентификатора и аутентифицирующих данных, а также в соответствии с правилами из собственной БД, достигается высокий уровень защиты от НСД.

Контроль целостности. Проверка аппаратных и программных компонентов перед запуском ОС позволяет выявить попытки вредоносного программного воздействия.

Поддержка файловых систем: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Такая универсальность позволяет работать с различными операционными системами — от Windows, Linux и Unix до MS DOS, OS/2, BSD и других. 

Гибкость и масштабируемость. Решение реализовано с различными шинами. Базовая функциональность остается неизменной вне зависимости от типа контроллера .

Интеграция с другими средствами защиты. Аккорд-АМДЗ завершает работу до загрузки ОС и не оказывает влияния на работу установленного в ОС ПО. Решение может быть бесконфликтно интегрировано с различными средствами защиты информации (СЗИ).

ViPNet SafeBoot

ViPNet SafeBoot — программный модуль, устанавливаемый в UEFI BIOS для защиты устройств, включая серверы виртуализации, на этапе загрузки.

Функциональные возможности

Двухфакторная аутентификация. Доступ осуществляется по токену с сертификатом X.509 (JaCarta, Rutoken, Guardant) и/или паролю. Это предотвращает несанкционированный доступ на уровне BIOS, еще до загрузки основных компонентов ОС.

Контроль целостности. Решение обеспечивает защиту от атак на BIOS и несанкционированных изменений системы, а также осуществляет мониторинг ключевых компонентов: 

• UEFI BIOS, 
• загрузочных секторов HDD, 
• реестра Windows, 
• ресурсов конфигурации. 

Совместимость. ViPNet SafeBoot поддерживает файловые системы FAT32, NTFS, EXT2, EXT3, EXT4. Работает с любыми операционными системами.

Гибкость и масштабируемость. Программная реализация ViPNet SafeBoot протестирована на более чем 700 платформах, что подтверждает его универсальность.

Интеграция с другими средствами защиты. Решение спроектировано с учетом работы в составе комплексных систем защиты. Для оценки на конкретной платформе можно использовать диагностический режим установщика SafeBoot, который позволяет выявить возможные проблемы с совместимостью.

СДЗ «Соболь»

Программно-аппаратный комплекс СДЗ «Соболь» обеспечивает хранение критичных данных в независимом модуле памяти. Решение не позволяет злоумышленнику обойти систему защиты даже при взломе программной части. При этом СДЗ есть в нескольких форм-факторах: PCI-e, mini PCI-e, M.2.

Функциональные возможности

Защита от НСД. Решение поддерживает двухфакторную аутентификацию через персональные идентификаторы, такие как Рутокен, iButton, eToken PRO. Сторожевой таймер блокирует загрузку, если управление не передано СДЗ за определенное время после запуска устройства.

Контроль целостности. При инициализации вычисляются контрольные суммы устройства, предотвращая несогласованные изменения файлов и секторов диска. Помимо прочего, поддерживается самоконтроль модуля: проверка датчика случайных чисел, энергонезависимой памяти и других компонентов СДЗ.

Совместимость. Поддержка файловых систем: FAT16, FAT32, NTFS, EXT2, EXT3, EXT4 и других. СДЗ «Соболь» работает в множестве операционных систем, например —  Windows, Альт Линукс, РЕД ОС, Astra Linux, Continent OS, Debian и Ubuntu.

Гибкость и масштабируемость. Решение выделяется простотой развертывания, совместимостью с широким списком платформ и возможностью подключения через различные форм-факторы.

Интеграция с другими средствами защиты. СДЗ «Соболь» поддерживает совместную работу с СЗИ от Kaspersky и ИнфоТеКС, а также другими продуктами Кода Безопасности.

Польза СДЗ в выделенном сервере 

Выделенные серверы в IaaS-модели обеспечивают клиентам гибкость и контроль, но также требуют повышенного внимания к безопасности. СДЗ помогают защитить сервер от атак на этапе загрузки и соответствовать нормативным требованиям. Рассмотрим наиболее частые кейсы, когда требуется применение СДЗ.

Как Selectel тестирует средства доверенной загрузки

Прежде чем предложить клиентам средства доверенной загрузки (СДЗ), мы тестируем их на совместимость с материнскими платами и другими средствами защиты. Это позволяет обеспечить комплексную защиту серверов.

Процесс тестирования

Сборка тестового стенда

Перед началом тестирования мы собираем сервер. Конфигурацию формируем из популярных компонентов, приближенных к реальным сценариям использования.

Проверка совместимости

После сборки сервера, если речь о тестировании программно-аппаратного комплекса, мы производим первичную инициализацию СДЗ по специальной инструкции. Далее — тестируем совместимость с материнской платой. Дополнительно проверяем с ОС и устанавливаем программные средства защиты информации, чтобы исключить несовместимость.

