Основные сведения

СПО «Аккорд-KVM» применяется для защиты виртуальных инфраструктур, построенных на базе KVM и использующих библиотеку libvirt (версии не ниже 1.2.8) в качестве инструмента управления гипервизором.

Основные защитные функции «Аккорд-KVM» базируются на:

  • контроле целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемом до их запуска;
  • контроле целостности конфигурации ВМ, выполняемом до запуска ВМ;
  • управлении размещением и перемещением исполняемых виртуальных машин между серверами виртуализации;
  • регистрации событий безопасности в виртуальной инфраструктуре.

СПО «Аккорд-KVM» полностью интегрируется в инфраструктуру виртуализации, поэтому для его функционирования нет необходимости использовать дополнительные серверы.

Применение СПО «Аккорд-KVM» никак не ограничивает возможности инфраструктуры виртуализации, оставляя доступными все ее преимущества.

Возможности

СПО «Аккорд-KVM» обеспечивает контроль целостности виртуальных машин и всех её компонентов, в том числе BIOS, MBR, файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

В СПО «Аккорд-KVM» реализованы следующие механизмы защиты информации в инфраструктуре виртуализации[1]:

  1. Регистрация событий безопасности в виртуальной инфраструктуре (ЗСВ.3).
  2. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (ЗСВ.6).

Управляющим персоналом комплекса обеспечивается управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных, включая

  • управление размещением и перемещением файлов образов виртуальных машин (контейнеров) между носителями (системами хранения данных) в части контроля целостности конфигурации виртуальных машин;
  • управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации в части обеспечения возможности разрешения или запрета запуска виртуальной машины на заданном хосте;
  • управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин, между носителями (системами хранения данных) в части контроля целостности конфигурации виртуальных машин.

При этом с помощью функции разрешения или запрета запуска виртуальной машины на заданном хосте можно обеспечить:

  • полный запрет перемещения виртуальных машин (контейнеров);
  • ограничение перемещения виртуальных машин (контейнеров) в пределах информационной системы (сегмента информационной системы);
  • ограничение перемещения виртуальных машин (контейнеров) между сегментами информационной системы.
  1. Контроль целостности виртуальной инфраструктуры и ее конфигураций (ЗСВ.7), включающий в себя контроль целостности виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

[1]) Формулировки приведены согласно Методическому документу ФСТЭК России «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 года).