Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (2/7)

Начало работы с ПАК «Аккорд-В.»

Здравствуйте!

В данной лекции мы поговорим о подготовке к работе с программно-аппаратным комплексом СЗИ от НСД «Аккорд-В.». Рассмотрим вопросы, которые необходимо задать себе для того, чтобы определиться с архитектурой развертываемой инфраструктуры виртуализации. Затем разберем типовые варианты ее построения, варианты расположения сервиса регистрации событий, а также рассмотрим пример развертываемой инфраструктуры.  И в заключении поговорим об особенностях установки ESXi.

Итак, перед началом установки и настройки ПАК «Аккорд-В.» необходимо определиться с архитектурой развертываемой инфраструктуры виртуализации. Для этого следует ответить на следующие вопросы:

1. Будут использоваться отдельные ESXi (без vCenter) или предполагается наличие vCenter?
2. vCenter будет физический или будет исполняться на виртуальной машине (на Windows или VMware vCenter Server Appliance (vCSA))?
3. АРМ администратора безопасности информации совпадает с vCenter или будет отдельным?
4. Где будет располагаться сервис регистрации событий (на vCenter/ на отдельном АРМ (или ВМ), например АРМ АБИ)?

Рассмотрим типовые варианты построения инфраструктуры виртуализации.

Сразу отмечу, что АРМ АБИ не может быть реализовано в виде виртуальной машины, это должно быть физическое СВТ.

Итак, первый типовой вариант построения инфраструктуры виртуализации: vCenter совмещен с АРМ АВИ/АБИ и располагается на физическом СВТ. На vCenter установлен «Аккорд-АМДЗ», СПО «Аккорд-В.» и СПО разграничения доступа – «Аккорд-Win64 TSE».

При такой реализации возможны 2 варианта работы:

• администратор виртуальной инфраструктуры (АВИ) и Администратор безопасности информации (АБИ) работают локально на данном СВТ;
• и второй вариант - АВИ и АБИ работают удаленно, подключаясь к ОС с vCenter по RDP протоколу.

Во втором случае (при удаленной работе):

• на АРМ, с которого будет происходить подключение, должен быть установлен терминальный клиент «Аккорд-ТК»;
• на vCenter должно быть два сетевых интерфейса (один – для удаленных подключений, второй – для соединений с другими элементами инфраструктуры, такими как ESXi). На интерфейсе для удаленных подключений должен быть открыт только порт для RDP протокола (3389). Если данное действие предполагается реализовывать встроенным firewall в Windows, то необходимо учитывать, что политики применяются не к отдельным сетевым картам, а только к сетевым профилям.

При этом в ОС с vCenter необходимо чтобы:

• доступ к ПО администрирования ПАК «Аккорд-Win64», ПО «Аккорд‑В.» был только у АБИ;
• доступ к браузеру (в случае использования WebClient) и vClient был только у АВИ.

Второй вариант построения инфраструктуры виртуализации следующий: АРМ АБИ/АВИ не совмещен с vCenter. На vCenter установлено ПО «Аккорд-В.» и СПО разграничения доступа ПАК «Аккорд-Win64 TSE». В таком случае vCenter может быть любым (физическим/ ВМ с гостевой ОС Windows/ v`CSA) или вообще отсутствовать.

При такой реализации на каждом рабочем месте, имеющем связь с vCenter, необходимо установить СПО разграничения доступа («Аккорд-Win32 TSE»/ «Аккорд-Win64 TSE») и при помощи него ограничить доступ:

• к vClient и браузеру – для Администратора безопасности информации;
• к ПО администрирования «Аккорд-Win32» TSE/ «Аккорд-Win64» TSE и ПО «Аккорд‑В.» – для Администратора виртуальной инфраструктуры.

Обращу внимание, что АРМ АБИ и АРМ АВИ могут быть совмещены.

Следует учитывать, что работа с vCenter в качестве ВМ (vCSA или Windows) требует подключения к ESXi для выполнения настройки контроля целостности и доверенной загрузки.

Следующее, о чем я бы хотела поговорить – это расположение сервиса регистрации событий.

Обращу внимание, что при определении месторасположения сервиса регистрации событий важно учитывать следующее требование: необходимо обеспечить бесперебойность работы АРМ, на котором будет установлен сервис регистрации событий (данный сервис никогда не должен выключаться), поскольку в противном случае события, полученные с vCenter, могут быть пропущены. Например, это можно сделать при помощи организационных мер.

 Возможные варианты расположения сервиса регистрации событий могут быть  следующие:

1. На одном рабочем месте (АРМ) с АРМ АБИ;
2. На отдельном АРМ от АРМ АБИ (в том числе это может быть и vCenter).

Обращу внимание, что события агентов «Аккорд-В.» на ESXi также дублируются в syslog. В связи с этим, если в инфраструктуре используются централизованные системы регистрации событий (в том числе умеющие собирать события от vCenter), то от сервиса регистрации событий можно отказаться.

Пример развертываемой инфраструктуры вы можете видеть на данном слайде.

В данном варианте гипервизоры ESXi представляют физические сервера, а сервер управления vCenter – виртуальный. Помимо vCenter, в виде виртуальных машин могут существовать и другие сервера, например, контроллер домена AD. Гипервизоры, vCenter и прочие сервера объединены в единую сеть управления, к которой также подключены физические рабочие места АБИ и АВИ. Клиентские ВМ совместно с физическими рабочими машинами клиентов объединены в другую выделенную сеть, сеть виртуальных машин. Файлы виртуальных машин (их конфигурация, диски, снимки и т.д.) располагаются на системе хранения данных (СХД), подключенной к гипервизорам.

Далее рассмотрим особенности установки ESXi.

При использовании контроллеров Аккорд-5.5/5.5.е (не Linux) установка ESXi должна обязательно выполняться с использованием MBR. Это необходимо для корректной работы «Аккорд-АМДЗ». Это не накладывает ограничение в размере 2ТБ для новых подключаемых дисков – только на тот, на котором установлен ESXi.

В случае работы с большой инфраструктурой (обычно более 100 ВМ по 100 файлов) нужно выполнить процедуру расширения места под БД агентов на ESXi.

Для этого в vClient нужно выбрать нужный хост и в разделе, указанном на сладе, сменить значения limit и reservation  на указанные на данном слайде.

Выполнять данную процедуру можно "на живую", перезагрузка хоста не требуется.

Итак, мы поговорили о подготовке к работе с программно-аппаратным комплексом СЗИ от НСД «Аккорд-В.». Рассмотрели вопросы, которые необходимо задать себе для того, чтобы определиться с архитектурой развертываемой инфраструктуры виртуализации. Разобрали типовые варианты построения инфраструктуры виртуализации, варианты расположения сервиса регистрации событий, а также рассмотрели пример развертываемой инфраструктуры и поговорили об особенностях установки ESXi. На следующей лекции мы рассмотрим как происходит установка данного комплекса.

Спасибо за внимание, до встречи на следующей лекции!