Документирование и выводы

После проведения тестов фиксируем результаты. При положительных результатах предлагаем решение клиенту. 

Что с аппаратными модулями

Аппаратные модули доверенной загрузки, такие как ViPNet SafeBoot, мы тестируем на серверах по описанному процессу. Проверяем совместимость с другими СДЗ и аппаратными средствами защиты.

Подбор серверов под СДЗ

Если вы решите приобрести свой сервер и СДЗ к нему, то можете столкнуться с проблемами совместимости оборудования, его настройки, коммуникации с техподдержкой. Чтобы такого не было, мы помогаем подобрать совместимый с СДЗ сервер с учетом множества нюансов. Рассмотрим ключевые.

• Материнская плата должна корректно работать с СДЗ и быть совместима с программными средствами защиты, позволяя полностью реализовать функционал модуля доверенной загрузки;
• Тестируем односокетные и двухсокетные решения для конкретных задач;
• Используем платы с популярными платформами и от множества производителей.

Как выбрать оптимальный СДЗ для своей организации

Выбор средства доверенной загрузки зависит от размера бизнеса, уровня требований к безопасности и бюджета. 

Малый бизнес

Из рассмотренных в тексте СДЗ, оптимальный вариант для малого бизнеса — ViPNet SafeBoot.  Это программный модуль, который легко устанавливается и поддерживает широкую совместимость с различными платформами. Стоимость лицензии ниже по сравнению с аппаратными решениями, что делает его доступным для небольших компаний. ViPNet SafeBoot 3 обладает сертификатами ФСТЭК России № 4673 (действителен до 10 мая 2028 года) и ФСБ № СФ/517-5070 (до 25 декабря 2027 года).

Средний и крупный бизнес

Представители среднего и крупного бизнеса с более высокими требованиями к защите могут рассмотреть ПАК «Соболь» и ПАК Dallas Lock. Решения представляют собой программно-аппаратные комплексы, которые работают с широким спектром аппаратных платформ и интегрируются с другими средствами защиты информации. В Selectel можно взять их в аренду, при этом стоимость их использования одна — 3 500 ₽/мес.

Ключевое преимущество ПАК «Соболь» — наличие сертификатов ФСБ России и ФСТЭК России (№ СФ/527-4754 до 28 февраля 2027 г. и № 4575 до 19 августа 2027 г. соответственно).

ПАК Dallas Lock обладает сертификатом ФСТЭК России (№ 3666, действителен до 25 ноября 2024 года, в процессе продления) и сертификатом Минобороны России (№ 5695, до 31 марта 2027 года).

В качестве альтернативы можно рассмотреть ПАК «Аккорд-АМДЗ». Это более дорогостоящее решение, однако оно обладает продвинутыми функциями контроля целостности системы. «Аккорд-АМДЗ» сертифицирован ФСТЭК России (№ 4299, действует до 23 сентября 2025 г.) и ФСБ России в нескольких исполнениях:

• № СФ/527-5115 (до 31 декабря 2025 г.);
• № СФ/527-4775 (до 28 февраля 2027 г.);
• № СФ/527-4428 (до 27 декабря 2027 г.).

Как арендовать сервер с СДЗ

1. В панели управления перейдите в раздел Серверы и оборудование → Серверы. Выберите проект. Если в вашем проекте есть созданные серверы, нажмите Заказать сервер. Если нет — страница заказа откроется автоматически. Откройте вкладку Конфигуратор серверов.

2. Выберите Регион и Пул, в котором будет создан сервер (опционально). Подберите подходящий процессор и укажите нужное количество, если он поддерживает работу в многопроцессорных системах. Обратите внимание, что после оформления заказа эти параметры изменить нельзя.

3. Настройте оперативную память. Для этого выберите общий объем памяти или настройте модули памяти: нажмите Управлять модулями памяти, выберите объем модуля и укажите нужное количество.

3. В поле PCI-e устройства выберите одно из средств доверенной загрузки. 

4. Выберите диски, их нужное количество и другие комплектующие. В блоке Конфигурация проверьте конфигурацию выделенного сервера (для этого разверните список Комплектующие), выберите тариф и нажмите Заказать сервер.

Заключение

В тексте рассмотрели наиболее популярные отечественные инструменты. В зависимости от требований и размеров компании, вам могут подойти разные решения.  Так, например, если ваша компания небольшая, а приоритет — простота работы и доступность решения, стоит рассмотреть ViPNet SafeBoot. Для среднего и большого бизнеса, которым нужно аппаратное решение и большой спектр совместимых платформ, может подойти ПАК Соболь или Dallas Lock. Организациям с высокими требованиями к информационной безопасности оптимальным решением будет «Аккорд-АМДЗ».