Основные сведения

Для приведения защиты виртуальной инфраструктуры в соответствие требованиям регуляторов (руководящие документы и приказы ФСТЭК) важно понимать следующее.

В настоящее время невозможно в полной мере решить все вопросы защиты с использованием всего лишь одного продукта. В свою очередь необходимость использования нескольких решений в большинстве случаев приводит к дублированию функций и проблемам совместимости. Поэтому при проектировании системы защиты требуется продуманная и удобная связка решений.

Слово «связка» использовано не просто так. Можно закрыть требования по защите виртуальных инфраструктур множеством средств, но при этом все равно остаться не защищенными. Например, нельзя доверять антивирусу в ОС, если вирус находится в загрузочном секторе MBR и как следствие имеет возможность показывать антивирусу только то, что посчитает нужным.

Чтобы в эффективности средств защиты не приходилось сомневаться, требуется построить доверенную среду, а для этого необходимо придерживаться принципа непрерывности контрольных процедур.

Для обычных, физических АРМ выполнение данного принципа успешно реализуется связкой «АМДЗ + СПО разграничения доступа», но при переходе к виртуальным инфраструктурам этого уже недостаточно. Требуется учитывать «новый слой» и обеспечивать доверенную загрузку ВМ.

Особенность «нового слоя»

ПАК «Аккорд-В.» в свою очередь предоставляет связку решений, необходимую для выполнения большинства требований, и не мешает продуктам, необходимым для выполнения оставшихся (что значительно упрощает проектирование системы).

Возможности

В программно-аппаратном комплексе «Аккорд-В.» реализованы следующие механизмы защиты[1]:

  • доверенная загрузка и контроль целостности всех элементов инфраструктуры виртуализации;
  • разграничение доступа администраторов виртуальной инфраструктуры (АВИ) и администраторов безопасности информации (АБИ);
  • разграничение доступа пользователей внутри виртуальных машин;
  • механизмы дискреционного/мандатного контроля доступа пользователей и процессов к защищаемым объектам инфраструктуры виртуализации, включая ресурсы внутри ВМ;
  • механизм очистки оперативной и внешней памяти путём записи маскирующей информации в память при её освобождении (перераспределении);
  • аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации.

Важно! Система защиты «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

Законченное решение

ПАК «Аккорд-В.» представляет собой комплексное решение, включающее в себя все необходимые элементы для реализации требований по защите информации.

Отказоустойчивое решение

Агенты «Аккорд-В.» в составе ПАК работают независимо от АРМ АБИ (т.е. децентрализовано), что повышает уровень функционирования всей системы в целом, т.к. отсутствует «единая точка отказа» системы.

Адаптируемое решение

ПАК «Аккорд-В.» позволяет защищать виртуальные инфраструктуры, дополненные различными подсистемами. Например, VDI (Horizon View, XenDesktop), антивирусы (Deep Security, Касперский для виртуальных сред) или средства резервирования (Acronis backup, Veeam backup).

Подробнее с комплексом можно ознакомиться, прочитав Документацию, задав вопросы с помощью любой из форм обратной связи, представленных на сайте, или договорившись с нами о проведении семинара – для этого напишите нам на okbsapr@okbsapr.ru.

Сертификат на Аккорд-В. – здесь. А в Библиотеке Вы можете прочитать статьи об этом продукте, сделав подборку публикаций по теме «Аккорд-В.» и посмотреть презентации.

Аккорд-В. зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных за номером 2031 от 8 Октября 2016г.

Управление доступом к системе управления виртуальной инфраструктурой

При проектировании системы безопасности виртуальной инфраструктуры архитектор сталкивается с рядом проблем, среди которых всегда присутствуют:

  • проблема «суперпользователя» — то есть сосредоточение максимальных привилегий в рамках одной роли (пользователя). Для большинства систем такое положение неприемлемо, Администратор безопасности информации (АБИ) должен иметь возможность ограничивать действия Администратора виртуальной инфраструктуры (АВИ): запрещать критичные для безопасности действия и разрешать некоторые только по согласованию, например, удаление виртуальной машины (нарушение целостности и доступности) или экспорт ее на диск (нарушение конфиденциальности).
  • проблема сегментирования — то есть разбиения системы на сегменты и обеспечения их изоляции. Так как система может содержать различную информацию (иерархически категорируемую, то есть разного уровня секретности, или неиерархически, то есть разного вида), может возникнуть ситуация, при которой она будет «перемешана». Например, случайное или умышленное переключение секретной ВМ в подсеть к несекретным или миграция ВМ разработчика на хранилище бухгалтерии.

К сожалению, данные проблемы не могут быть эффективно решены средствами самой виртуальной инфраструктуры. В итоге приходится подходить к вопросу «нестандартно», что ведет либо к дополнительным затратам, либо к снижению эффективности использования средств виртуализации, либо к введению дополнительных организационных мер усложняющих работу АБИ. По этой причине логичным шагом является перенимание опыта из смежных областей и использование наложенного средства защиты для ухода от описанных проблем.

Таким средством для виртуальных инфраструктур на базе VMware vSphere (версий 5.x и 6.x, для версии 6.5 поддержана работа с HTML5 клиентом) является программно-аппаратный комплекс «Сегмент-В.».

ПАК «Сегмент-В.» представляет собой комплекс программных и аппаратных средств, предназначенный для разграничения доступа пользователей к объектам инфраструктуры виртуализации VMware vSphere. При этом комплекс обеспечивает защиту от утечек информации, предоставляя возможность работы под одной учетной записью с различными сегментами виртуальной инфраструктуры (ВИ), запрещая их смешивание.

Основу комплекса составляет прокси-сервер, устанавливаемый в разрыв между vCenter сервером и рабочим местом администратора виртуальной инфраструктуры (АВИ).

Возможности

В программно-аппаратном комплексе «Сегмент-В.» реализованы следующие механизмы защиты[1]:

  • Идентификация/аутентификация пользователей управляющих виртуальной инфраструктурой
  • Разграничение доступа к объектам виртуальной инфраструктуры:
  • Мандатное (иерархические и неиерархические метки)
  • Дискреционное (Более 20 действий)
  • Запрет смешивания информации из различных Сегментов

При этом система защиты:

  • работает «прозрачно» (т.е. не требуется дополнительное ПО для работы АВИ)
  • поддерживает отказоустойчивые кластерные конфигурации
  • позволяет работать с любым вариантом инфраструктуры VMware vSphere (VCSA / Windows vCenter / Linked режим / Standalone ESXi).

Поэтому можно быть уверенным в том, что «Сегмент-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

Законченное решение

ПАК «Сегмент-В.» — самодостаточное решение. Требуется лишь настроить приобретенный сервер или «развернуть» новую ВМ. Отсутствуют скрытые затраты (например, на ОС).

Отказоустойчивое решение

ПАК «Сегмент-В.» поддерживает кластерную конфигурацию, что обеспечивает автоматическое переключение на резервный сервер в случае непредвиденных ситуаций.

Универсальное решение

ПАК «Сегмент-В.» поддерживает любые исполнения виртуальной инфраструктуры: VCSA / Linked Mode / Standalone ESXi. При этом решение не усложняет работу АВИ (отсутствуют какие-либо агенты).

[1] Приведен список основных возможностей, с полным списком можно ознакомиться в документации на комплекс