Как вы знаете, мы продолжаем сотрудничество с компанией Код Безопасности и в ближайших статьях будем знакомить вас с возможностями vGate R2 - главного продукта в сфере обеспечения безопасности инфраструктур VMware vSphere и Microsoft Hyper-V. Совсем недавно была анонсирована новая версия решения - vGate 2.8 для Hyper-V, которая стала еще более функциональной, надежной и удобной. Напомним также, что есть и vGate R2 для VMware vSphere.
Итак, давайте взглянем на новые возможности продукта vGate 2.8 для Hyper-V:
1. Добавлены варианты режимов работы: Тестовый, Штатный и Аварийный
Тестовый режим
После установки продукта по умолчанию vGate R2 работает в тестовом режиме, чтобы не нарушить существующие процессы управления на предприятии. В этом режиме для аутентифицированных пользователей vGate R2 разрешены подключения ко всем серверам, размещенным внутри защищаемого периметра, с любого компьютера по всем протоколам и портам. То есть, для пользователей ничего не меняется.
В тестовом режиме для пользователей, не прошедших аутентификацию в vGate R2, разрешен доступ ко всем серверам из защищаемого периметра по протоколу ICMP. В тестовом режиме работает мандатное разграничение доступа, регистрируются события, поддерживается доверенная загрузка виртуальных машин.
Штатный режим
Штатный режим – это уже стандартный режим работы vGate R2 с полным функционалом. Контроль доступа пользователей к серверам виртуальной инфраструктуры осуществляется в соответствии с правилами, настроенными администратором в консоли управления vGate R2. Перевод vGate R2 в этот режим означает полноценное внедрение решения, которое обязательно должно предваряться обучением пользователей (администраторы vSphere) и администраторов (администраторы ИБ).
Аварийный режим
Аварийный режим используется в экстренных случаях и позволяет мгновенно отключить всю защиту, таким образом, продукт не помешает ИТ-службе быстро восстановить ЦОД в случае аварии или любой другой нештатной ситуации (например, упали критические сервисы, потерялись данные и т.п.). Этот режим, в отличие от тестового режима, полностью отключает vGate R2 и все его службы, как будто он и не был установлен.
2. Добавлены новые объекты доступа виртуальной инфраструктуры
Добавлены новые объекты доступа - теперь можно хранилища (локальные, сетевые), виртуальные сети, виртуальные коммутаторы и сетевые адаптеры. На все эти объекты можно назначить как неиерархические (по категориям или с использованием цветовых меток), так и иерархические (по уровням доступа) метки конфиденциальности. Более подробно о метках, категориях и уровнях конфиденциальности мы писали вот тут.
3. Обеспечены контроль целостности и доверенная загрузка виртуальных машин
В новой версии vGate 2.8 была добавлена политика доверенной загрузки виртуальных машин (ранее эта возможность была доступна только в версии для VMware vSphere). Есть возможность гранулярно настроить параметры, которые будут контролироваться, а также функционал, позволяющий сделать выбор: разрешить или запустить виртуальную машину при нарушении целостности конфигурации.
Также есть возможность контроля целостности перечня снимков виртуальной машины. После назначения политики доверенной загрузки при старте виртуальной машины, а также по таймауту будет происходить проверка целостности. При изменениях виртуальной машины теперь происходит оповещение администратора информационной безопасности, который может согласовать или отклонить изменения. При отклонении изменений настройки виртуальной машины будут возвращены в то состояние, в котором они были при назначении политики.
Это очень удобно, когда у вас есть тот, кто следит за эффективностью виртуальной инфраструктуры, оптимизируя настройки, и тот, кто следит за соблюдением норм информационной безопасности - он осуществляет ревью этих изменений.
4. Добавлена поддержка аутентификации пользователя по JaCarta
Для обеспечения двухфакторной аутентификации теперь можно использовать идентификатор JaCarta. Идентификатор можно назначить на администратора информационной безопасности или на администратора виртуальной инфраструктуры, реализовав требования ФСТЭК по двухфакторной аутентификации.
5. Возможность отключения контроля мандатного доступа по типам объектов из консоли управления
В vGate 2.8 реализована новая возможность отключения контроля мандатного доступа для определенных объектов из консоли администратора. Это дает большую гибкость в эксплуатации решения - теперь можно его применять на ограниченном сегменте виртуальной инфраструктуры (отдельные ВМ и хранилища) в целях отладки процессов эксплуатации vGate R2.
6. Реализовано отображение событий аудита по выбранному объекту инфраструктуры
В новой версии vGate R2 разработана возможность просмотра администратором отфильтрованных событий аудита, связанных с выбранным объектом (ВМ, хост, сетевые адаптеры, хранилища, пользователи). Это очень удобно, когда вам нужно расследовать какой-то инцидент ИБ, например, связанный с данными конкретного хранилища с чувствительными данными.
Напомним, что vGate R2 на сегодняшний день практически единственное решение, которое позволяет выполнить требования регуляторов в области защиты виртуальных инфраструктур (ВИ), а именно:
Идентификация и аутентификация субъектов и объектов доступа в ВИ
Управление доступом в ВИ
Регистрация событий
Управление потоками информации между компонентами и по периметру ВИ
Доверенная загрузка ВМ
Управление перемещением ВМ и обрабатываемых на них данных
Контроль целостности виртуальной инфраструктуры и ее конфигураций
Разбиение ВИ на сегменты
На текущий момент версия vGate 2.8 для Hyper-V находится на инспекционном контроле во ФСТЭК России и будет доступна где-то в середине июля. Сейчас вы можете скачать техническую демо-версию этого продукта и развернуть ее в своей инфраструктуре.