Как вы знаете, в рамках партнерства с компанией "Код Безопасности" мы будем вас знакомить с продуктом vGate 2, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры (на платформах VMware Virtual Infrastructure 3.5, VMware vSphere 4 и VMware vSphere 4.1) в соответствие законодательству и отраслевым стандартам.
Мы уже писали о бесплатном средстве vGate Compliance Checker для проверки виртуальной инфраструктуры VMware vSphere на соответствие требованиям стандартов безопасности. Он позволяет увидеть, какие уязвимые места есть в вашей инфраструктуре и дать понять администраторам ИБ, что необходимо применение дополнительных средств защиты в условиях повышенных требований к безопасности. Таким средством защиты и является vGate 2 for VMware.
vGate 2 позволит избежать «безымянных» утечек информации, за которые, как правило, отвечает администратор сети. С vGate 2 каждая утечка и несанкционированный доступ отслеживаются и автоматически попадают в отчеты, анализируя которые, всегда можно доказать, что администратор действовал в соответствии с регламентом и не нарушал правил безопасности.
Сегодня мы поговорим о трех важных вещах, которые вам нужно знать о vGate 2:
Основные возможности по обеспечению безопасности vSphere и как продукт позволяет соответствовать требованиям различных стандартов и норм (в России это особенно актуально со вступлением в силу закона ФЗ 152).
Издания продукта vGate 2, а также особенности лицензирования в организациях.
И, собственно, из каких компонентов состоит продукт и как они взаимодействуют между собой.
Основные возможности vGate 2
В vGate 2 предусмотрены следующие функциональные возможности:
Усиленная аутентификация администраторов имеющих доступ к управлению конфигурацией виртуальной инфраструктуры vSphere.
Ролевое и мандатное управление доступом к конфиденциальным ресурсам.
Управление конфигурациями системы безопасности на базе политик.
Контроль целостности конфигурации ВМ и доверенная загрузка.
Регистрация событий, связанных с информационной безопасностью.
Централизованное управление и аудит событий безопасности.
Резервирование сервера авторизации для повышения отказоустойчивости.
Подготовка отчетов о состоянии и событиях ИБ.
Давайте рассмотрим их немного подробнее.
1. Аутентификация администраторов, имеющих доступ к управлению конфигурацией инфраструктуры VMware.
В инфраструктуре, находящейся под охраной vGate 2, для решения проблемы «суперпользователя» выделяется 2 типа пользователей - администратор ИБ, который настраивает уровень доступа к объектам инфраструктуры (и управляет конфигурациями системы безопасности), и администратор vSphere, который в соответствии с выданными ему разрешениями, осуществляет управление хостами VMware ESX и виртуальными машинами. Администраторы не могут получить доступа к управлению без прохождения процедуры аутентификации на сервере авторизации vGate.
Первоначально в списке пользователей продукта (а это администраторы) могут присутствовать учетные записи компьютеров. Они создаются автоматически при установке агента аутентификации (агент vGate - ставится там же, где и vSphere Client) на компьютеры сервисных служб (DNS, AD и т. п.) во внешнем периметре сети администрирования. Автоматически учетным записям компьютеров назначается пароль, который хранится в системе в защищенном виде и используется при аутентификации. Такие учетные записи используются для авторизации компьютеров, а также организации доступа служб и сервисов этих компьютеров к защищаемым ESX-серверам и другим хостам сети администрирования.
Для каждого пользователя можно назначить метку конфиденциальности, которая определяет уровень доступа к основным ресурсам виртуальной инфраструктуры посредством иерархической или плоской модели (см. пункт 2).
2. Управление доступом к ресурсам.
Мандатный контроль доступа реализован двумя типами меток конфиденциальности:
Метки бизнес-категорий информации (неиерархические метки)
Уровни конфиденциальности - это иерархические правила (от высокого - совершенно секретно, до низкого - неконфиденциально), которые определяют уровень доступа пользователя к объектам виртуальной инфраструктуры (например, к хост-серверу или ВМ), а также правила доступа объектов инфраструктуры друг к другу (например, секретная машина не может исполняться на несекретном хосте).
