Недавно мы писали том, что компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 версии 2.8. Эта версия прошла инспекционный контроль в ФСТЭК России и доступна для загрузки и покупки. В обновленную версию vGate R2 добавлены новые механизмы защиты и расширенные функции по администрированию системы. Сегодня мы расскажем о том, как в vGate R2 выглядит рабочий процесс для пользователей в защищенной среде.
Доступ к администраторов к виртуальной инфраструктуре
Для доступа к виртуальной инфраструктуре администратору инфраструктуры vSphere (назовем его администратор информационной безопасности, АВИ) необходимо создать учетную запись в среде vGate. Полномочия АВИ по работе с vSphere контролируются со стороны специального человека - администратора информационной безопасности (АИБ).
Для АИБ должен быть создан специальный аккаунт в среде vSphere, для которого ограничены полномочия по управлению виртуальной инфраструктурой - он должен только иметь возможность просмотра конфигураций. Ну и АИБ должен понимать основные принципы администрирования платформы vSphere.
Напомним, как выглядит референсная архитектура решения vGate:
Доступ на управление виртуальной инфраструктурой vSphere или Hyper-V получают только пользователи, прошедшие аутентификацию. В vGate предусмотрена процедура аутентификации пользователей (администраторов виртуальной инфраструктуры) и компьютеров. Аутентификация компьютеров выполняется автоматически.
Чтобы аутентифицировать в среде vGate, нужно выбрать "Программы -> Код Безопасности -> vGate -> Вход в систему":
Здесь основные параметры таковы:
Сервер авторизации - это имя или IP-адрес сервера авторизации vGate. Если в сети используется несколько серверов авторизации, то при подключении к защищенной среде пользователь может выбрать нужный сервер из списка (если параметры сервера были указаны заранее, например, при установке агента аутентификации) или указать его самостоятельно.
Способ аутентификации - для подключения к защищенной среде с использованием учетной записи vGate выберите вариант "Имя пользователя и пароль" (предлагается по умолчанию). Чтобы использовать учетные данные пользователя Windows, выберите из списка вариант "Данные текущей сессии Windows".
Домен - для учетной записи из Active Directory выберите из списка домен. При аутентификации пользователя vGate укажите имя реестра учетных записей vGate, указанное при установке сервера авторизации (например, "VGATE").
Пользователь - имя учетной записи администратора виртуальной инфраструктуры.
Подключать автоматически - установите отметку в этом поле, чтобы последующие подключения пользователя к защищенной среде выполнялись без запроса пароля (установите эту галку для удобства).
Кстати, в верхней части окна аутентификации есть ссылка "Конфигурация" - там можно настроить язык интерфейса агента аутентификации vGate R2.
Для аутентификации пользователя можно использовать персональный идентификатор eToken. Если на рабочем месте АВИ установлена система Secret Net от компании Код Безопасности, то также возможно использование персонального идентификатора iButton.
В этом случае выберите нужный способ аутентификации в комбобоксе:
Введите учетные данные пользователя, при необходимости измените остальные параметры соединения и нажмите кнопку "Подключить". После успешной аутентификации будет выполнено подключение к виртуальной инфраструктуре. Подтверждением этому будет появление всплывающего сообщения к значку vGate на панели задач в области уведомлений:
В любой момент пользователь vGate R2 может сменить свой пароль путем выбора в контекстном меню меню иконки в трее пункта "Сменить пароль":
Само собой, для учетных записей из Active Directory изменение пароля при помощи vGate не поддерживается. Для этого нужно использовать оснастки администрирования Active Directory.
Обработка несанкционированных операций
После аутентификации пользователь vSphere может использовать обычный vSphere Client или vSphere Web Client для выполнения операций с виртуальной инфраструктурой. Права на управление правилами разграничения доступа к защищаемым vGate элементам управления виртуальной инфраструктурой закреплены за администратором безопасности (АИБ).
Поэтому если пользователю/администратору vSphere для выполнения своих задач требуются иные права, или он не может получить доступ к необходимым элементам управления, ему нужно обратиться к АИБ.
Права доступа аутентифицированного пользователя vGate R2 контролируются следующим образом:
В случае отсутствия у пользователя прав доступа к серверу виртуализации ESXi, при попытке авторизации в vSphere Client или при запуске vSphere Web Client рядом с областью уведомлений на панели задач отображается сообщение агента аутентификации vGate "Соединение заблокировано".
В случае отказа в выполнении операции по управлению виртуальной инфраструктурой соответствующее уведомление отображается в vSphere Client и vSphere Web Client с сообщением о том, что операция заблокирована vGate.
Работа с конфиденциальными ресурсами
Каждому пользователю назначается уровень конфиденциальности, позволяющий ему выполнять операции с ресурсами (ESXi-серверы, виртуальные машины, хранилища, виртуальные сети) определенного уровня конфиденциальности. При этом пользователь может выполнять операции с ресурсами, уровень конфиденциальности которых не выше его собственного уровня конфиденциальности, который был определен ему администратором безопасности. То есть, существует иерархия этих уровней, которая и определяет возможности доступа конкретного пользователя.
На основании этого правила и осуществляется управление доступом к выполнению таких операций, как запуск и остановка ВМ, редактирование параметров ВМ (в том числе и сетевых), доступ к хранилищу ВМ, перемещение ВМ и т. д.
Каждый сеанс работы пользователя при подключении к защищенной среде получает уровень сессии, равный уровню конфиденциальности, который назначен пользователю. При этом пользователь может выполнять операции с ресурсами того же или меньшего уровня конфиденциальности.
Пользователям может быть предоставлена возможность контроля уровня сессии. В этом случае при подключении к защищенной среде уровень сессии также равен уровню конфиденциальности пользователя, но пользователь может выполнять операции только с ресурсами такого же уровня.
Для доступа к ресурсам другого уровня конфиденциальности пользователь может в процессе работы изменить уровень сессии, но, понятное дело, не выше имеющегося у него уровня конфиденциальности. Однако возможность изменения уровня сессии в агенте аутентификации vGate контролируется администратором информационной безопасности. По умолчанию возможность отключена.
Если же пользователям предоставлена возможность изменять уровень сессии, и, если его текущий уровень - ДСП (для служебного пользования), он может принимать одно из следующих значений (указаны в порядке возрастания):
неконфиденциально
для служебного пользования
Таким образом, выбирая необходимый уровень сессии, пользователь сможет выполнять операции с ресурсами разного уровня конфиденциальности (от уровня "неконфиденциально" до максимально доступного для данного пользователя уровня - ДСП).
Например, администратор vSphere может запускать ВМ 1 или ВМ 2, выбрав уровень сессии, соответствующий уровню конфиденциальности одной из этих ВМ:
Для выбора уровня сессии нужно просто дважды щелкнуть на значок в трее:
Выберите нужный уровень сессии:
Также можно сменить текущий уровень сессии через контекстное меню значка в трее:
Добавление/удаление ресурсов виртуальной инфраструктуры
Если вы администратор vSphere или Hyper-V и работаете в защищенной среде vGate, то при вводе в эксплуатацию нового оборудования в качестве хоста ESXi или Hyper-V или списания старых серверов нужно проинформировать об этом администратора безопасности, чтобы он соответствующим образом настроил окружение и доступ к конфиденциальным ресурсам. Аналогичным образом нужно поступать и для виртуальных машин. При добавлении новой ВМ АИБ должен определить уровень ее конфиденциальности.
А вот для безопасного вывода ВМ из эксплуатации, т. е. удаления ВМ без возможности последующего восстановления, настоятельно рекомендуется перед удалением машины выполнить очистку ее дисков.
Если для удаляемой ВМ задана соответствующая политика безопасности, очистка дисков виртуальных машин выполняется автоматически. Если политика не задана, для этого может использоваться специальная утилита командной строки vmdktool.exe, входящая в состав vGate.
Тут все просто. Вызовите контекстное меню для значка в трее и в контекстном меню выберите команду "Отключить". Примечание. Если же вы выберете пункт "Выход" - это закроет программу и агент аутентификации vGate нужно будет запускать снова.
Более подробно о продукте vGate R2 рассказано на этой странице. Демо-версии vGate для Hyper-V или VMware vSphere можно бесплатно скачать по этой ссылке.