Меню

Шифрование в средах NAS

Общее

Те же свойства, которые делают сетевые системы хранения данных бесценными для предприятий – доступность, централизованное хранение активов и гибкость – также увеличивают их привлекательность для внутренних и внешних злоумышленников и уязвимость для случайного раскрытия данных. Данный документ разъясняет актуальность шифрования в средах NAS, содержащих важные активы, и выдвигает основные предложения по выбору подходящей для NAS платформы шифрования.

Общие сведения: почему защита сред NAS настолько критична

Сетевая система хранения данных (NAS) представляет собой критически важное хранилище информации… и желанную цель для киберпреступников и злоумышленников внутри компании. Это, в частности, связано со следующими причинами:

  • Количество записей. В отличие от взлома сетей Wi-Fi или иных методов, которые позволяют получить доступ к одной чувствительной записи, успешная компрометация защиты среды NAS может дать доступ к сотням или сотням тысяч записей. Учитывая, что ущерб от утечки данных оценивается, приблизительно, в 214 долларов США на одну запись, ставки, очевидно, очень высоки.
  • Степень важности активов. В средах NAS может содержаться любое количество важных данных. В отдельно взятой организации NAS может содержать персональные данные, включая номера социального страхования и данные кадрового учета сотрудников, информацию о платежах и счетах клиентов, а также медицинские документы пациентов. Кроме того, она может содержать информацию без ограничения права доступа, утечка которой, тем не менее, может нанести ущерб, например, данные, относящиеся к интеллектуальной собственности компании, или электронные адреса клиентов. Такая конфиденциальная информация может быть структурированной (например, содержаться в базе данных) или неструктурированной (содержащейся в документах формата Word, PDF, файлах изображений, электронных таблицах и др.).
  • Совместный доступ. Чтобы извлечь максимальную пользу из вложений в системы NAS, большинство организаций допускают использование отдельной системы NAS несколькими подразделениями и группами. Следовательно, данные различных подразделений – каждое из которых может иметь в значительной мере отличающиеся политики, риски и требования к пользователям – будут располагаться в общей системе хранения данных. С учетом сетевой природы сред NAS, доступ к таким системам могут получать множество различных систем, пользователей и администраторов. В связи с этим они уязвимы для атак извне, внутренних злоумышленников, скомпрометированных систем и при недостаточно строгих политиках безопасности.
  • Распределенность. Создание реплик в виде локальных и удаленных резервных копий в целях восстановления после катастроф - как это делается для большей части систем NAS - может увеличить риски организации, в частности, возможность раскрытия важных активов, которые хранятся в такой системе.
  • Неопределенные средства правовой защиты. Для компаний, использующих цифровые технологии для управления своей интеллектуальной собственностью, нечеткие юридические определения хищения, которые были выявлены в ходе недавнего разбирательства, подчеркивают тот факт, что компании должны защищать цифровые активы в используемых ими средах NAS и не могут полагаться на то, что угроза ареста и тюремного срока явятся сдерживающим фактором, предотвращающим хищение таких активов сотрудниками компании. В упомянутом разбирательстве инженер Goldman Sachs, который похитил исходный код трейдинговой системы, являвшийся собственностью компании, был признан невиновным. По указанному делу суд постановил, что, поскольку был украден исходный код, а не «материальный товар», имело место хищение «исключительно нематериальной собственности, воплощенной в исключительно нематериальной форме».

Почему шифрование относится к особо важным требованиям

Понимание угроз в средах NAS

Чтобы понять сущность угроз, существующих в среде NAS, целесообразно начать с общего определения NAS. Доступ к сетевому хранилищу могут получать несколько пользователей, которые часто работают с разным клиентским ПО, использующим протоколы CIFS или NFS для совместного доступа к файлам. В связи с характером сред NAS они подвержены следующим рискам:

  • Если устройства на стороне пользователя, имеющие доступ к NAS, будут скомпрометированы, может быть скомпрометирована и сама система NAS.
  • Если сети, подключенные к NAS, будут скомпрометированы, система NAS также может быть скомпрометирована.
  • Сама система NAS может быть скомпрометирована как путем прямой атаки, так и путем получения доступа.
  • Носители данных NAS могут быть похищены или их данные могут быть случайно раскрыты, например, если носители будут утрачены или похищены в пути к месту ремонта или уничтожения.
  • Недобросовестные администраторы организации могут воспользоваться своими правами для получения доступа к системе NAS.

