Напомним, что совсем недавно компания «Код Безопасности» выпустила технический релиз новой версии vGate R2 с поддержкой VMware 5. Сейчас она проходит инспекционный контроль во ФСТЭК для получения соответствующих сертфикатов, наличие которых позволит вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Сегодня мы более подробно расскажем о новых политиках настройки безопасной среды виртуализации.
Среди основных возможностей новой версии продукта:
Полная поддержка VMware vSphere 5
Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
Поддержка 64-битных систем в качестве платформы для vGate Server.
Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).
Рассмотрим подробнее функционал новой версии в части политик и шаблонов.
Политики безопасности, реализованные в vGate R2, контролируют критичные для безопасности виртуальной среды настройки серверов ESX / ESXi и ВМ. На предмет соответствия самим политикам (то есть, настройкам безопасности) инфраструктуру виртуализации можно просканировать абсолютно бесплатно с помощью бесплатного средства vGate Compliance Checker с поддержкой vSphere 5. Ну а далее, с помощью vGate R2, эти политики можно уже централизованно контролировать.
То есть, смысл политик в vGate R2 - освободить администратора vSphere от рутинных операций за счет автоматизации настройки безопасности для хостов и виртуальных машин. Политика назначается метке безопасности (категория или уровень конфиденциальности данных ВМ или хост-сервера), после чего метка назначается серверам ESX/ESXi и виртуальным машинам (а также другим объектам), которы автоматически настраиваются с помощью агентов на хостах.
Алгоритм применения политик выглядит так:
На базе одного или нескольких шаблонов формируются наборы политик для вашей организации
Набор политик назначается для категории или уровня конфиденциальности
Объекту (хост ESX\ESXi, виртуальная машина, сетевой адаптер, виртуальная сеть или хранилище) назначается метка безопасности
Если необходимо запускается формирование отчета о соответствии инфраструктуры политикам безопасности
Для каждой из политик набора есть ее детальное описание и, что особенно круто, ссылка на конкретный пункт руководящего документа:
Новая версия vGateR2 с поддержкой vSphere 5 теперь включает в себя более 10 встроенных шаблонов (разработанных аналитиками компании на основании регламентирующих документов и многолетнего опыта в области защиты информации) на соответствие рекомендациям и требованиям:
PCI DSS 2.0
CIS VMware ESX Server Benchmark 4
VMware Security Hardening 4.1
Автоматизированные системы класса 1Г
Автоматизированные системы класса 1В
Автоматизированные системы класса 1Б
Стандарт Банка России для ИСПДн-Д
Стандарт Банка России для ИСПДн-Б
Стандарт Банка России для ИСПДн-И
Стандарт Банка России для ИСПДн-С
Информационные системы обработки персональных данных класса К1
Информационные системы обработки персональных данных класса К2
Информационные системы обработки персональных данных класса К3
Из списка, кстати, видно, что если вы - банк, то vGate - это как раз то, что нужно, чтобы соответствовать требованиям Центробанка по защите вычислительной среды для виртуальной инфраструктуры.
Напомним, кстати, что согласно ФЗ-152 «О персональных данных», личные сведения сотрудников, такие как ФИО, дата и место рождения, адрес и другая информация, должны быть защищены от несанкционированного доступа. Поэтому, если в ваших виртуальных машинах обрабатываются такие данные (что очень часто бывает в медицинских и финансовых организациям), то без vGate R2 вам просто не обойтись, поскольку это единственное на рынке сертифицированное средство их защиты.
Каждый шаблон содержит большое количество политик и настроек которые приводят виртуальную инфраструктуру в соответствие необходимым требованиям безопасности. После принятия администратором ИБ шаблона, все действия администратора vSphere проходят через призму этого шаблона и не могут привести к наступлению несоответствия (он просто не сможет изменить настройки безопасности заданные администратором ИБ).
Кроме того, напоминаем, что вы можете создать свой индивидуальный шаблон безопасности на основании принятых в конкретно вашей компании регламентов информационной безопасности (то есть компиляция нужных вам настроек). И из огромного списка политик выбрать для шаблона своей компании только те, которые нужно. В последствии вы можете настроить отчетность о соответствии выбранному шаблону и получать по требованию или по расписанию, как вами удобно, красивые отчеты с логотипом своей компании о состоянии информационной безопасности вашей инфраструктуры.
