Компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 (версия 2.8). Эта версия прошла инспекционный контроль в ФСТЭК России (с подтверждением выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383) и доступна для загрузки и покупки. В обновленную версию vGate R2 добавлены новые механизмы защиты и расширенные функции по администрированию системы.
Кстати, обновленный ролик по продукту:
Мы уже анонсировали новые возможности vGate R2 версии 2.8, а в этой статье опишем их детальнее. Если говорить о самом главном, то были введены новые режимы функционирования: тестовый и аварийный, реализована поддержка развертывания средств управления Web Client Server и vCenter Server на одном сервере, а также добавлена поддержка аутентификации пользователей по электронным идентификаторам JaCarta ГОСТ.
Посмотрим на новые функции vGate R2 версии 2.8 более пристально:
1. Добавлены варианты режимов работы: тестовый, штатный и аварийный
После установки продукта по умолчанию vGate R2 работает в тестовом режиме. В этом режиме для аутентифицированных пользователей vGate R2 разрешены подключения ко всем серверам, размещенным внутри защищаемого периметра, с любого компьютера по всем протоколам и портам.
Для пользователей, не прошедших аутентификацию в vGate R2, разрешен доступ ко всем серверам из защищаемого периметра по протоколу ICMP. В тестовом режиме работает мандатное разграничение доступа, регистрируются события, поддерживается доверенная загрузка виртуальных машин.
Этот режим нужен при обучении работе с vGate R2, когда нет необходимости вносить изменения в производственные процессы, но нужно спланировать будущую архитектуру и шаги по внедрению решения.
Штатный режим – это стандартный режим работы vGate R2 с полным функционалом. Контроль доступа пользователей к
серверам виртуальной инфраструктуры осуществляется в соответствии с правилами, настроенными администратором
в консоли управления vGate R2.
Перевод vGate R2 в этот режим означает полноценное внедрение решения, которое обязательно должно предваряться обучением пользователей (администраторы vSphere) и администраторов (администраторы ИБ).
Аварийный режим используется в экстренных случаях и позволяет мгновенно отключить всю защиту, благодаря чему
продукт не помешает ИТ-службе быстро восстановить ЦОД в случае аварии или любой другой нештатной ситуации (например, упали критические сервисы, потерялись данные и т.п.). Этот режим, в отличие от тестового режима, полностью отключает vGate R2 и все его службы, как будто он и не был установлен.
Это также помогает и тогда, когда у вас что-то не работает, а вы пытаетесь выяснить, почему это происходит:
2. Добавлена поддержка vCenter Server и Web Client на одной машине
Теперь vCenter и Web Client могут располагаться на одном сервере, как это часто и бывает на малых предприятиях. Раньше в таких конфигурациях нельзя было использовать vGate R2, и это было очень неудобно. Теперь эту недоработку поправили.
3. Обновлены шаблоны политик безопасности
Были добавлены наборы политик безопасности по приказам 17 и 21 ФСТЭК России. Эти политики касаются защиты данных в информационных системых государственных учреждений, а также защиты персональных данных в информационных системах, их обрабатывающих.
Кроме этого, были также обновлены шаблоны безопасности по СТО БР ИББС 2014, PCI DSS 3.0, CIS Security Benchmarks 5.5, чтобы соответствовать текущему положению дел и актуальным версиям продуктов в виртуальных инфраструктурах VMware vSphere и Microsoft Hyper-V.
4. Усовершенствован контроль целостности и доверенная загрузка виртуальных машин
В vGate R2 версии 2.8 была добавлена возможность гранулярно настроить параметры, которые будут контролироваться, а также функционал, позволяющий сделать выбор – разрешить или запустить виртуальную машину при нарушении целостности конфигурации. Ранее эта возможность была доступна только в версии для VMware vSphere, но теперь доступна и для Microsoft Hyper-V:
Также теперь есть возможность контроля целостности BIOS и перечня снапшотов виртуальной машины. После назначения политики доверенной загрузки при старте виртуальной машины, а также по тайм-ауту происходит проверка целостности.
При изменениях виртуальной машины произойдет оповещение администратора информационной безопасности, который может согласовать или отклонить изменения. При отклонении изменений настройки виртуальной машины будут возвращены в то состояние, в котором они были при назначении политики.
5. Добавлена функция выгрузки/загрузки конфигурации в консоль управления
В консоль управления была добавлена функция выгрузки конфигурации в vGate R2:
Она применяется в случаепереустановки vGate R2 или каких-либо работ с сервером авторизации. Конфигурация выгружается через консоль управления в файл, производятся работы, а после установки сервера авторизации загружается соответствующая конфигурация. Благодаря этому восстанавливаются сохраненные настройки, что экономит время администратора информационной безопасности.
Также этот бэкап может быть использован для восстановления конфигурации на другом сервере или создания шаблона конфигурации продукта для последующих развертываний.
6. Добавлена поддержка аутентификации пользователя по JaCarta
Для обеспечения двухфакторной аутентификации теперь можно использовать идентификатор JaCarta.
Идентификатор можно назначить администратору информационной безопасности или администратору виртуальной инфраструктуры, реализовав требования ФСТЭК России по двухфакторной аутентификации.
7. Обеспечена возможность отключения контроля мандатного доступа по типам объектов из консоли управления
В новой версии vGate R2 теперь реализована возможность отключения контроля мандатного доступа для определенных объектов из консоли управления. Это дает большую гибкость в эксплуатации решения - теперь можно его применять на ограниченном сегменте виртуальной инфраструктуры (отдельные ВМ и хранилища) в целях отладки процессов эксплуатации vGate R2.
Либо можно отключить контроль доступа, например, для всех хранилищ, если технологические процессы по их эксплуатации вступают в конфликт с методикой контроля доступа средствами vGate R2 или создает какие-нибудь другие неудобства.
8. Реализовано отображение событий аудита по выбранному объекту инфраструктуры
Разработана возможность просмотра отфильтрованных событий аудита, связанных с выбранным объектом (ВМ, хост, сетевые адаптеры, хранилища, пользователи). Это очень удобно, когда вам нужно расследовать какой-то инцидент ИБ, например, связанный с данными конкретного хранилища с чувствительными данными.
9. Усовершенствован механизм доверенной загрузки и контроля целостности сервера авторизации на виртуальной машине
Разработан механизм, позволяющий виртуальному серверу авторизации мигрировать внутри кластера без нарушения
целостности машины. То есть, теперь нет необходимости держать его всегда на одном сервере - он полноценно может размещаться в кластере HA/DRS.
10. Добавлен контроль доступа к консоли виртуальной машины по меткам
Разработан функционал разграничения доступа к консоли виртуальной машины по меткам конфиденциальности.
11. Механизм уведомления администратора о блокировке действия
Механизм уведомления администратора о том, что vGate R2 заблокировал действие, обеспечивает понимание администратором возможной причины невыполнения операции. То есть, раньше при невозможности что-то сделать действие просто не выполнялось, то теперь становится понятно, почему так происходит (нарушение правил разграничения доступа).
12. Защищенный канал между всеми компонентами vGate R2
Теперь между всеми компонентами vGate R2 организовано безопасное соединение по протоколу SSL, а именно:
между основным и резервным серверами авторизации
между сервером авторизации и агентами на vCenter, ESXi.
Перед установкой соединения необходимо осуществлять аутентификацию.
Больше подробной информации о продукте vGate R2 вы можете получить на официальной странице продукта. Скачать пробную демо-версию можно по этой ссылке. Стоимость решения в рублях вы можете рассчитать вот тут.