В целом, перечисленные выше риски не могут быть эффективно устранены такими защитными механизмами, как антивирусное ПО, межсетевой экран, полное шифрование диска и система обнаружения вторжений. Организации могут успешно противостоять угрозам данного типа только с помощью выборочного шифрования в сочетании со средствами контроля доступа.

Обеспечение соответствия требованиям

Для любой организации, обязанной соблюдать требования нормативных органов или отраслевых стандартов, использование шифрования часто является явно выраженным прямым требованием. Например, в Стандарте безопасности данных индустрии платежных карт указано, что «Такие методы защиты, как шифрование, усечение, маскирование и хеширование, являются критически важными элементами системы защиты данных держателей карт. Если злоумышленник сможет обойти другие элементы системы защиты и получить доступ к зашифрованным данным, без соответствующих ключей защиты он не сможет прочитать и использовать данные».

Кроме того, в других случаях шифрование может быть косвенным требованием для выполнения правил управления, безопасности или конфиденциальности. Например, такой регулятивный документ, как Закон Сарбейнса-Оксли, не предъявляет явно выраженного требования шифрования, но оно может требоваться для обеспечения целостности, предотвращения отказов и сохранения конфиденциальности финансовых данных, хранящихся в средах NAS.

В конечном итоге, меры стимулирования соблюдения таких требований можно относить к методам «кнута и пряника». «Кнут» заключается в том, что несоблюдение данных требований может привести к штрафам и потере клиентуры. «Пряник» заключается в том, что, соблюдая данные правила, организации могут улучшить безопасность и эффективно устранять бреши в системе защиты. Так, в Отчете об анализе инцидентов в сфере ИБ за 2012 год было отмечено, что 96 процентов жертв хищения данных, которые должны соблюдать Стандарт безопасности данных индустрии платежных карт, не выполнили его требования.

Обеспечение контроля в среде, обслуживаемой сторонними специалистами

Для поставщиков услуг, которые обслуживают более крупные предприятия, такие требования соответствия также могут иметь эффект постепенного стимулирования, т.к. более крупные предприятия и правительственные учреждения все больше требуют от поставщиков услуг соблюдения их требований.

Это особенно важно для предприятий, которые пользуются услугами поставщиков сервисов облачных вычислений и сторонних подрядчиков в сфере ИТ и разработки – ситуации, в которых может потребоваться доступ к системам NAS или их обслуживание третьими лицами с доступом через глобальную сеть.

Шифрование может играть ключевую роль в получении контроля, необходимого для защиты активов и работы с политиками доступа в средах, обслуживаемых сторонними специалистами. Например, если доступ третьих лиц к среде NAS осуществляется через глобальную сеть, шифрование обеспечивает слой безопасности, значение которого в случае компрометации методов доступа неоценимо.

Шифрование в средах NAS: основные мероприятия

При организации шифрования в среде NAS специалистам по безопасности необходимо предпринять следующие основные меры:

  • Оценить риски и факторы развития бизнеса. Чтобы обеспечить конечный успех мероприятия и получить необходимое для каких-либо вложений средств согласие, специалисты по безопасности должны провести глубокую оценку потенциальных угроз для активов в системах NAS, потенциальных рисков для бизнеса и расходов, связанных с реализаций таких угроз.
  • Определить важные данные и все места их хранения. На первый взгляд, такое действие выглядит очевидным и несложным, но для крупных предприятий оно не является таковым. Организациям нужно понять, не только какие активы хранятся в системе NAS, но и где еще могут храниться данные активы. В конце концов, одним из самых полезных результатов такого действия является то, что организация может определить и устранить места, в которых такие важные активы хранятся без достаточных с точки зрения бизнеса оснований.
  • Не полагаться на то, что пользователи будут «делать, что должны». Было доказано, что в целом конечные пользователи непоследовательно соблюдают правила технического обслуживания, например, регулярное создание резервных копий. Следовательно, не подлежит сомнению, что не следует рассчитывать на то, что пользователи смогут отличить файлы, подлежащие шифрованию, от файлов, не подлежащих шифрованию. В связи с этим, решение для шифрования должно быть прозрачным для пользователей и не должно предполагать их активного участия в выполнении корпоративных правил.
  • Установить владельцев данных и необходимые права. Для важного актива каждого типа специалисты по безопасности должны назначить права доступа для различных групп, должностей и отдельных лиц. Это крайне необходимый первый шаг по организации мер контроля доступа и политик шифрования, которые будут отвечать задачам бизнеса и защиты данных.
  • Организовать объекты шифрования с учетом потоков бизнес-операций. Далее важно спланировать реализацию мер криптографической защиты таким образом, чтобы они учитывали потоки операций в организации. Данный этап включает оценку различных вариантов шифрования данных в местах хранения и обеспечение их согласования с бизнес-процессами.
  • Реализовать эшелонированную защиту. Чтобы обеспечить эффективную защиту, чрезвычайно важно использовать шифрование в рамках многоуровневой комплексной структуры защиты. Это включает координацию функций криптографической защиты с корпоративной политикой обеспечения информационной безопасности и системами управления доступом. После развертывания системы необходимо контролировать доступ к важным данным и регулярно проводить тестирование на наличие уязвимостей, чтобы любые слабые места или бреши в защите были обнаружены до того, как ими сможет воспользоваться злоумышленник.

Основные требования к эффективным решениям для шифрования в среде NAS

Оценивая варианты организации шифрования в среде NAS, необходимо учитывать несколько основных параметров:

Централизованное защищенное управление ключами

Зачастую, когда специалисты по безопасности первый раз организуют криптографическую защиту в среде NAS, они не полностью понимают, какие меры и тактику необходимо применять для защиты криптографических ключей. Как следствие, в настоящее время отсутствие прозрачности, контроля и мер защиты криптографических ключей представляет собой серьезную уязвимость в системе защиты многих организаций. Ниже по тексту перечислены основные способы оптимизации эффективности административного руководства и защиты криптографических ключей:

Аппаратное хранение ключей

В большей части организаций сервера играют основную роль в системе шифрования, выступая в качестве центрального хранилища криптографических ключей. В результате брешь в защите данных систем может создать угрозу для целостности всей инфраструктуры. Слишком часто организации используют сервера общего назначения, в которых ключи хранятся в программном обеспечении, без защиты памяти и в незашифрованном виде. При этом ключи могут быть раскрыты в результате действий недобросовестных администраторов, эксплуатации уязвимостей программного обеспечения и реализации множества иных угроз. Например, если ключи хранятся в программном обеспечении, злоумышленник должен лишь найти резервную копию файлов сервера и реализовать атаку путем эксплуатации существующих уязвимостей.

С другой стороны, специально-спроектированные аппаратно-программные решения для шифрования и аппаратные модули безопасности (HSM) позволяют добавлять цифровую подпись к резервным копиям с использованием аппаратных средств и применять механизмы физической защиты к криптографическим ключам. Приложения обращаются к ключам, хранящимся в аппаратно-программных средствах или в аппаратных модулях безопасности, с использованием клиентского ПО, но при этом ключи всегда остаются на соответствующих устройствах. Эффективно используя такие специализированные платформы, многие организации могут устранить значительные пробелы в их системе защиты. В целях реализации режима максимальной безопасности для эффективного предотвращения раскрытия криптографического материала необходима сертификация Национального института стандартов и технологии (NIST), например, согласно стандарту FIPS 140-2 уровня 3.

Централизованное хранение ключей

Если ключи хранятся на различных системах общего назначения – нередко на тех самых системах, в которых содержатся важные данные – они уязвимы для хищения и неправомерного использования. И чем больше мест хранения ключей, тем более всеобъемлющи риски организации. Кроме того, при резервном копировании ключей (если оно осуществляется) они нередко передаются в незащищенном виде, что также создает опасность раскрытия.

Централизованное управление ключами

Управление системой криптографической защиты представляет собой жизненно важную задачу, которая обычно поручается небольшим и ограниченным в ресурсах группам в составе службы безопасности. Чтобы эффективно выполнять свои обязанности, такие группы специалистов по безопасности должны сосредоточиться на наиболее актуальных задачах ИБ и найти способы эффективно разворачивать систему защиты и управлять ей.

Административные мероприятия, например, ротация ключей, могут помочь усилить защищенность; однако их реализация должна быть безопасной и эффективной. Для выполнения данных задач специалисты по безопасности должны начать двигаться в направлении централизованного управления ключами в рамках всего предприятия, включая разнородные платформы NAS, прикладные среды, оконечные устройства, облачные системы и др. Ниже перечислены некоторые преимущества данного подхода:

  • Меньший риск раскрытия ключей. Централизация управления ключами обеспечивает фундаментальные преимущества для защиты ключей, т.к. ограничивает число мест, в которых хранятся ключи, сводя возможность раскрытия к минимуму.
  • Последовательная реализация политик. Централизованное управление ключами позволяет администраторам более последовательно реализовывать корпоративные стандарты и политики в рамках всей организации. К примеру, администратор может установить для определенного ресурса учетные данные пользователя и политики доступа один раз, после чего обеспечивать эффективное применение таких политик, независимо от того, где сохраняются данные – на сервере баз данных, в среде NAS или на портативном компьютере.
  • Отлаженное администрирование. В то же время, централизованное управление ключами также позволяет оптимизировать администрирование таким образом, чтобы администраторы вносили изменения и обновления однократно, а затем распространяли их на все соответствующие участки.
  • Эффективность шифрования. Здесь также используется более эффективная модель: в отличие от локального шифрования, при котором данные, хранящиеся на одной платформе, должны быть расшифрованы и вновь зашифрованы при передаче на другую платформу, при данном подходе отдельный актив зашифровывается однократно и распределяется между несколькими системами; актив подлежит расшифровке, только когда авторизованному пользователю необходим доступ к нему.
  • Унификация аудита и решения проблем безопасности. И наконец, централизованное хранение всех ключей позволяет значительно оптимизировать аудит и решение проблем безопасности за счет централизованного хранения всех журналов аудита, содержащих историю всех мероприятий, относящихся к ключам.

При таких условиях стандарт протокола управления взаимодействием ключей (KMIP), который был утвержден в 2010 году, представляет собой значительный шаг вперед. Стандарт KMIP был разработан Организацией по развитию стандартов структурированной информации (OASIS). KMIP был создан, чтобы определить единый всеобъемлющий протокол для стандартизированного взаимодействия между серверами управления ключами и клиентским ПО, использующим данные ключи, в масштабе всего предприятия. Эффективно применяя технологии, которые относятся к стандарту KMIP, организации могут начать использовать централизованное управление ключами для нескольких отдельных платформ шифрования, которые могут быть развернуты на предприятии в данный момент.

Развертывание платформы шифрования

Реализуя шифрование в среде NAS, специалисты по безопасности могут выбрать платформу из широкого диапазона типов. Далее рассматриваются несколько вариантов и аспектов развертывания платформ:

  • Полное шифрование диска. В то время как простота использования дискового устройства, которое имеет собственные функции шифрования, может быть привлекательной, в действительности данные варианты не предоставляют большей части организаций тех возможностей контроля, которые необходимы для соблюдения нормативных требований или для предотвращения доступа сотрудников к конфиденциальной информации. Например, если папка с кадровыми документами и папка с финансовыми документами хранятся на одном и том же диске или в одном и том же дисковом массиве, работники финансового отдела могут иметь полный доступ к документам отдела кадров и наоборот. Полное шифрование диска гарантирует, что если диск будет физически извлечен из ЦОД, никто не сможет получить доступ к информации. С другой стороны, данный подход никоим образом не защищает данные о кредитных картах, информацию о пациентах, документацию по персоналу или иную конфиденциальную информацию от посягательств со стороны сотрудников организации.
  • Шифрование на базе маршрутизатора. Решения, осуществляющие шифрование непосредственно на маршрутизаторе, могут быть очень эффективны. Однако данный подход чрезвычайно затратен и, в большинстве случаев, требует масштабной модернизации инфраструктуры.
  • Шифрование с использованием агентских модулей. Многие решения для шифрования требуют установки агентского модуля на каждом клиентском устройстве, которому требуется доступ к зашифрованным данным. На крупных предприятиях может потребоваться установка, администрирование и обновление агентских модулей на тысячах клиентских устройствах, что может создать значительные административные проблемы.
  • Шифрование «на лету». Для реализации подобных вариантов шифрования необходимо использование в сети аппаратного модуля, который может подключаться к сети непосредственно или через маршрутизатор и выступать в качестве виртуального прокси-сервера. Преимущество данного подхода заключается в том, что при обычных условиях он не требует никаких изменений в сети. Кроме того, данное решение может быть абсолютно прозрачным для конечных пользователей и работать с самыми различными серверами NAS.

