Если у вас возникли вопросы, или появилось предложение, напишите нам
Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (1/7)
Общие сведения о ПАК «Аккорд-В.»
Здравствуйте!
В данной лекции мы обсудим защиту инфраструктуры виртуализации VMware vSphere с помощью программно-аппаратного комплекса СЗИ от НСД «Аккорд-В.» производства компании ОКБ САПР. Мы поговорим о принципе непрерывности контрольных процедур и о реализации данного принципа в виртуальных инфраструктурах. Рассмотрим назначение комплекса, реализуемые им механизмы защиты, а также состав комплекса и минимальный состав технических и программных средств, необходимый для его установки.
Для того, чтобы привести защиту виртуальной инфраструктуры в соответствие требованиям регуляторов, то есть требованиям руководящих документов и приказов ФСТЭК, важно понимать следующее.
В настоящее время невозможно в полной мере решить все вопросы защиты с использованием всего лишь одного продукта. В свою очередь, необходимость использования нескольких решений, в большинстве случаев приводит к дублированию функций и проблемам совместимости. Поэтому при проектировании системы защиты требуется продуманная и удобная связка решений.
Слово «связка» использовано не просто так. Можно закрыть требования по защите виртуальных инфраструктур множеством средств, но при этом все равно остаться не защищенными. Например, нельзя доверять антивирусу в ОС, если вирус находится в загрузочном секторе MBR и как следствие имеет возможность показывать антивирусу только то, что посчитает нужным.
Для того, чтобы не приходилось сомневаться в эффективности средств защиты, требуется построить доверенную среду, а для этого необходимо придерживаться принципа непрерывности контрольных процедур.
Для обычных, физических АРМ выполнение данного принципа успешно реализуется связкой «АМДЗ + СПО разграничения доступа», о которых мы много говорили в предыдущих темах нашего курса. Но при переходе к виртуальным инфраструктурам этого уже недостаточно.
Требуется учитывать «новый слой» и обеспечивать доверенную загрузку виртуальных машин (ВМ).
ПАК «Аккорд-В.», в свою очередь, предоставляет связку решений, необходимую для выполнения большинства требований. При этом он не мешает продуктам, необходимым для выполнения оставшихся требований. Это значительно упрощает проектирование системы.
Итак, программно-аппаратный комплекс средств защиты информации от несанкционированного доступа – «Аккорд-В.» предназначен для защиты инфраструктур виртуализации, построенных на базе платформ виртуализации VMware vSphere (5.0, 5.1, 5.5, 6.0, 6.5, 6.7).
В данном программно-аппаратном комплексе реализованы следующие механизмы защиты:
- доверенная загрузка и контроль целостности всех элементов инфраструктуры виртуализации;
- разграничение доступа администраторов виртуальной инфраструктуры (АВИ) и администраторов безопасности информации (АБИ);
- разграничение доступа пользователей внутри виртуальных машин;
- механизмы дискреционного/мандатного контроля доступа пользователей и процессов к защищаемым объектам инфраструктуры виртуализации, включая ресурсы внутри ВМ;
- механизм очистки оперативной и внешней памяти путём записи маскирующей информации в память при её освобождении (или перераспределении);
- и последний механизм – аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации.
Важно следующее: система защиты «Аккорд-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры. И оставляет доступными все ее преимущества.
ПАК «Аккорд-В.» представляет собой комплекс программных и аппаратных средств.
Система защиты «Аккорд-В.» полностью интегрируется в инфраструктуру виртуализации vSphere, поэтому для ее функционирования не требуются дополнительные серверы.
В состав аппаратной части ПАК «Аккорд-В.» входит аппаратная часть «Аккорд-АМДЗ», предназначенная для защиты ESXi, vCenter (если он физический), АРМ АБИ/АВИ, а также, дополнительно, для защиты клиентских рабочих мест.
Контроллер «Аккорд-АМДЗ» устанавливается:
- на АРМ АБИ/АВИ;
- на vCenter (если он не является виртуальной машиной);
- на каждый ESXi-сервер;
- на клиентские рабочие места. Контроллер «Аккорд-АМДЗ» устанавливается на клиентские рабочие места, если требуется обеспечить доверенную загрузку установленной на них операционной системы.
