Основные сведения

СПО «Аккорд-KVM» применяется для защиты инфраструктур виртуализации, построенных на базе KVM и использующих библиотеку libvirt в качестве инструмента управления гипервизором.

СПО «Аккорд-KVM» включает в себя:

• модуль контроль целостности виртуальных машин;
• модуль перехвата старта виртуальных машин.

Основные защитные механизмы СПО «Аккорд-KVM» базируются на:

• контроле целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемом до их запуска;
• контроле целостности конфигурации ВМ, выполняемом до запуска ВМ;
• управлении размещением и перемещением исполняемых виртуальных машин между серверами виртуализации;
• регистрации событий безопасности в инфраструктуре виртуализации. 

СПО «Аккорд-KVM» полностью интегрируется в инфраструктуру виртуализации, поэтому для его функционирования нет необходимости использовать дополнительные серверы.

Применение СПО «Аккорд-KVM» никак не ограничивает возможности инфраструктуры виртуализации, оставляя доступными все ее преимущества.

СПО «Аккорд-KVM» соответствует требованиям документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденным приказом ФСТЭК России от 2 июня 2020 г №76 по 4 уровню доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.

Возможности

СПО «Аккорд-KVM» позволяет контролировать целостность компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемых до их запуска.

В СПО «Аккорд-KVM» реализованы следующие механизмы защиты информации в инфраструктуре виртуализации [1]:

1. Регистрация событий безопасности в инфраструктуре виртуализации (ЗСВ.3).
2. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (ЗСВ.6).

Управляющим персоналом комплекса обеспечивается управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных, включая:

• управление размещением и перемещением файлов образов виртуальных машин (контейнеров) между носителями (системами хранения данных) в части контроля целостности конфигурации виртуальных машин;
• управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации в части обеспечения возможности разрешения или запрета запуска виртуальной машины на заданном хосте;
• управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин, между носителями (системами хранения данных) в части контроля целостности конфигурации виртуальных машин.

При этом с помощью функции разрешения или запрета запуска виртуальной машины на заданном хосте можно обеспечить:

• полный запрет перемещения виртуальных машин (контейнеров);
• ограничение перемещения виртуальных машин (контейнеров) в пределах информационной системы (сегмента информационной системы);
• ограничение перемещения виртуальных машин (контейнеров) между сегментами информационной системы.

3. Контроль целостности инфраструктуры виртуализации и ее конфигураций (ЗСВ.7), включающий в себя контроль целостности виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

Также СПО «Аккорд-KVM» обеспечивает:

• возможность функционирования в демонстрационном режиме при отсутствии лицензии;
• возможность установки любого пути к файлу базы данных.

[1] Формулировки приведены согласно Методическому документу ФСТЭК России «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 года).