Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (7/7)

Общие сведения о ПАК «Сегмент-В.»

Здравствуйте!

В данной лекции мы поговорим о средстве защиты виртуальных инфраструктур на базе VMware vSphere – программно-аппаратном комплексе «Сегмент-В.» производства компании ОКБ САПР.  Сначала обсудим проблемы систем безопасности виртуальных инфраструктур и решение этих проблем путем применения данного комплекса. Рассмотрим назначение комплекса, его основные механизмы защиты и варианты исполнения. Поговорим о составе комплекса и о настройке правил разграничения доступа пользователей. И в конце рассмотрим минимальный состав технических и программных средств, необходимых для его установки.

При проектировании системы безопасности виртуальной инфраструктуры архитектор сталкивается с рядом проблем, среди которых всегда присутствуют:

• проблема «суперпользователя» — то есть сосредоточение максимальных привилегий в рамках одной роли (пользователя). Для большинства систем такое положение неприемлемо. Администратор безопасности информации (АБИ) должен иметь возможность ограничивать действия Администратора виртуальной инфраструктуры (АВИ). То есть запрещать ему критичные для безопасности действия и разрешать некоторые действия только по согласованию. Например, удаление виртуальной машины (нарушение целостности и доступности) или экспорт ее на диск (нарушение конфиденциальности). И наоборот, АБИ при работе не должен иметь возможности менять конфигурацию виртуальной инфраструктуры, создавать новые ВМ и так далее – это задача АВИ.
• вторая проблема, которая зачастую присутствует в виртуальных инфраструктурах – это проблема сегментирования –  то есть разбиения системы на сегменты и обеспечения их изоляции. Система может содержать различную информацию: иерархически категорируемую, то есть разного уровня секретности, или неиерархически категорируемую, то есть разного вида. Поэтому может возникнуть ситуация, при которой эта информация будет «перемешана». Например, случайное или умышленное переключение секретной ВМ в подсеть к несекретным, или еще один пример – миграция ВМ разработчика на хранилище бухгалтерии.

К сожалению, данные проблемы не могут быть эффективно решены средствами самой виртуальной инфраструктуры. В итоге приходится подходить к вопросу «нестандартно». И это ведет либо к дополнительным затратам, либо к снижению эффективности использования средств виртуализации, либо к введению дополнительных организационных мер усложняющих работу АБИ. По этой причине логичным шагом является перенимание опыта из смежных областей и использование наложенного средства защиты для ухода от описанных проблем.

Таким средством для виртуальных инфраструктур на базе VMware vSphere является программно-аппаратный комплекс «Сегмент-В.».

ПАК «Сегмент-В.» представляет собой комплекс программных и аппаратных средств, предназначенный для разграничения доступа пользователей к объектам инфраструктуры виртуализации VMware vSphere (5.1, 5.5, 6.0, 6.5, 6.7). При этом комплекс обеспечивает защиту от утечек информации и предоставляет возможность работы с различными сегментами виртуальной инфраструктуры (ВИ), запрещая их смешивание.

В комплексе «Сегмент-В.» реализованы следующие механизмы защиты:

• идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
• управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре;
• регистрация событий безопасности в виртуальной инфраструктуре;
• управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных;
• разбиение виртуальной инфраструктуры на сегменты, то есть сегментирования виртуальной инфраструктуры, для обработки информации отдельным пользователем и (или) группой пользователей.

При этом система защиты:

• работает «прозрачно» (т.е. не требуется дополнительное ПО для работы АВИ)
• поддерживает отказоустойчивые кластерные конфигурации
• позволяет работать с любым вариантом инфраструктуры VMware vSphere (VCSA / Windows vCenter / Linked режим и так далее).

Поэтому можно быть уверенным в том, что «Сегмент-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры и оставляет доступными все ее преимущества.

Основу комплекса составляет прокси-сервер, устанавливаемый в разрыв между vCenter сервером и рабочим местом администратора виртуальной инфраструктуры (АВИ). Прокси-сервер может быть представлен в трех вариантах исполнениях:

• «Аппаратный» вариант подразумевает, что специальное программное обеспечение (СПО), входящее в состав комплекса, предустановленно на этапе производства и функционирует в процессе эксплуатации в составе входящего в комплект поставки сервера;
• в варианте исполнения «Программный» СПО предполагает установку и использование на автономных компьютерах, рабочих станциях ЛВС (типа IBM PC);
• в варианте исполнения «Виртуальная машина» СПО предполагает установку и использование на виртуальных машинах.

В двух последних вариантах исполнения СПО поставляется в виде ISO-образа;

«Сегмент-В.» не требует установки дополнительного ПО на АРМ администраторов виртуальной инфраструктуры и позволяет «бесшовно» интегрировать систему защиты в инфраструктуру виртуализации vSphere.

ПАК «Сегмент-В.» состоит из аппаратных и программных средств.

Аппаратные средства ПАК «Сегмент-В.» включают в себя следующие компоненты:

• физический сервер (при выборе аппаратного исполнения прокси-сервера). Также возможен вариант использования собственных серверов;
• контроллер «Аккорд-АМДЗ» семейства GX. Он либо уже установлен в поставляемый сервер, либо устанавливается в собственный сервер;
• usb -> Ethernet адаптер – поставляется (опционально) в составе решения для использования функционала отказоустойчивости (High Availability).