Следовательно, в некоторых организациях, шифрование «на лету» представляет собой наиболее рациональную альтернативу с точки зрения безопасности, экономичности и удобства администрирования.

Выборочная изоляция данных и шифрование

Многие решения предусматривают шифрование только на уровне диска. Однако когда речь идет об определении того, какие активы подлежат шифрованию, важно иметь как можно большую гибкость. Это имеет значение, т.к. чем более детализирован контроль, тем более эффективна развернутая платформа шифрования. Для этого существует две основных причины:

  • Производительность. Независимо от того, какая платформа шифрования используется, зашифровывание или расшифровывание активов в любом случае создает дополнительную нагрузку на процессоры. Используя детализированный контроль, например, возможность шифрования на уровне каталогов, организации могут обеспечить шифрование только важных активов, таким образом уменьшая связанное с шифрованием воздействие на производительность системы.
  • Эффективность хранения данных. Зашифрованные данные не могут быть подвергнуты дедупликации или сжатию. Следовательно, шифрование может свести на нет некоторые преимущества платформ NAS, связанные с хранением данных. Благодаря решениям, которые обеспечивают более детализированное шифрование на уровне каталогов, организации могут зашифровывать только каталоги, которые содержат важные данные, оставляя прочие каталоги в незашифрованном виде, что помогает оптимизировать хранение данных.

Кроме того, выборочное шифрование обеспечивает более высокие уровни безопасности, помогая гарантировать, что только авторизованные пользователи смогут получить доступ к зашифрованным папкам или файлам. Чем менее детализировано шифрование, тем больше риск случайного раскрытия конфиденциальных данных кому-либо, не обладающему надлежащими правами (см. раздел по полному шифрованию диска выше по тексту.)

Чтобы максимально увеличить контроль и эффективность, платформы шифрования должны обеспечивать гибкость, необходимую для назначения различных ключей шифрования и политик доступа отдельному ресурсу коллективного пользования, папке или файлу. Это важно для того, чтобы администраторы системы защиты могли обеспечить разделение зашифрованного хранилища между пользователями, группами и, в случае с поставщиками услуг, между клиентами и другими лицами.

Высокая эксплуатационная готовность

При использовании шифрования важность постоянной доступности функций шифрования и дешифрования трудно переоценить. Если платформа шифрования не функционирует, пользователи просто не могут получить доступ к зашифрованным данным, которые часто включают крайне необходимые ресурсы организации. Следовательно, важно эффективно использовать платформы шифрования, которые обеспечивают постоянную доступность критически важных криптографических функций и соответствующих данных. Для этой цели необходимо выбирать те платформы шифрования, которые предлагают следующие функции:

  • Кластеризация. Выбирайте те платформы шифрования, которые предлагают функции объединения в кластеры нескольких устройств, что помогает организациям реализовывать необходимые функции шифрования и обеспечить доступность зашифрованных данных по мере необходимости. Благодаря данным функциям, все ключи, политики и информация о конфигурации могут быть доступны для всех устройств в кластере, и если основное устройство отключится, резервное устройство, включенное в данный кластер, может принять на себя соответствующую нагрузку.
  • Высокая пропускная способность и минимальные задержки. Важно, чтобы используемая платформа шифрования работала на основе выделенного надежного устройства системы защиты. Данное устройство должно включать специальное аппаратное обеспечение и обладать функциями параллельной обработки, чтобы обеспечить необходимую масштабируемость и чувствительность. Кроме того, следует выбирать решения, поддерживающие сети Ethernet скоростью 1 и 10 Гб и гарантирующие, что организации смогут удовлетворить кратко- и долгосрочные потребности в отношении безопасности и пропускной способности сети.
  • Поддержка функции восстановления после катастроф. Возможность мгновенно воспользоваться необходимыми ключами шифрования, хранящимися на удаленном ресурсе, чтобы получить доступ к критичным данным после катастрофы, является насущной необходимостью. Это означает, что реплика ключей шифрования должна быть создана в удаленной точке максимально быстро после создания ключей, а не в рамках ежедневного цикла резервного копирования.

