Продолжаем вас знакомить с продуктом номер 1 - vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанционированного доступа, а также имеет все необходимые сертификаты ФСТЭК. В этой статье мы приведем все актуальные на сегодняшний день возможности vGate R2.
Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности
В vGate реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью. Таким образом, выделяются две основные роли - это администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ).
Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только аутентифицированным пользователям. Причем процедура аутентификации пользователей и компьютеров (рабочих мест АИБ и АВИ) осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle.
Процедура аутентификации АВИ осуществляется с помощью отдельного приложения, которое устанавливается на его рабочее место (агент аутентификации). До соединения с виртуальной инфраструктурой АВИ требуется запустить эту программу и ввести учетные данные.
Для избавления пользователя от многократного ввода имени пользователя и пароля агент аутентификации включает функцию надежного сохранения учетных данных. Эта функция особенно полезна, когда на рабочем месте администратора установлены несколько систем защиты, каждая из которых запрашивает данные для аутентификации.
Защита средств управления виртуальной инфраструктурой от НСД
К средствам управления виртуальной инфраструктурой относятся:
ESX-серверы, предназначенные для запуска виртуальных машин;
серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой;
средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager;
сторонние средства мониторинга и управления инфраструктурой.
Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Именно поэтому крайне важно обеспечить защиту от НСД средств управления виртуальной инфраструктурой. Средства управления виртуальной инфраструктурой размещаются внутри защищаемого периметра, доступ пользователей и компьютеров к которым осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и предотвращающим вмешательство в передачу данных.
Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Правила разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Также в vGate при разграничении прав доступа администраторов виртуальной инфраструктуры к объектам инфраструктуры используется мандатный принцип контроля доступа (более подробно описан в специальном разделе). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.
Отдельно стоит упомянуть присутствующий в vGate механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины.
Мандатное управление доступом
В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Есть возможность использовать два вида меток конфиденциальности: иерархические (уровни доступа) и неиерархические (категории).
Реализована возможность пометить метками следующие субъекты, объекты, контейнеры:
Администраторы ВИ.
ESX-серверы.
Сетевые карты ESX-сервера или VLAN.
Разделы хранилищ (Datastore).
ВМ.
Права доступа администраторов ВИ и объектов инфраструктуры проверяются на основе уровней доступа и категорий автоматически.
Пример уровней доступа (иерархические метки):
В данном случае у на есть 3 "домена безопасности" - это секретно, ДСП и неконфиденциально, и 3 пользователя, каждый из которых может работать только со своим типом ресурсов, которые могут быть расположены даже на одном хост-сервере VMware ESX / ESXi. Соответственно ресурсы между собой взаимодействуют тоже в рамках своего уровня (или ниже, если задано в доп. настройках).
Как мы видим, первый хост работает с нетвоком ДСП (куда воткнуты такие же ВМ), для которого есть такой же ДСП аплинк на виртуальном коммутаторе хост-сервера, и, в то же время, там есть и неконфиденциальный домен со своими адаптерами, нетвоками, хранилищами и машинами.
Категории отличаются от уровней следующими параметрами:
Уровни доступа иерархические, категории равноправные.
Механизмы работы уровней доступа зависят не только от пользователя, но и от его уровня доступа его текущей сессии. Категории от сессии не зависят.
Любой администратор, объект, контейнер может быть помечен несколькими категориями и только одним уровнем доступа.
Назначив категории конфиденциальности ресурсам и пользователям мы увидим следующую картину:
Здесь мы также видим домены безопасности, созданные для администраторов VMware vSphere, которые отвечают за объекты виртуальной инфраструктуры различных отделов. При этом мы видим, что одна виртуальная машина может администрироваться двумя администраторами (отдел продаж и отдел разработки), а также на одном из хранилищ могут находиться машины бухгалтерии и отдела продаж (они же используют совместно первый сервер ESX).
Защита ESX-серверов от НСД
В продукте в виде автоматизированных ИБ политик реализованы механизмы защиты от НСД серверов виртуализации ESX. Эти политики безопасности можно создавать из имеющихся в продукте шаблонов, и автоматически применять к серверам виртуализации. В процессе работы с инфраструктурой, продукт автоматически проверяет и поддерживает целостность назначенных политик безопасности.
Прежде всего, в продукте есть разделение ресурсов на следующие категории, для которых можно управлять доступом с точки зрения конфиденциальности:
защищаемый ESX-сервер;
хранилище ВМ;
виртуальная машина;
физический сетевой адаптер;
виртуальная сеть (Virtual Network)
Отдельной сущностью у нас идет администратор VMware vSphere (то есть тот, кто через vSphere Client управляет виртуальной инфраструктурой). Его учетной записи назначается определенная метка конфиденциальности (т.е., по-сути, это его уровень допуска к информации в виртуальной инфраструктуре). А при выполнении ряда стандартных операций с объектами виртуальной инфраструктуры осуществляется сравнение меток конфиденциальности ресурсов и учетных записей администраторов.
Контроль целостности конфигурации виртуальных машин и доверенная загрузка
Для обеспечения контроля целостности программной среды и доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. К сожалению, подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.
vGate содержит компоненты, устанавливаемые на каждый ESX-сервер и реализующие следующие механизмы защиты:
Контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. При этом часть параметров, не влияющих на информационную безопасность, выведена из-под контроля.
Контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины.
Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk.
Для обеспечения полноценной защиты виртуальных машин от НСД компания «Код Безопасности» рекомендует использовать СЗИ семейства Secret Net версии 7.0 или выше. В этом случае СЗИ Secret Net развертывается на виртуальных машинах.
Контроль доступа администраторов ВИ к файлам виртуальных машин
Зачастую, в виртуальной среде полномочия администратора VMware vSphere практически не ограничены. Как правило, персоналу компании сервис-провайдера для удобства выделяются права administrator, а их действия не контролируются или контролируются частично.
При работе в незащищенной виртуальной инфраструктуре на базе систем VMware, администратор этой инфраструктуры обычно может получить доступ к файлам виртуальных машин. Администратор может прямо из VI клиента скачать файл виртуальной машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализованы механизм, позволяющий контролировать доступ администраторов к файлам виртуальных машин расположенных на СХД.
Разграничение доступа ESX серверов на запуск виртуальных машин
В vGate реализованы дискреционные механизмы разграничения прав ESX-серверов на запуск виртуальных машин. Для каждой виртуальной машины администратор информационной безопасности может определить перечень ESX-сервера, где она может выполняться.
Механизм разграничения прав ESX-серверов на запуск ВМ особенно полезен для организации работы с данными разного уровня конфиденциальности. Используя этот механизм, можно настроить возможность запуска виртуальных машин, обрабатывающих данные с различным уровнем конфиденциальности, таким образом, чтобы данные разных уровней конфиденциальности обрабатывались на различных ESX-серверах.
Контроль целостности и доверенная загрузка ESX-серверов
Для обеспечения контроля целостности и доверенной загрузки ОС ESX Server в vGate на каждом ESX-сервере рекомендуется применять сертифицированный электронный замок «Соболь» версии 3.
Механизм контроля целостности электронного замка позволяет контролировать неизменность физических секторов HDD и ключевых файлов до загрузки ОС. При этом поддерживаются файловые системы ext2 и ext3, которые используются в ОС ESX Server.
Контроль целостности и защита от НСД компонентов СЗИ
vGate содержит собственные механизмы контроля целостности компонентов СЗИ. Механизмы действуют на всех компонентах СЗИ - агенте аутентификации, сервере авторизации и ESX-серверах. Для обеспечения дополнительной защиты сервера авторизации vGate от несанкционированного доступа рекомендуется использовать традиционное сертифицированное СЗИ Secret Net в комплекте с электронным замком «Соболь».
Периодически проверяется целостность файла-шаблона с контрольными суммами, полного имени каждого файла, указанного в шаблоне, содержимого каждого файла, указанного в шаблоне. События нарушения КЦ на сервере авторизации регистрируются в базе данных vGate. Интервал проверки задается в конфигурационном файле vagentd.cfg, секция vagent, параметр interval (в секундах). По умолчанию интервал равен 60 секунд. В случае нарушения КЦ сервера авторизации останавливается служба аутентификации и администраторы vSphere не имеют доступа к средсвам управления до вмешателства администратора ИБ.
Регистрация событий, связанных с информационной безопасностью
В vGate реализован механизм регистрации всех событий безопасности происходящих в системе (доступ к инфраструктуре, создание или удаление виртуальной машины, изменение виртуальной машины и.т.д) Информация аккумулируется в базе продукта, и ее можно как просматривать в процессе аудита, так и строить по ней структурированные отчеты.
Вот какие виды репортов можно генерировать в vGate R2, отражающих состояние безопасности инфраструктуры vSphere:
Вход в систему в нерабочее время
Доступ к файлам ВМ
Изменение конфигурации политик безопасности
Изменение правил мандатного доступа
Изменение сетевых правил доступа
Использование учетных записей VMware
Мониторинг учетных записей vGate
Наиболее активные пользователи
Наиболее используемые виды доступа к защищаемым объектам
Наиболее частые события ИБ
Настройка правил сетевой безопасности
Настройка доступа к защищаемым объектам
Попытки несанкционированного изменения настроек безопасности
Применение политик безопасности
Проблемы с доверенной загрузкой ВМ
Проблемы со входом в vSphere
Проблемы со входом в систему
Проблемы со сменой пароля
Соответствие стандартам безопасности (кратко)
Соответствие стандартам безопасности (подробно)
Централизованное управление и мониторинг
Консоль управления, входящая в состав vGate R2, устанавливается на рабочее место администратора информационной безопасности и позволяет:
Управлять учетными записями пользователей и компьютеров (пользователями в данном случае являются администраторы виртуальной инфраструктуры, а компьютеры - это их рабочие места).
Управлять правами доступа к защищаемым объектам.
Развертывать и настраивать компоненты защиты ESX-серверов.
Управлять параметрами виртуальных машин (политикой запуска, подключаемыми устройствами).
Просматривать журнал регистрации событий.
Просматривать отчеты встроенные в продукт.
Все изменения, произведенные администратором информационной безопасности, сохраняются централизованно на сервере авторизации.
RSS