Метки безнес-категорий - это механизм разграничения прав доступа на основе плоской структуры, который позволяет включать объекты в определенные зоны безопасности (это могут быть, например, отделы - экономического планирования и разработки). Эти категории можно "наклеивать" на объекты виртуальной инфраструктуры.
Метки конфиденциальности можно переименовывать, но для иерархических меток иерархия уровней от этого не поменяется.
С помощью vGate 2 вы можете назначить различные уровни и категории доступа следующим видам ресурсов:
защищаемый ESX-сервер;
хранилище ВМ;
виртуальная машина;
физический сетевой адаптер;
виртуальная локальная сеть
Это позволяет разделить объекты инфраструктуры на логические группы и сферы администрирования.
Рассмотрим 2 случая с разными типами меток конфиденциальности. Инфраструктура может выглядеть у вас так:
В данном случае это будут некоторые иерархические "домены" безопасности, включающие в себя хост-серверы, виртуальные машины, хранилища, виртуальные сети (VLAN) и адаптеры. Объект с уровнем Совершенно Секретно может действовать во всех нижележащих доменах безопасности (при условии разрешения этой настройки), а объект из уровня неконфиденциально никогда не попадет в область работы с секретной информацией (например, секретное хранилище FC или iSCSI).
В случае с метками бизнес-категорий разграничение прав доступа может выглядеть следующим образом:
Эта структура плоская - никакой иерархии нет. В этом случае пользователь или объект получает доступ только к тем ресурсам, на которые "наклеена" соответствующая метка (например, его отдела).
Эти два типа меток конфиденциальности можно комбинировать. В следующих статьях мы расскажем как это работает более подробно.
3. Управление конфигурациями системы безопасности на базе политик.
Политики безопасности, реализованные в vGate, контролируют критичные для
безопасности виртуальной среды настройки ESX-серверов и ВМ. Помните те самые политики, на предмет соответствия которым вы сканировали инфраструктуру виртуализации с помощью vGate Compliance Checker? Так вот теперь их можно задать для хостов VMware ESX, а также виртуальных машин. И, соответственно, привести их в соответствие с этими политиками.
Для вас уже готово несколько шаблонов политик на базе общепринятых стандартов безопасности для виртуальных машин и хост-серверов:
Эти политики можно конфигурировать (то есть, например, поставить пароль на загрузчик сервера ESX), а также включить или отключить в рамках применяемого к хосту или ВМ набора:
Кроме того, есть возможность создать свой шаблон на основе политик безопасности, которые приняты в вашей компании.
Эти политики назначются метке безопасности (которая есть совокупность уровней доступа и категорий доступа), а метка ложится на хосты или ВМ. Все просто. О политиках, конечно, мы будем говорить подробнее в следующих статьях. Политик много.
4. Контроль целостности виртуальных машин и их доверенная загрузка.
Для обеспечения контроля целостности программной среды и доверенной загрузки ОС виртуальных машин (которые требуются при выполнении требований законодательства и в условиях повышенных требований к безопасности) в vGate на каждый ESX-сервер устанавливаются
компоненты, выполняющие следующие защитные функции:
Контроль целостности настроек ВМ перед ее загрузкой.
Контроль целостности образа BIOS виртуальной машины.
Доверенная загрузка ОС — осуществляется путем контроля целостности за-
грузочного сектора виртуального диска.
Целостность ВМ контролируется компонентами защиты, установленными на
ESX-сервер (то есть туда ставится специальный агент). Когда vmx-файл виртуальной машины изменяется, можно настроить согласование этого процесса с администратором информационной безопасности на предприятии. Он может принять или откатить эти изменения:
Можно также контролировать и целостность конфигурационных файлов хостов VMware ESX.
5. Регистрация событий информационной безопасности и их аудит.
В vGate 2 есть очень мощный механизм отслеживания событий в виртуальной инфраструктуре, связанных с информационной безопасностью. Обо всем оповещается сервер авторизации, в котором потом можно просто найти что угодно:
Все события детально описаны:
6. Резервные серверы vGate 2.
Сервер авторизации vGate 2 можно зарезервировать в горячем режиме для обеспечения отказоустойчивости. На него будут реплицироваться изменения, происходящие с основным сервером.
В случае сбоя клиенты vGate 2 переключатся на резервный сервер прозрачно для пользователей.
7. Структурированные отчеты о состоянии уровня ИБ VMware vSphere.
В vGate 2 можно настроить специализированный сервер отчетности, который будет генерировать репорты, в которых будут отражены основные конфигурации и изменения с точки зрения информационной безопасности.
Подготовленный отчет можно выгрузить в следующие форматы:
XML-файл с данными отчета;
текстовый файл с разделителями (CSV);
графический файл (TIFF);
файл Acrobat (PDF);
веб-архив (MHT);
файл Excel (XLS)
Издания и лицензирование vGate 2
При покупке продукта vGate приобретаются две лицензии, а вместе с ними выдаются и два лицензионных ключа:
Лицензия на сервер авторизации (нужна 1 штука или 2, если используется резервный сервер)
Лицензия на компоненты защиты ESX-серверов (нужно столько, сколько у вас процессоров хостов ESX - то есть лицензирование такое же, как у VMware vSphere или Veeam Backup)
Таким образом, схема лицензирования весьма простая. Изданий также немного - всего два: vGate 2 для государственных организаций (с сертификатом ФСТЭК по уровню защиты СВТ 5) и vGate 2 для коммерческих компаний.
Сертификат ФСТЭК на vGate 2 вы можете скачать по этой ссылке.
Купить продукт vGate можно, кстати, в компании VMC.
Состав и архитектура vGate 2
Архитектуру решения vGate 2 можно представить следующим образом:
В состав vGate 2 входят следующие функциональные компоненты:
Сервер авторизации vGate. Этот сервер является основным компонентом vGate, обеспечивающим централизованное управление инфраструктурой безопасности vSphere, авторизацию пользователей и разграничение доступа, регистрацию событий, касающихся ИБ, ведение журналов, хранение конфигурации vGate. При наличии резервного сервера он осуществляет на него репликацию данных в целях отказоустойчивости. Этот сервер может быть установлен как на виртуальной, так и на физической машине. При этом у него должно быть как минимум 2 сетевых карточки - одна смотрит в корпоративную сеть (из которой соединяются администраторы), а вторая - в сеть управления виртуальной инфраструктурой. На этом же сервере можно поставить консоль управления.
Резервный сервер(не обязателен). Этот сервер берет на себя функции основного в случае его отказа (автоматически). Когда основной сервер восстановится, на него можно переключиться снова.
Сервер отчетов. Сюда мы ставим MS SQL Server 2005 SP3 with Reporting Services, на базе которого и происходит генерация отчетов vGate. Его можно поставить на виртуальной машине, при этом можно поставить и на сервер авторизации.
Агент
аутентификации. Этот компонент устанавливается на рабочую станцию администратора VMware vSphere (где стоит vSphere Client). Он обеспечивает коммуникацию с сервером авторизации vGate и аутентификацию пользователя и компьютера. Он же производит выбор уровня сессии при работе с конфиденциальными ресурсами.
Модули защиты ESX-сервера. Эти модули представляют собой агенты, которые из консоли vGate развертываются на хост-серверах. Они отвечают за все действия по контролю активностей проходящих на нем (например, контроль целостности и доверенная загрузка ВМ, регистрация событий безопасности, контроль монтирования устройств).
Компонент
защиты vCenter. Это, по-сути, фаервол, осуществляющий фильтрацию входящего трафика.
Консоль
управления. Это основная графическая консоль для работы с решением vGate. Ее можно поставить на сервер авторизации. Отсюда администратор информационной безопасности производит все свои действия по конфигурации и контролю.
С точки зрения разделения сети, архитектура решения vGate выглядит таким образом:
Пока это все. В следующей статье мы разберем на примерах, как внедряется решение vGate в корпоративной среде предприятия и более детально рассмотрим его возможности. Если что непонятно - не стесняйтесь, спрашивайте.
И в заключение приятная новость (а о важных новостях мы всегда пишем первыми) – как нам стало известно уже на следующей неделе выйдет новая версия vGate с поддержкой серверов VMware ESXi. А как вы знаете, новая версия VMware vSphere 5 будет построена только на базе ESXi, поэтому vGate для ESXi будет очень кстати.
RSS
