Если у вас возникли вопросы, или появилось предложение, напишите нам
Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (2/7)
Начало работы с ПАК «Аккорд-В.»
Здравствуйте!
В данной лекции мы поговорим о подготовке к работе с программно-аппаратным комплексом СЗИ от НСД «Аккорд-В.». Рассмотрим вопросы, которые необходимо задать себе для того, чтобы определиться с архитектурой развертываемой инфраструктуры виртуализации. Затем разберем типовые варианты ее построения, варианты расположения сервиса регистрации событий, а также рассмотрим пример развертываемой инфраструктуры. И в заключении поговорим об особенностях установки ESXi.
Итак, перед началом установки и настройки ПАК «Аккорд-В.» необходимо определиться с архитектурой развертываемой инфраструктуры виртуализации. Для этого следует ответить на следующие вопросы:
- Будут использоваться отдельные ESXi (без vCenter) или предполагается наличие vCenter?
- vCenter будет физический или будет исполняться на виртуальной машине (на Windows или VMware vCenter Server Appliance (vCSA))?
- АРМ администратора безопасности информации совпадает с vCenter или будет отдельным?
- Где будет располагаться сервис регистрации событий (на vCenter/ на отдельном АРМ (или ВМ), например АРМ АБИ)?
Рассмотрим типовые варианты построения инфраструктуры виртуализации.
Сразу отмечу, что АРМ АБИ не может быть реализовано в виде виртуальной машины, это должно быть физическое СВТ.
Итак, первый типовой вариант построения инфраструктуры виртуализации: vCenter совмещен с АРМ АВИ/АБИ и располагается на физическом СВТ. На vCenter установлен «Аккорд-АМДЗ», СПО «Аккорд-В.» и СПО разграничения доступа – «Аккорд-Win64 TSE».
При такой реализации возможны 2 варианта работы:
- администратор виртуальной инфраструктуры (АВИ) и Администратор безопасности информации (АБИ) работают локально на данном СВТ;
- и второй вариант - АВИ и АБИ работают удаленно, подключаясь к ОС с vCenter по RDP протоколу.
Во втором случае (при удаленной работе):
- на АРМ, с которого будет происходить подключение, должен быть установлен терминальный клиент «Аккорд-ТК»;
- на vCenter должно быть два сетевых интерфейса (один – для удаленных подключений, второй – для соединений с другими элементами инфраструктуры, такими как ESXi). На интерфейсе для удаленных подключений должен быть открыт только порт для RDP протокола (3389). Если данное действие предполагается реализовывать встроенным firewall в Windows, то необходимо учитывать, что политики применяются не к отдельным сетевым картам, а только к сетевым профилям.
При этом в ОС с vCenter необходимо чтобы:
- доступ к ПО администрирования ПАК «Аккорд-Win64», ПО «Аккорд‑В.» был только у АБИ;
- доступ к браузеру (в случае использования WebClient) и vClient был только у АВИ.
Второй вариант построения инфраструктуры виртуализации следующий: АРМ АБИ/АВИ не совмещен с vCenter. На vCenter установлено ПО «Аккорд-В.» и СПО разграничения доступа ПАК «Аккорд-Win64 TSE». В таком случае vCenter может быть любым (физическим/ ВМ с гостевой ОС Windows/ v`CSA) или вообще отсутствовать.
При такой реализации на каждом рабочем месте, имеющем связь с vCenter, необходимо установить СПО разграничения доступа («Аккорд-Win32 TSE»/ «Аккорд-Win64 TSE») и при помощи него ограничить доступ:
- к vClient и браузеру – для Администратора безопасности информации;
- к ПО администрирования «Аккорд-Win32» TSE/ «Аккорд-Win64» TSE и ПО «Аккорд‑В.» – для Администратора виртуальной инфраструктуры.
Обращу внимание, что АРМ АБИ и АРМ АВИ могут быть совмещены.
Следует учитывать, что работа с vCenter в качестве ВМ (vCSA или Windows) требует подключения к ESXi для выполнения настройки контроля целостности и доверенной загрузки.
Следующее, о чем я бы хотела поговорить – это расположение сервиса регистрации событий.
Обращу внимание, что при определении месторасположения сервиса регистрации событий важно учитывать следующее требование: необходимо обеспечить бесперебойность работы АРМ, на котором будет установлен сервис регистрации событий (данный сервис никогда не должен выключаться), поскольку в противном случае события, полученные с vCenter, могут быть пропущены. Например, это можно сделать при помощи организационных мер.
Возможные варианты расположения сервиса регистрации событий могут быть следующие:
- На одном рабочем месте (АРМ) с АРМ АБИ;
- На отдельном АРМ от АРМ АБИ (в том числе это может быть и vCenter).
Обращу внимание, что события агентов «Аккорд-В.» на ESXi также дублируются в syslog. В связи с этим, если в инфраструктуре используются централизованные системы регистрации событий (в том числе умеющие собирать события от vCenter), то от сервиса регистрации событий можно отказаться.
Пример развертываемой инфраструктуры вы можете видеть на данном слайде.
В данном варианте гипервизоры ESXi представляют физические сервера, а сервер управления vCenter – виртуальный. Помимо vCenter, в виде виртуальных машин могут существовать и другие сервера, например, контроллер домена AD. Гипервизоры, vCenter и прочие сервера объединены в единую сеть управления, к которой также подключены физические рабочие места АБИ и АВИ. Клиентские ВМ совместно с физическими рабочими машинами клиентов объединены в другую выделенную сеть, сеть виртуальных машин. Файлы виртуальных машин (их конфигурация, диски, снимки и т.д.) располагаются на системе хранения данных (СХД), подключенной к гипервизорам.
Далее рассмотрим особенности установки ESXi.
При использовании контроллеров Аккорд-5.5/5.5.е (не Linux) установка ESXi должна обязательно выполняться с использованием MBR. Это необходимо для корректной работы «Аккорд-АМДЗ». Это не накладывает ограничение в размере 2ТБ для новых подключаемых дисков – только на тот, на котором установлен ESXi.
В случае работы с большой инфраструктурой (обычно более 100 ВМ по 100 файлов) нужно выполнить процедуру расширения места под БД агентов на ESXi.
Для этого в vClient нужно выбрать нужный хост и в разделе, указанном на сладе, сменить значения limit и reservation на указанные на данном слайде.
Выполнять данную процедуру можно "на живую", перезагрузка хоста не требуется.
Итак, мы поговорили о подготовке к работе с программно-аппаратным комплексом СЗИ от НСД «Аккорд-В.». Рассмотрели вопросы, которые необходимо задать себе для того, чтобы определиться с архитектурой развертываемой инфраструктуры виртуализации. Разобрали типовые варианты построения инфраструктуры виртуализации, варианты расположения сервиса регистрации событий, а также рассмотрели пример развертываемой инфраструктуры и поговорили об особенностях установки ESXi. На следующей лекции мы рассмотрим как происходит установка данного комплекса.
Спасибо за внимание, до встречи на следующей лекции!