Установка защиты от утечек StarForce на Linux Debian с PostgreSQL с сохранением совместимости с Windows доменом

Сейчас добровольно-принудительное импортозамещение набирает обороты. В процессе всплывает множество проблем с переводом IT инфраструктуры на российский софт. Как путь в тысячу ли начинается с первого шага, так миграция начинается с установки Linux.

Чаще всего с переездом на Linux компании справляются собственными силами. А вот заставить работать привычный или просто необходимый софт на новой оси получается далеко не всегда. Даже если официально ПО совместимо и разработчик гарантирует простую установку, без танцев с бубнами не обойтись.

Осенью этого года наша компания совместно со специалистами StarForce провели внедрения программного комплекса для защиты конфиденциальной информации StarForce Content Enterprise.

Это один из первых случаев реализации решения на системном ПО с открытым кодом (в качестве операционной системы заказчиком был выбран дистрибутив Linux Debian 11) и с использованием СУБД PostgreSQL. Поэтому хотим поделиться им с вами.

Крупное промышленное предприятие начало перевод сотрудников с Windows и Microsoft SQL Server на Linux Debian 11 и PostgreSQL в рамках программы по импортозамещению. Компания поддерживает высокие стандарты безопасности, поэтому для борьбы с утечками и управлением доступом к электронным документам было решено приобрести лицензии StarForce Content Enterprise (SFCE).

Таким образом, перед нами стояла задача — установить SFCE так, чтобы им одинаково удобно было пользоваться пользователям Windows и Linux в одной сети.

При этом важно было:

• подружить Linux сервер с Windows доменом;
• ограничить доступ к SFCE отдельным группам пользователей;
• настроить автоматическую защищённую рассылку по e-mail серийных номеров аутентификации SFCE, необходимых для просмотра зашифрованных документов;
• проработать возможность масштабирования и добавления других способов конфиденциальной рассылки серийных номеров, если вдруг такая необходимость появится.

Возможности приехать и пощупать систему у нас не было. Установку и все модификации пришлось проводить дистанционно.

Весь процесс внедрения занял около двух рабочих недель. Мы работали с серверной частью и базами данных.

Во-первых, проверили SQL запросы и способ их вызова через утилиты на совместимость. Необходимо было убедиться, что скрипты MS SQL приведены к стандарту PostgreSQL. Поддержка Postgre была заявлена разработчиком ещё в 2022 году в сертифицированной ФСТЭК версии. Однако у нас не было уверенности, что на практике она отработает, как надо. К счастью, обошлось без танцев с бубнами. Скрипты обновления БД действительно были модифицированы для работы системы SFCE с последними версиями PostgreSQL. Это сэкономило десятки человекочасов при внедрении.

Во-вторых, настроили интеграцию SFCE на Linux сервере с базой данных Active Directory (её поддержка также была добавлена разработчиком в ФСТЭК версии). Это позволило работать с системой как пользователям домена Windows, так и пользователям Linux.

В-третьих, чтобы не все учетные записи из домена попадали в базу данных SFCE, добавили возможность ограничить множество импортируемых пользователей набором Security Groups в Active Directory. Необходимую доработку кода сайта управления и сервера SFCE сделали разработчики StarForce.

Наконец, доработали сервер SFCE для автоматической отправки пользователям серийных номеров аутентификации по электронной почте.. Изначально письма с кодами доступа к зашифрованным документам мог рассылать только сам сервер SFCE. Однако сервер заказчика отказался принимать его «клиентом». Чтобы не менять настройки безопасности и сделать систему в целом более гибкой, в сервер SFCE была добавлена функция рассылки серийных номеров через внешнюю программу. В результате при выборе соответствующей настройки он вызывал почтовый клиент, который направлял сообщение дальше. Аналогичным образом можно будет также отправлять серийные номера пользователям другими способами. Например, через SMS, если вместо почтового клиента сервер будет вызывать скрипт SMS-рассылки.

1. Часто основной проблемой установки ПО становится некорректная работа СУБД со скриптами обновления. Однако здесь она разрешилась безболезненно, а значит, бояться подобных «гибридных» внедрений не стоит.
2. Дистанционная установка экономит ресурсы и заказчика, и интегратора. Работы с серверной частью и БД, а также тесты проводились в заранее оговоренные часы, чтобы не нарушать рабочую рутину предприятия. Наши специалисты, в свою очередь, могли вести несколько проектов параллельно.
3. С учетом уже сделанных доработок по интеграции Linux сервера с Windows доменом, адаптации системы SFCE к последним версиям PostgreSQL и дописанной интеграцией с внешними почтовыми клиентами для отправки сообщений пользователям время внедрения подобных решений в дальнейшем должно сократиться.