Программные средства ПАК «Сегмент-В.» включают в себя следующие компоненты:

1. модули СПО «Сегмент-В.»:

a) ПО управления комплексом (Segment-V. (exe)). Устанавливается на АРМ Администратора БИ (АРМ АБИ). Оно предназначено для настройки разграничения доступа к виртуальной инфраструктуре. Может устанавливаться отдельно или как расширение СПО «Аккорд-В.». Включает в себя следующие утилиты:

• «Segment-V.» – утилита управления комплексом «Сегмент-В.»;
• «Installer-V.» – утилита настройки соединения с vCenter и точек сбора событий с прокси-серверов (в случае совместного использования с ПАК «Аккорд-В.» используется также для установки агентов «Аккорд-В.» на ESXi);
• «LogViewer-V.» – утилита просмотра зарегистрированных событий.

b) сервис регистрации событий. Устанавливается на АРМ АБИ или в ОС отдельного сервера (рекомендуется второй вариант). Этот сервис предназначен для сбора событий инфраструктуры VMware vSphere, а также для сбора событий с агентов «Аккорд-В.» на ESXi. Для установки сервиса регистрации событий в ОС предназначена вспомогательная утилита LogServiceInstaller;

2. прокси-сервер в виде iso-образа Segment-V. Module – это специально настроенный образ операционной системы. Он устанавливается на физический сервер или внутрь ВМ. Прокси-сервер предназначен для перехвата команд управления vCenter/ESXi и организации разграничения доступа на основе заранее заданных правил. Segment-V. Module включает в себя СПО «Аккорд-X», о котором мы уже говорили на предыдущих лекциях. Применение «Аккорд-X» на прокси-сервере обеспечивает выполнение процедур идентификации и аутентификации пользователей root и accord и выполнение динамического контроля целостности исполняемых файлов из состава ПАК «Сегмент-В.».

Схематично взаимодействие элементов виртуальной инфраструктуры при применении ПАК «Сегмент-В.» можно представить следующим образом.

Комплекс позволяет создавать и работать с иерархическими (уровнями) и неиерархическими метками (категориями). Разрешено создание 64 различных уровней иерархии (при создании иерархической метки задается его имя и уровень: от 1 до 64) и неограниченное количество категорий (для которых задается имя и цвет).

Пользователям виртуальной инфраструктуры (Администраторам ВИ) и объектам ВИ назначаются метки доступа в соответствии с установленными уровнями и категориями доступа. И на основе этих меток определяется, имеет ли право Администратор ВИ получить доступ к объекту ВИ. Если метка доступа администратора выше или равна метке доступа объекта ВИ, то он получит доступ, иначе – в доступе будет отказано.

Помимо этого «Сегмент-В.» использует дискреционную политику для запрета/разрешения пользователям некоторых действий.

Обращу внимание, что политика безопасности, построенная на проверке уровня и категорий пользователей и объектов, работает «поверх» дискреционной политики.

Работа через vClient подразумевает в качестве действий операции, которые могут затрагивать один или несколько объектов доступа. Объектами доступа в ПО «Сегмент-В.» являются хосты, ВМ, шаблоны, сети (группы портов, распределенные группы портов) и хранилища.

Все действия, с точки зрения их разрешения или запрета на исполнение пользователем, можно разделить на три категории:

• Разграничиваемые. К таким разграничиваемым действиям пользователя относятся 24 операции (группы операций), выполняемые через vClient и(или) с помощью vCLI/PowerCLI. Примером таких операций являются вход в систему, доступ к файлам ВМ, удаление, создание, миграция ВМ, действия по настройке сетей, хостов и так далее.
• Всегда разрешенные (Read-only действия). К таким действиям относятся вход в систему, создание папки, настройка профилей хоста и т.д.
• Всегда запрещенные. К таким действиям относятся удаление элементов вместе с папкой (если выставлена галочка Delete from disk) и экспорт, удаление (Delete from disk для входящих в состав ВМ) и клонирование vApp.

Полный список всех возможных операций можно найти в методических материалах к лекции – «Руководстве по установке» на комплекс.

Из разграничиваемых действий для каждого пользователя создается свой список разрешенных операций пользователя.

Решение о разрешении или запрете на исполнение разграничиваемых действий принимается на основе списка разрешенных пользователю операций и на основе уровней, и категорий доступа, назначенных пользователю и всем объектам доступа, участвующим в операции.

Для установки комплекса «Сегмент-В.» требуется следующий минимальный состав технических и программных средств. Не буду его перечислять, можете ознакомиться с ним самостоятельно.

Итак, мы поговорили о программно-аппаратном комплексе «Сегмент-В.», позволяющем решить проблемы систем безопасности виртуальных инфраструктур. Рассмотрели назначение комплекса, его основные механизмы защиты и варианты исполнения. Поговорили о составе комплекса и настройке правил разграничения доступа пользователей. А также о минимальном составе технических и программных средств, необходимых для его установки.

На этом мы заканчиваем тему защиты инфраструктур виртуализации.

Спасибо за внимание, до встречи на следующей лекции!