Самих отдельных политик в vGate R2 очень много, например, для хостов ESX/ESXi они приведены в списке ниже:
Список разрешенных программ
Запрет локального входа на ESX-сервер
Запрет подключения USB-носителей к ESX/ESXi-серверу
Правила для межсетевого экрана
Аутентификация для однопользовательского режима
Установка и поддержка целостности файловой системы
Использование версии 2 протокола SSH
Ограничение входа в систему для root
Запрет подключения пользовательских съемных файловых систем
Запрет операций с буфером обмена
Ограничение на выполнение назначенных заданий
Ограничение прав на конфигурацию планировщика заданий
Установка ограничений для системных служб
Разделение сетей консоли управления и виртуальных машин
Использование протокола CHAP для iSCSI-устройств
Настройки логирования виртуальных машин на ESX/ESXi-сервере
Удаление ненужных устройств виртуальных машин
Политики паролей ESX-сервера
Проверка политики контроля доступа по сети
Полномочия на файлы жестких дисков виртуальных машин
Полномочия на файлы конфигурации виртуальных машин
Защита от нехватки места на корневой файловой системе ESX-сервера
Запрет подключения съемных устройств к ESX-серверу
Запрет vSphere Web Access
Предотвращение сжатия виртуальных дисков
Предотвращение шпионажа других пользователей на администраторских удаленных консолях
Запрет удаленных операций в гостевой системе
Запрещение отсылки информации о производительности ESX-сервера гостевым системам
Запрет коммуникаций между виртуальными машинами через VMCI интерфейс
Ограничение размера vmx-файла
Избегать использования несохраняющихся (nonpersistent) дисков
Контроль использования SSL-сертификатов
Запрет использования Managed Object Browser
Отключение приветственной страницы (Welcome Web Page) при подключении к интерфейсу управления ESX-сервера
Отключение неиспользуемого vSphere функционала
Контроль за доступом через VMsafe CPU/Mem API
Контроль за доступом через VMsafe Network API
Настройка постоянного журналирования на ESXi
Ограничение доступа к VMsafe Network API
Проверка настроек SNMP агента (только для ESXi)
Включить Lockdown Mode
Отключение Direct Console User Interface
Отключение Tech Support Mode
Установка тайм-аута для работы в Tech Support Mode
Запрет NFS и NIS клиентов
Установка прав на важные файлы и запускаемые утилиты
Контроль за использованием VMsafe API для защитного модуля
Проверка использования аутентификации через Active Directory
Проверка настроек https
Аудит модулей ядра гипервизора без цифровой подписи
Мониторинг использования хранилища
Отключить протокол IPv6
Защита от переполнения буфера
Минимизация списка служб
Установка пароля загрузчика ESX-сервера
Настройка параметров ядра ESX-сервера
Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин
Запрет отсылки сообщений ESX-серверу со стороны виртуальных машин
Полномочия на файлы системного журнала ESX-сервера
Настройка параметров логирования ESX-сервера
Текст приглашения для сетевого и локального доступа к ESX-серверу
Ограничение на подключение устройств к ESX-серверу
Синхронизация времени
Полномочия на доступ к файлам паролей пользователей
Полномочия на файлы конфигурации протокола SNMP
Настройка параметров безопасности для протокола SSH
Ограничение на возможность удаления файлов ESX-сервера
Ограничение на использование привилегий суперпользователя
Отсылка событий ESX-сервера на syslog-сервер
Отсутствие программ с setuid- или setgid-флагами
Ограничение права перезаписи файлов ESX-сервера
Отсутствие файлов без владельца на ESX-сервере
Очистка памяти виртуальных машин
Очистка памяти виртуальных машин (двукратная запись)
Настройки безопасности для виртуальных коммутаторов
Группы портов не настроены на значения VLAN из зарезервированных диапазонов
Имена всех виртуальных коммутаторов (vSwitches) соответствуют заданному требованию
Имена всех групп портов соответствуют заданному требованию
Группы портов не настроены на значения VLAN 4095 кроме как для Virtual Guest Tagging
Группы портов не настроены на значения native VLAN
Обратите внимание, что некоторые политики доступны либо только для хостов ESXi (например Lockdown Mode), а некоторые - только для ESX. Большая часть политик - общая для обоих типов гипервизора.
Для виртуальных машин есть такие политики (они независимы от типа хост-сервера):
Список запрещенных устройств
Запрет клонирования виртуальных машин
Запрет создания снимков виртуальных машин
Доверенная загрузка виртуальных машин
Запрет доступа к консоли виртуальной машины
Запрет доступа к файлам виртуальных машин
Затирание остаточных данных на СХД при удалении ВМ
Затирание остаточных данных на СХД при удалении ВМ (двукратная запись)
Отменить контроль за использованием VMsafe API для защитного модуля