Благодаря перечисленным функциям, организации могут пользоваться преимуществами защиты с помощью шифрования, одновременно сводя к минимуму возможные последствия использования шифрования для надежности и производительности сети.

Эффективные средства детализированного контроля доступа

Степень, в которой платформа шифрования может быть интегрирована в существующую инфраструктуру контроля доступа и систему политик и поддерживать их, является решающим фактором конечного успеха развертывания системы шифрования. Ниже перечислены некоторые свойства, необходимые для достижения данной цели:

  • Поддержка двухфакторной аутентификации. Чтобы обеспечить максимальную защиту системы шифрования, чрезвычайно важно эффективно использовать платформы шифрования, которые поддерживают двухфакторную аутентификацию. Это может быть критически важным рубежом защиты, например, если безопасность клиентского устройства с доступом к среде NAS будет скомпрометирована.
  • Интеграция в инфраструктуру аутентификации. В зависимости от конкретных задач и инфраструктур отдельной организации, настройка платформы защиты таким образом, чтобы стало возможным использование существующей инфраструктуры аутентификации, например, Active Directory, LDAP или NIS, представляет собой значительное преимущество. Это может помочь специалистам по безопасности более органично использовать существующие политики и административные мероприятия, связанные с доступом к зашифрованным данным, что помогает обеспечить эффективное управление и последовательное соблюдение политик.
  • Независимые списки контроля доступа. Кроме того, может быть важным рассмотреть возможность использования платформ шифрования, которые допускают настройку на использование собственных списков контроля доступа – такие платформы могут работать независимо или дополнять существующую инфраструктуру аутентификации. Используя платформу, которая может работать независимо от любой существующей схемы авторизации, организации могут применять средства защиты, которые, к примеру, могут предложить защиту от недобросовестных администраторов каталога Active Directory, не допуская использования ими прав администратора для расшифровывания конфиденциальных данных, на доступ к которым они не имеют полномочий.

Заключение

Правильно реализованное в средах NAS шифрование может увеличить безопасность и способствовать соблюдению нормативных требований. Неправильно реализованное шифрование может быть дорогим экспериментом, обеспечивающим ограниченную безопасность и снижающим производительность организации.

Руководствуясь описанными выше принципами – включая развертывание платформы шифрования, которая использует централизованное хранение криптографических ключей, обеспечивает высокую эксплуатационную готовность, выборочное шифрование, контроль доступа и прочие средства защиты – организации могут максимально увеличить шансы на успех, благодаря мероприятиям по использованию шифрования в среде NAS.

О решениях Gemalto SafeNet по шифрованию данных в местах хранения

SafeNet StorageSecure компании Gemalto представляет собой сетевое аппаратно-программное решение для шифрования, обеспечивающее оптимальную защиту данных, хранящихся в физических и виртуальных средах. Благодаря используемой в StorageSecure модели развертывания оно осуществляется быстро и удобно, позволяя оптимизировать текущее администрирование. StorageSecure обеспечивает конфиденциальность важных данных на файловых серверах NAS, шифрование информации на основании определенных бизнес-политик, одновременно сводя к минимуму воздействие шифрования на текущие операции.

О решениях по защите удостоверений личности и данных SafeNet компании Gemalto

Благодаря приобретению SafeNet компания Gemalto может предложить один из самых полных пакетов решений по безопасности предприятий в мире, давая своим клиентам возможность воспользоваться лучшими в отрасли технологиями защиты данных, электронных удостоверений личности, платежей и транзакций – от периферии к центру. Обновленный расширенный ассортимент решений SafeNet по защите удостоверений личности и данных компании Gemalto позволяет предприятиям на многих уровнях, включая крупные финансовые учреждения и правительственные организации, использовать подход к безопасности, ориентированный на защиту самих данных, используя инновационные методы шифрования, лучшие в своем классе технологии управления криптографическими средствами, инструменты строгой аутентификации и управления электронными удостоверениями личности, призванные помочь клиентам защищать важные активы по месту их хранения. С помощью данных решений Gemalto помогает организациям обеспечить соблюдение строгих требований в сфере конфиденциальности данных и гарантировать, что важные активы компании, информация о клиентах и электронных транзакциях будут защищены от раскрытия и несанкционированного изменения, чтобы защитить доверие клиентов во все большей степени цифровом мире.





наверх