Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Автор: Александр Самойленко
Дата: 25/08/2015

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Многим из вас знакомо средство vGate R2, которое позволяет защитить виртуальную инфраструктуру предприятия от несанкционированного доступа, а также правильно настроить ее на базе политик. Недавно мы писали о возможностях vGate R2 версии 2.8, а в этой заметке вкратце расскажем о защите данных в государственных информационных системах.

Как некоторые из вас знают, государство предъявляет требования к защите информации (как составляющей государственную тайну, так и не составляющей), содержащуюся в государственных информационных системах.

Российское законодательство также устанавливает ряд обязательных требований по защите информации в среде виртуализации, соблюдение которых регулируется тремя нормативными актами:

Вы можете убедиться в этом самостоятельно, открыв любой из этих документов и поискав по слову "виртуализации":

Все 3 руководящих документа требуют защиты среды виртуализации, не только в средах обработки персональных данных или критически важных объектах, но и в любой государственной организации.

Приведем выдержки из документа об основных мерах, которые государственная организация обязана предпринять для защиты информации в виртуальной среде:

Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

В приказах ФСТЭК России регламентировано выполнение организационно-технических мер защиты среды виртуализации, используемой при обработке информации в автоматизированных системах управления производственными и технологическими процессами, государственных информационных системах и системах персональных данных. В связи с этим все организации, являющиеся операторами этих информационных систем и применяющие технологии виртуализации, обязаны выполнить перечисленные меры защиты и привести свою вычислительную инфраструктуру в соответствие требованиям регулирующих органов.

Применение средств комплексной защиты платформ виртуализации компании "Код Безопасности" позволит вам выполнить самые жесткие требования законодательства для ИСПДн, ГИС и АСУ ТП, а также провести обязательную аттестацию государственных информационных систем и систем управления производством.

Ведь компания Код Безопасности работает непосредственно со ФСТЭК (см. сертификаты продукта vGate R2) и постоянно поддерживает актуальность исполнения требований организации как на уровне политик по конфигурации виртуальной среды, так и на уровне средств защиты от несанкционированного доступа и защиты от внутренних и внешних угроз.

Давайте подробно рассмотрим, что, исходя из текстов приказов, требует сделать ФСТЭК. Во-первых, от нас требуют обеспечить защиту от несанкционированного доступа для следующих компонентов:

  • К информации, обрабатываемой в ВМ
  • К гостевым ОС
  • К хост-серверам (гипервизору)
  • К средствам управления платформой виртуализации
  • К системам хранения
  • К сети виртуальных машин и сети репликации
  • К виртуальным устройствам
  • К резервным копиям

Во-вторых, есть следующая таблица требований к информационной системе (ИС) в зависимости от класса ее защищенности (в колонках слева-направо идут классы защищенности от К4 до К1):

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+

+

+

+

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

+

+

+

+

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

 

+

+

+

ЗСВ.4

Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

   

+

+

ЗСВ.5

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

       

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

   

+

+

ЗСВ.7

Контроль целостности виртуальной инфраструктуры и ее конфигураций

   

+

+

ЗСВ.8

Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

   

+

+

ЗСВ.9

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

 

+

+

+

ЗСВ.10

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей

   

+

+

Обеспечить исполнение большинства этих требований позволяют следующие возможности vGate R2:

  • Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности (ЗСВ.1)

В vGate реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью. Таким образом, выделяются две основные роли – это администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ).

Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только аутентифицированным пользователям. Причем процедура аутентификации пользователей и компьютеров (рабочих мест АИБ и АВИ) осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle.

  • Защита средств управления виртуальной инфраструктурой от НСД (ЗСВ.1)

Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Правила разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.

  • Мандатное управление доступом (ЗСВ.2 и ЗСВ.10)

В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. При выполнении ряда стандартных операций с объектами виртуальной инфраструктуры осуществляется сравнение меток безопасности учетных записей администратора информационной безопасности и ресурсов. Благодаря этому возможно создание логических групп и сфер администрирования через бизнес – категоризацию, например, финансовый и коммерческий отделы и т.д.

Метки безопасности назначаются:

  • защищаемым хост-серверам
  • администраторам
  • виртуальным машинам
  • хранилищам (локальным, сетевым)
  • виртуальным сетям
  • виртуальным коммутаторам и сетевым адаптерам

Существует возможность отключения контроля мандатного доступа для определенных объектов из консоли управления.

  • Контроль доступа администраторов виртуальной инфраструктуры к файлам виртуальных машин (ЗСВ.2)

При работе в незащищенной виртуальной среде администратор, как правило, имеет доступ к данным виртуальных машин, скачать файл виртуальной машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализован механизм, позволяющий контролировать доступ администраторов к файлам виртуальных машин.

  • Регистрация событий, связанных с информационной безопасностью (ЗСВ.3)

vGate обеспечивает расширенную регистрацию событий безопасности для всех защищаемых компьютеров, в том числе и компьютеров, относящихся к средствам управления виртуальной инфраструктурой. Вся полученная информация заносится в журнал событий безопасности и хранится на сервере авторизации. В процессе аудита можно осуществлять сбор и просмотр событий данного журнала.

  • Выполнение требования ЗСВ.4 обеспечивают корпоративные сетевые экраны, в том числе специализированные продукты для виртуальных инфраструктур, такие как VMware NSX.
  • Контроль целостности и доверенная загрузка виртуальных машин (ЗСВ.5 и ЗСВ.7)

В vGate существует политика доверенной загрузки виртуальных машин. Есть возможность гранулярно настроить параметры, которые будут контролироваться, а также функционал, позволяющий сделать выбор – разрешить или запустить виртуальную машину при нарушении целостности конфигурации.

Также есть возможность контроля целостности перечня снимков виртуальной машины. После назначения политики доверенной загрузки при старте виртуальной машины, а также по тайм-ауту будет проводиться проверка целостности. При изменениях виртуальной машины происходит оповещение администратора информационной безопасности, который может согласовать или отклонить изменения. При отклонении изменений настройки виртуальной машины будут возвращены в то состояние, в котором они были при назначении политики.

  • Выполнение требования ЗСВ.6 обеспечивают средства управления средой виртуализации (например, VMware vCenter), а также средства виртуализации, контроля и анализа сетевого взаимодействия (например, VMware NSX, принявшего в себя функции продукта vCenter Networking and Security).
  • Резервирование сервера авторизации (ЗСВ.8)

В целях повышения отказоустойчивости рекомендуется использовать конфигурацию vGate c резервным сервером авторизации по принципу active-passive. Один сервер авторизации (основной) выполняет все функции по управлению vGate и авторизации администраторов виртуальной инфраструктуры, второй сервер авторизации (резервный) является пассивным.

  • Выполнение требования ЗСВ.9 обеспечивают средства антивирусной защиты, разработанные специально для виртуальной среды. Например, Kaspersky Security for Virtualization.

Кроме того, гостударственные организации, обрабатывающие персональные данные (ПДн) в виртуальной инфраструктуре, должны также исполнять приказ ФСТЭК номер 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

vGate R2 имеет все необходимые функции для защиты ПДн, о чем мы уже писали вот тут.

В этой таблице очень много требований, и не все они покрываются продуктом vGate R2, но исполнение их всех обеспечивается с помощью основной продуктовой линейки компании Код Безопасности. vGate R2 обеспечивает все то, что касается именно виртуальной среды и средств управления ею.

Демо-версии vGate для Hyper-V или VMware vSphere можно бесплатно скачать по этой ссылке.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V HCX vSAN Private AI VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge