AccessoriSecurity managementSicurezzaWorkspace

Kingston IronKey D300 Managed, la sicurezza dei dati come GDPR comanda

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

IN PROVA – Kingston IronKey D300 Managed, chiavetta crittografata con software gestito. La protezione dei dati a prova di GDPR

A fine maggio 2018 entra in vigore con tutti i suoi effetti pratici la normativa GDPR per la proteizone dei dati e Kingston, che ha acquisito a inizio anno gli asset di IronKey, è pronta con la sua proposta di chiavette Data Traveler e con le soluzioni IronKey D300 in versione Standard e Managed. Proviamo proprio quest’ultima, nella proposta più completa, quindi IronKey D300 (capacità 8 Gbyte) Managed, con interfaccia USB 3.0, certificazione Fips 140-2 di terzo livello, crittografia in hardware integrata XTS. Managed significa che il parco dei dispositivi aziendali e gli utenti sono gestiti e gestibili tramite la soluzione IronKey EMS di DataLocker, dove EMS sta per Enterprise Management Software a qualificare definitivamente la destinazione di utilizzo. Su questo modello il trasferimento dei dati ultraveloce è possibile grazie alla tecnologia Nand Flash. 

Estraiamo la chiavetta dalla confezione. Si fa apprezzare per i materiali, la chiavetta è robusta in zinco, chiusa è impermeabile, e nella confezione si trova con un anello di metallo a fili intrecciati l’allaccio del quale è a vite, come da foto. In questo modo è davvero difficile perdere il supporto. Non parliamo affatto di un gadget. Già la versione con capacità di 8 Gbyte è disponibile nella versione Managed al prezzo di circa 125 euro. Non è ovviamente il valore dell’hardware in sé, quanto piuttosto sono le soluzioni crittografiche adottate e del servizio a fare il prezzo. 

Il dongle misura 7,78×2,2×1,2 cm, impermeabile fino a 4 piedi di profondità (circa 1,2 metri), può lavorare tra 0 e 60 gradi, ma mantiene al sicuro i dati tra i -20 e gli 85 gradi centigradi. Il software funziona con Windows, MacOS e Linux, non ha la stessa flessibilità la versione Managed che rinuncia al supporto per Linux. 

Kingston IronKey D300
Kingston IronKey D300

Abbiamo già accennato per questa proposta alla certificazione FIPS 140-2 level 3 e alla crittografia integrata AES a 256-bit in modalità XTS, con la soluzione Managed e il software DataLocker, che sia in cloud (la proposta da noi utilizzata) sia on-premise, consente di personalizzare le policy di accesso, i possibili tentativi prima della formattazione completa e dell’inutilizzabilità del dongle, la modalità di generazione delle password, la registrazione dei device in relazione agli utenti per un perfetto controllo dei dispositivi aziendali in circolazione.

IronKey EMS 

IronKey EMS Data Locker invita come prima istanza alla registrazione di un doppio account admin, lo si farà dal link inviato da DataLocker stessa ai clienti oppure poi da https://my.ironkey.com/enterprise. Ci si vedrà così assegnati e da attivare un duplice  account (First and Second System Administrators), con almeno una Policy User di Default.  E’ il primo passaggio minimo da ottemperare.  Per l’accesso admin  viene sempre richiesta la doppia autenticazione con codice di controllo inviato alla casella di posta, così come sarà possibile attivare effettivamente gli account solo con l’accettazione via email.

Kingston IronKey D300 Managed
Kingston IronKey D300 Managed – L’interfaccia per l’aggiunta di un utente, e la successiva assegnazione di un device dedicato

Avremmo preferito in questo caso il sistema a doppia autenticazione previa registrazione di un altro canale di autenticazione, per esempio con la possibilità di abilitare da subito l’autenticazione tramite Google Authenticator, o con sistema di controllo personalizzabile immediatamente con l’aggiunta di un dispositivo mobile. Ad uno degli account sarà possibile subito assegnare il device ovvero la chiavetta. In questo modo è possibile abilitare un account admin (senza dongle) con la certezza di avere anche a disposizione un account admin cui è assegnato un device.

IronKey EMS - Policy
IronKey EMS – Policy, la personalizzazione dei criteri per l’utente di default

La dashboard EMS propone un menu con 4 tag: Device, Account, Admin console e System Console. La visualizzazione Account permette il controllo degli Alert, specificando quando e come si desidera riceverli, mentre è la consolle Admin la più potente: in questo caso con Enterprise Dashboard si visualizzeranno in un unico colpo d’occhio  gli utenti e i device attivi, l’attività come Admin, e dei Device, sarà possibile la localizzazione.
Da qui si potranno gestire, anche per gruppi, gli account trascinandoli tramite semplice drag and drop in modo da applicare più velocemente le policy di gestione, i device, le policies e sempre da qui si raggiungeranno gli strumenti di supporto.

IronKey D300M - Linterfaccia per lutilizzo da parte dellutente finale
IronKey D300M – L’interfaccia per l’utilizzo da parte dell’utente finale

Noi abbiamo assegnato al gestore la chiavetta Kingston D300, che in fase di avvio, appena inserita nella presa USB 3.0 del nostro pc ci ha chiesto un codice di attivazione che è lo stesso sistema IronKey EMS ad assegnare, non appena si assegna la risorsa a un utente. E’ il passaggio forse meno chiaro, ma basta sapere come fare (si parte dall’utente, non dal device e sotto il profilo utente si accede ad Add Device selezionando la tipologia). Nel caso in cui l’utente smarrisse la password, ma non desiderasse correre il rischio della formattazione, ecco che l’amministratore può inviare via email all’utente un codice per resettare la password senza perdere i dati.

In fase di deployment, se l’amministratore preferisce attivare direttamente lui i dongle la procedura più semplice da eseguire è la seguente: si aggiunge un utente, si catturano le informazioni di setup che includono il codice di attivazione per il device dell’utente, si inserisce il device in una porta USB e vi si incolla, sulla prima finestra di dialogo che compare il codice di attivazione, a quel punto verrà richiesto l’inserimento della password per utilizzare e proteggere la chiavetta. 

Il primo approccio con il software di gestione richiede un po’ di attenzione perché in un’unica consolle, per quanto riguarda le Policies sono riportate sia quelle utente, sia quelle relative al device.  Per tanto alla voce Default User poiché abbiamo assegnato la stessa policies ai due utenti admin ci siamo ritrovati attivi con quella policies due utenti, e alla voce Default Device – poichè abbiamo attivato un unico dongle – ci siamo ritrovati attiva una policies sempre con il nome del relativo utente admin creatore.

Nel complesso, in seguito alla nostra esperienza, siamo rimasti favorevolmente impressionati dalla potenza della soluzione, dal punto di vista hardware già conosciuta, ma assolutamente efficace e potenziata dal tool di gestione che non costringe gli amministratori a installare nulla in locale. E’ vero che è richiesto un minimo impegno iniziale nella fase di deployment, per garantirsi però una soluzione che abilita uno strumento di utilizzo comune come le chiavette USB ad essere sfruttate come strumento di lavoro in tutta sicurezza.