Если у вас возникли вопросы, или появилось предложение, напишите нам

СУЦУ
СУЦУ

Аккорд-KVM Control Point

На данный момент для защиты инфраструктур виртуализации разработаны и успешно применяются специальные средства защиты (например, специальное программное обеспечение СПО «Аккорд‑В.» или СПО «Аккорд‑KVM» компании ОКБ САПР), которые контролируют целостность ВМ и их компонентов, исключая, таким образом, возможность перехвата управления ВМ, подмены их компонентов, а также компрометации данных учетных записей пользователей ВМ.

Каждое из средств защиты виртуальных сред, как и большинство технических и программных средств вообще, нуждается в управлении и администрировании. При этом если компания использует небольшое количество серверов виртуализации и «виртуалок», то управлять установленными на них средствами защиты можно и «вручную»: настроить средство защиты для одной «виртуалки» на одном сервере, потом для другой «виртуалки» на другом сервере и так далее. Данный способ управления потребует некоторого количества времени, однако, если ВМ не много, то он имеет право на существование.

Однако если в компании используется большое количество серверов виртуализации с большим числом ВМ на каждом их них, закономерно возникает необходимость в централизованном управлении средствами защиты – локальное управление решениями по защите информации для каждого из них отнимает довольно много времени (и сил управляющего персонала).

К тому же бывают случаи, когда в распределенных системах используются сервера виртуализации, расположенные удаленно от головного офиса компании, – тогда о «ручном» управлении средствами защиты удаленных виртуальных сред и речь и вовсе не идет.

В случае с инфраструктурой, защищенной «Аккорд‑KVM» этого делать не придется, так как существует разработанное компанией ОКБ САПР решение «Аккорд‑KVM Control Point».

Общие сведения

«Аккорд‑KVM Control Point» предназначен для централизованного удаленного управления СПО «Аккорд‑KVM», установленным на серверах виртуализации, через web‑интерфейс.

Система «Аккорд‑KVM Control Point» включает 3 группы функций управления:

  • настройка режима работы СПО «Аккорд‑KVM» (обычный или мягкий);
  • постановка на контроль и снятие с контроля в СПО «Аккорд-KVM» ВМ и их компонентов;
  • удалённый сбор журналов событий СПО «Аккорд‑KVM».

В «Аккорд‑KVM Control Point» реализована ролевая модель описания правил разграничения доступа. В системе есть две роли: Администратор информационной безопасности (ИБ) и Контролер. Администратор ИБ обладает правами доступа ко всем функциям «Аккорд‑KVM Control Point». Контролер просматривать информацию о текущих настройках без возможности их изменения.

Доступ к функциям управления «Аккорд‑KVM Control Point» получают только авторизованные пользователи, аутентифицированные защитными механизмами.

Контроль виртуальных машин и их компонентов в «Аккорд‑KVM Control Point» обеспечивается за счет создания политик управления и их применения к ВМ. Задавая политику для «виртуалки», Администратор ИБ определяет множество серверов виртуализации, на которых она может запускаться, а также по желанию устанавливает на контроль оборудование и файлы этой машины. В соответствии с выбранной для ВМ политикой происходит настройка всех экземпляров СПО «Аккорд-KVM», установленных на серверах виртуализации. Использование одной политики для многих однотипных ВМ позволяет упросить настройку СПО «Аккорд‑KVM» для крупных инфраструктур виртуализации.

Основные этапы работы пользователя «Аккорд‑KVM Control Point» показаны на схеме:

1.png 

Этапы работы пользователя «Аккорд‑KVM Control Point»

Структура решения

«Аккорд‑KVM Control Point» состоит из:

  • модуля «Управление»;
  • модуля «Сервер»;
  • модуля «Клиент».

2.png 

Схема информационного взаимодействия компонентов «Аккорд‑KVM Control Point»

Модуль «Управление» содержит сервис, позволяющий управляющему персоналу отправлять управляющие команды модулю «Сервер» через графический интерфейс.

Модуль «Сервер» обрабатывает полученные от модуля «Управление» команды и направляет их модулям «Клиент».

Модуль «Клиент», установленный на сервере виртуализации с СПО «Аккорд‑KVM», выполняет настройку СПО «Аккорд‑KVM» в соответствии с полученными от «Сервера» командами, а также собирает данные из журнала событий и базы данных СПО «Аккорд‑KVM». Далее «Клиент» отправляет полученные данные на «Сервер».

Получив данные от «Клиентов», «Сервер» передает их модулю «Управление», который отображает полученные сведения в web-интерфейсе пользователей, а также позволяет управляющему персоналу выгрузить журналы событий.

Основные функции

«Аккорд‑KVM Control Point» позволяет удаленно и централизованно:

  • выбирать режим функционирования «Аккорд‑KVM» (обычный или «мягкий»);
  • устанавливать ВМ на контроль с разрешением или запретом их включения;
  • снимать ВМ с контроля;
  • устанавливать на контроль оборудование ВМ;
  • снимать оборудование ВМ с контроля;
  • создавать список контролируемых файлов (создание файл-листа);
  • назначать списки контролируемых файлов ВМ (установка файлов ВМ на контроль);
  • снимать файлы ВМ с контроля;
  • проверять целостность контролируемой ВМ;
  • собирать журналы событий;
  • просматривать список ВМ;
  • управлять пользователями (создавать/удалять/редактировать учетные записи пользователей, менять пароль, искать пользователя по имени учетной записи).

Принцип работы

Пользователи подключаются к web‑интерфейсу «Аккорд‑KVM Control Point» через браузер.

После этого на экране появляется окно идентификации/аутентификации пользователя, в котором необходимо ввести идентификационные данные (имя пользователя и пароль).

После успешной идентификации и аутентификации пользователь получает доступ к графическому web‑интерфейсу «Аккорд‑KVM Control Point» и может выполнять функции централизованного управления СПО «Аккорд‑KVM».

В зависимости от роли эксплуатирующего персонала web‑интерфейс имеет некоторые отличия.

Для роли Администратора ИБ в web‑интерфейсе доступны следующие вкладки:

  • «Сервера виртуализации», в которой отображаются подконтрольные сервера виртуализации, а также возможна настройка «мягкого» режима СПО «Аккорд‑KVM» на них.
  • «Виртуальные машины», в которой отображаются виртуальные, доступные на подконтрольных серверах виртуализации, а также доступны действия по настройке их контроля целостности.
  • «Списки файлов», в которой отображаются соответствующие списки, для последующей установки файлов, указанных в них в качестве контролируемых объектов ВМ.
  • «Политики», в которой отображаются политики, используемые для централизованного управления настройками ВМ в СПО «Аккорд‑KVM».
  • «Журнал событий», в которой отображаются собираемые «Аккорд‑KVM Control Point» журналы работы СПО «Аккорд-KVM», а также собственные события системы.
  • «Пользователи», в которой отображаются пользователи «Аккорд‑KVM Control Point», а также доступны действия по управлению данными учетными записями.

Роль «Контролер» предполагает только просмотр всех разделов без возможности каких-либо изменений в них, поэтому на страницах разделов для пользователя с назначенной ролью «Контролер» работают все гиперссылки, но отсутствуют кнопки вызова команд.

от базиса
к надстройке
Кнопка связи