Программные средства ПАК «Аккорд-В.» включают в себя:
модули СПО «Аккорд-В.»:
- ПО управления комплексом, устанавливаемое на АРМ АБИ, которое включает в себя следующие утилиты:
- «Installer-V.» – предназначена для развертывания агентов «Аккорд-В.» на ESXi. Эти агенты предназначены для выполнения доверенной загрузки виртуальных машин;
- Следующая утилита - «Accord-V.» – она предназначена для настройки доверенной загрузки виртуальных машин;
- Утилита «LogViewer-V.» – предназначена для просмотра зарегистрированных событий;
- сервис регистрации событий, устанавливаемый на АРМ АБИ или в операционную систему отдельного сервера (рекомендуется второй вариант). Этот сервис предназначен для сбора событий инфраструктуры VMware vSphere, а также с агентов «Аккорд-В.» на ESXi. Для установки сервиса регистрации событий в ОС предназначена вспомогательная утилита LogServiceInstaller;
модули разграничения доступа для операционной системы с vCenter (если он установлен на ОС Windows), гостевых ОС виртуальных машин, а также, дополнительно, для ОС АРМ АБИ/АВИ и клиентских рабочих мест (не являющихся виртуальными машинами):
- модуль «Аккорд-Win64» TSE – устанавливается в ОС с vCenter (если он установлен на ОС Windows). Он предназначен для разграничения доступа к ресурсам ОС со стороны АБИ и АВИ;
- модуль «Аккорд-Win32» TSE / «Аккорд-Win64» TSE (СПО «Аккорд-ТС» и СПО «Аккорд-ТК») – устанавливается в ОС ВМ семейства Windows. Предназначен для разграничения доступа пользователей к ресурсам ВМ и, в случае необходимости, он обеспечивает возможность удаленного подключения к ВМ с клиентских рабочих мест.
Для установки комплекса «Аккорд-В.» требуется следующий минимальный состав технических и программных средств:
- наличие инфраструктуры виртуализации, построенной на базе одной из поддерживаемых платформ виртуализации, список которых мы обсуждали в начале лекции;
- наличие свободного слота на материнской плате СВТ для установки контроллера (для всех ESXi и для vCenter, если он физический);
- объем свободного дискового пространства для размещения ПО на жестком диске не менее 50 Мбайт (на vCenter-сервере и на ESXi-сервере);
- реализация АРМ АБИ в виде физической машины под управлением операционной системы Windows, в которой установлены:
- программная платформа Microsoft .NET Framework 3.5;
- распространяемые пакеты (Redistributable Package) Microsoft Visual C++ 2008 (x86) и Microsoft Visual C++ 2010 (x86).
- Последние две компоненты включены в комплект поставляемого ПО ПАК «Аккорд-В.».
- Теперь я бы хотела вернуться к озвученному вначале лекции вопросу – реализации принципа непрерывности контрольных процедур в инфраструктуре виртуализации. Данный принцип реализуется при помощи ПАК «Аккорд-В.» и учитывает особенность старта виртуальной инфраструктуры – «растянутость» на этапы, разнесенные по разным инфраструктурным элементам.
- Чтобы обеспечить защиту внутри ВМ контролируются все этапы работы: осуществляется доверенная загрузка гипервизора, выполняется проверка целостности компоненты защиты на нем, контролируется неизменность файлов конфигурации ВМ, ее BIOS и компоненты защиты внутри ВМ до ее запуска. Затем внутри корректно стартовавшей ВМ производится разграничение доступа и создание изолированной программной среды. Реализовано это в виде непрерывной цепочки контрольных процедур, каждая последующая из которых производится компонентой, проверенной на предыдущем шаге. Перехват управлением ВМ происходит непосредственно на гипервизоре, без использования API, предоставляемых средством виртуализации.
- Данная идеология хотя и не изменяет архитектуры инфраструктуры виртуализации, но, тем не менее, она накладывает определенное требование, не всегда воспринимаемое лояльно: необходимо использование не только программных средств, но еще и аппаратных.
Однако использование аппаратных средств необходимо для обеспечения физически независимого от защищаемой инфраструктуры базиса защиты – обязательного условия построения надежной подсистемы защиты, о котором в предыдущих лекциях мы говорили уже не раз. Вспомните «синдром Мюнгхаузена» и «принцип Архимеда» из лекции про РКБ и все станет понятно.
Итак, мы рассмотрели назначение ПАК СЗИ от НСД «Аккорд-В.», реализуемые им механизмы защиты, а также состав комплекса и минимальный состав технических и программных средств, необходимый для его установки. Поговорили о принципе непрерывности контрольных процедур и о реализации данного принципа в виртуальных инфраструктурах с использованием ПАК «Аккорд-В.». На следующей лекции мы поговорим о начале работы с данным комплексом.
Спасибо за внимание, до встречи на следующей лекции!