Некоторое время назад мы писали о решении
vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры Microsoft Hyper-V. Там мы рассмотрели основные возможности продукта, а в этой статье пройдемся по основным моментам настройки и администрирования vGate R2 и рассмотрим, какие его функции помогут компаниям для обеспечения ИБ в реальных условиях.
Итак, после запуска средства vGate R2 появится мастер настройки окружения, где нужно ввести параметры доступа к защищаемому серверу Hyper-V:
Затем на сервере Hyper-V будет развернут компоненты защиты - агент vGate R2:
Первым делом необходимо настроить список пользователей vGate R2:
По умолчанию список пользователей уже содержит учетную запись главного администратора информационной безопасности (АИБ) - это и есть администратор решения vGate R2. Можно также добавить пользователей из Active Directory.
Далее можно приступать к работе с консолью vGate R2:
На вкладке "Конфигурация" можно задать основные настройки продукта. Можно задать параметры общей учетной записи, которая будет использоваться для доступа к серверам Hyper-V.
В разделе "Дополнительные настройки" можно настроить список защищаемых подсетей:
В разделе "Аудит" меню "Конфигурация" можно настроить список генерируемых системой событий, которые администратор может отслеживать:
Эти события вам помогут отследить различные действия злоумышленников. Например, в процессе анализа событий информационной безопасности мы видим, что пользователь склонировал виртуальную машину:
Это требует дальнейших разбирательств - когда и зачем он делал (может планировал забрать ее с собой на флэшке), особенно если данные внутри этой ВМ имеют важность и ценность. Уведомления о наступивших событиях могут быть посланы по SNMP и электронной почте.
Итак, когда основные настройки сделаны, надо приступить к регистрации защищаемых серверов Microsoft Hyper-V:
Добавленный сервер Hyper-V появится в списке защищаемых серверов. При успешном завершении установки агента защиты Hyper- V в разделе "Развертывание" консоли управления появится номер версии агента и сообщение о его статусе "Запущен".
Далее, если необходимо, на серверах нужно развернуть компоненты защиты. Развертывание компонентов защиты на сервере Hyper-V выполняется автоматически при добавлении сервера в список защищаемых серверов. При необходимости переустановки модуля защиты Hyper-V или временной приостановки контроля за операциями с виртуальной инфраструктурой воспользуйтесь функциями раздела "Развертывание" в консоли управления vGate.
Если вы не настроили в начале список пользователей vGate R2, то можно сделать это в разделе "Учетные записи":
Изначально управление учетными записями выполняется от имени учетной записи главного администратора vGate R2, которая создается при установке сервера авторизации vGate. В дальнейшем возможно предоставление прав на управление списком пользователей другой учетной записи администратора информационной безопасности (АИБ).
АИБ может зарегистрировать пользователей двух типов — администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). Если управлением vGate занимаются несколько АИБ, то для каждого АИБ следует настроить дополнительные учетные записи.
Для учетных записей неплохо бы задать политики паролей, которые используются в вашей организации:
Настройка доступа к ресурсам виртуальной инфраструктуры
После этого пора приступать к настройке меток безопасности в разделе "Метки безопасности":
Метка безопасности определяют принадлежность ресурса или пользователя к какой-либо категории (то есть, например, отдел - бухгалтерия, либо класс информации - например, секретно). Есть три типа меток конфиденциальности, которые "накладываются" на ресурсы и учетные записи пользователей:
Иерархическая метка - это метка, которая содержит уровень конфиденциальности. Уровень конфиденциальности - это сущность, которая строго иерархически (Неконфиденциально->Для Служебного пользования->Секретно->Совершенно Секретно) определяет возможность доступа пользователей к ресурсам и ресурсов друг к другу. То есть, пользователь с уровнем ДСП не сможет работать с секретными и совсекретными ресурсами, а секретные виртуальные машины не могут находиться на неконфиденциальных хранилищах. Наоборот же, например, на уровень ниже пользователь или ресурс сможет работать с ресурсами, но только если для него установлено соответствующее разрешение (например для хоста - "Может исполнять машины с меньшим уровнем"). Как становится понятным, этот вариант защиты от НСД больше всего востребован госструктурами (гостайна) или организациями, обрабатывающими персональные данные.
Неиерархическая метка - это "плоская" метка, которая содержит категорию конфиденциальности. В вашей инфраструктуре может быть сколько угодно категорий, при этом все они будут находиться на одном уровне иерархии. Поэтому механизм прост - если у ресурса есть такая метка (категория) - то пользователь из этой категории может его использовать. Понятное дело, что на одном ресурсе может быть несколько меток - это значит, что несколько категорий пользователей используют его совместно (например, финансисты и бухгалтерия). Здесь становится понятно, что данная модель защиты от НСД вполне подходит коммерческим компаниям. По умолчанию, у вас есть пять категорий, обозначенных цветом ("Синий", "Зеленый", "Желтый" и т. д.), его можно просто менять.
Составная метка - это метка, которая содержит одновременно один уровень конфиденциальности и одну или несколько категорий конфиденциальности. Например, они могут пригодиться для работы с совсекретными данными (уровень), но с которыми работают разные отделы (категория). Тут все понятно.
Уровни конфиденциальности:
Допустим мы задали вот такую конфигурацию уровней конфиденциальности (иерархические метки):
В этом примере сервер Hyper-V используется как для обработки неконфиденциальной информации, так и для обработки сведений, составляющих служебную тайну (ДСП). Поэтому серверу Hyper-V присвоен уровень конфиденциальности "ДСП" и задан дополнительный параметр "Разрешено исполнять ВМ с меньшим уровнем". Пользователи с уровнем конфиденциальности "ДСП" будет иметь доступ ко всем ВМ на хосте, а пользователь с уровнем "неконфиденциально" (НК) - только к одной виртуальной машине.
При назначении иерархическихметок (уровней конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.
1. Задать уровень конфиденциальности для каждой учетной записи АВИ в
соответствии с уровнем допуска пользователя к конфиденциальным
ресурсам.
2. Задать уровень конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с уровнем конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper-V планируется обрабатывать информацию разного уровня конфиденциальности, то:
отметить поле "Разрешено исполнять ВМ с меньшим уровнем";
установить уровень конфиденциальности сервера Hyper- V, равный максимальному уровню конфиденциальности обрабатываемой на нем информации.
3. Задать уровни конфиденциальности для всех существующих ВМ. Уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности сервера Hyper- V, на котором она выполняется (если отмечено поле "Разрешено исполнять ВМ с меньшим уровнем"), или равен уровню сервера Hyper-V (если поле не отмечено). Если ВМ планируется перемещать на другой сервер Hyper-V, то уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности этого сервера Hyper-V.
В процессе дальнейшего функционирования виртуальной инфраструктуры администратор информационной безопасности должен своевременно назначать уровни конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру (серверам Hyper-V), а также новым учетным записям пользователей.
Категории конфиденциальности:
Посмотрим на пример с категориями конфиденциальности:
В этом примере сервер Hyper-V используется одновременно для обработки информации категорий "Синий" и "Красный" (допустим, это два разных отдела).
Серверу Hyper-V назначены категории "Синий" и "Красный". Виртуальным машинам назначены категории конфиденциальности в соответствии с категорией информации, которая на них находится ("Синий" и "Красный", соответственно). Таким образом, пользователи категории "Синий" будут работать только с одной виртуальной машиной, а пользователи с меткой "Красный" - с двумя ВМ.
При назначении неиерархических меток (категорий конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.
1. Задать категории конфиденциальности для каждой учетной записи администратора виртуальной инфраструктуры в соответствии с допуском пользователя к определенным категориям ресурсов. Каждый пользователь может быть допущен к одной или нескольким категориям ресурсов.
2. Задать одну или несколько категорий конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с категорией конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper- V будет обрабатываться информация разных категорий, то нужно задать список из этих категорий.
В случае назначения категорий конфиденциальности для объектов новой виртуальной инфраструктуры процедура окончена. Новые ВМ получат метки конфиденциальности автоматически при их создании. При этом ВМ назначается категория из списка категорий хранилища, совпадающая с категорией из списка категорий пользователя, создающего ВМ. Если таковых несколько, то ВМ назначается список категорий. В случае назначения категорий конфиденциальности для объектов существующей виртуальной инфраструктуры необходимо перейти к шагу 3.
3. Задать категории конфиденциальности для всех существующих ВМ. Список категорий ВМ должен иметь хотя бы одну общую категорию со списком категорий сервера Hyper-V, на котором она выполняется.
В процессе дальнейшего функционирования виртуальной инфраструктуры администратор vGate R2 должен своевременно назначать категории конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру.
Более подробно об уровнях и категориях конфиденциальности в vGate R2 мы рассказывали вот тут.
Настройка политик безопасности
Политики безопасности содержат настройки для серверов Hyper-V и ВМ, позволяющие обеспечить определенную степень защиты данных и соответствие требованиям некоторых стандартов безопасности.
В текущей версии vGate R2 пока присутствует только один набор политик - "vGate for Hyper-V ". Это специально разработанный для vGate набор политик, позволяющий задать более безопасный режим работы серверов Hyper-V и виртуальных машин.
В этом шаблоне находятся следующие политики:
Назначение политики объекту осуществляется следующим образом:
на базе шаблона формируется набор политик
набор политик назначается для категории или уровня конфиденциальности
объекту (серверу Hyper-V или ВМ) назначается метка безопасности
То есть политика действует на уровне меток безопасности, а не отдельных объектов.
Пример настройки политик на основе стандартного шаблона:
Для назначения набора политик в консоли управления выберите функцию "Метки безопасности". В области параметров будут отображены значения параметров меток безопасности. Выберите категорию или уровень конфиденциальности, которым необходимо назначить политики, и нажмите кнопку "Назначить политики".
На экране появится список настроенных администратором наборов политик:
Укажите нужный набор политик и нажмите кнопку "Назначить".
Управление доступом к серверам Hyper-V
Перед настройкой доступа к серверам Hyper-V должны быть выполнены следующие процедуры:
зарегистрированы пользователи vGate (см. начало статьи)
установлены агенты аутентификации на компьютеры сервисных служб, которым требуются входящие соединения в защищаемый периметр для организации санкционированного доступа служб и сервисов компьютеров к защищаемым серверам Hyper-V и другим узлам защищаемой сети.
В консоли управления выбираем функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:
Выберите нужный сервер в таблице "Список защищаемых серверов". В нижней таблице отобразится список действующих правил:
Правила доступа можно создавать на основе шаблона, каждый из которых предназначен для соответствующего варианта использования:
Можно также создавать собственные правила доступа:
Контроль целостности
В vGate средства контроля целостности используются для защиты объектов на сервере авторизации, серверах Hyper-V и рабочих местах администраторов виртуальной инфраструктуры и администратора vGate.
Аудит событий безопасности
События безопасности регистрируются на всех защищаемых серверах, на которых установлены компоненты защиты vGate, а затем пересылаются на сервер авторизации для централизованного хранения.
На компьютерах внешнего периметра сети администрирования, на которых установлен агент аутентификации, сообщения хранятся локально в журнале приложений Windows (Application Event Log). Для их просмотра (локально или удаленно) необходимо использовать Windows Event Viewer.
Для просмотра журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий, а над ней — группа параметров для формирования условий отбора записей.
На самом деле, это очень полезный инструмент для просмотра подозрительных активностей и обнаружения инцидентов информационной безопасности в виртуальной инфраструктуре Hyper-V.
Например, можно узнать, что кто-то пытался подобрать пароль:
Можно увидеть нарушение целостности ВМ (то есть отклонения от эталонной конфигурации), которое явилось следствием изменения конфигурационного файла ВМ (администратор увеличил память):
Посмотрев свойства события, мы видим кто и когда это сделал с нашей машиной:
Можно также увидеть события нарушения доступности ВМ (кто-то остановил или удалил машину):
Также в разделе "Отчеты" есть множество полезных вещей, например, «Наиболее частые события ИБ»:
Здесь мы видим, что кто-то постоянно пытается получить доступ к защищенному объекту виртуальной инфраструктуры, что является основанием для начала расследования инцидента.
На этом наш обзор основной настройки решения vGate R2 для Hyper-V закончен. Вы можете больше узнать о vGate R2 для Hyper-V по этой ссылке, а бесплатно загрузить пробную версию продукта можно вот тут.