Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6230 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Принципы разграничения доступа к конфиденциальным ресурсам VMware vSphere в vGate R2.

Принципы разграничения доступа к конфиденциальным ресурсам VMware vSphere в vGate R2.

Принципы разграничения доступа к конфиденциальным ресурсам VMware vSphere в vGate R2.

Автор: Александр Самойленко
Дата: 07/07/2011

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Сегодня мы поговорим о защите от несанкционированного доступа к различным компонентам инфраструктуры VMware vSphere с помощью vGate R2. Мы уже писали о том, как с помощью vGate R2 можно автоматически настроить vSphere в соответствии с политиками ИБ, а также обсуждали экономический эффект, а теперь углубимся в защиту от НСД.

Кстати, обратите внимание, что продукт теперь называется не vGate 2, а vGate R2, и в него включена поддержка платформы VMware ESXi, на базе которой будет построена VMware vSphere 5.

Прежде всего, в продукте есть разделение ресурсов на следующие категории, для которых можно управлять доступом с точки зрения конфиденциальности:

  • защищаемый ESX-сервер;
  • хранилище ВМ;
  • виртуальная машина;
  • физический сетевой адаптер;
  • виртуальная сеть (Virtual Network)

Отдельной сущностью у нас идет администратор VMware vSphere (то есть тот, кто через vSphere Client управляет виртуальной инфраструктурой). Его учетной записи назначается определенная метка конфиденциальности (т.е., по-сути, это его уровень допуска к информации в виртуальной инфраструктуре). А при выполнении ряда стандартных операций с объектами виртуальной инфраструктуры осуществляется сравнение меток конфиденциальности ресурсов и учетных записей администраторов.

Метка конфиденциальности - это принадлежность ресурса или пользователя к какой-либо категории (то есть, например, отдел или класс информации, например, секретно). Есть три типа меток конфиденциальности, которые "накладываются" на ресурсы и учетные записи пользователей:

  • Иерархическая метка - это метка, которая содержит уровень конфиденциальности. Уровень конфиденциальности - это сущность, которая строго иерархически (Неконфиденциально->Для Служебного пользования->Секретно->Совершенно Секретно) определяет возможность доступа пользователей к ресурсам и ресурсов друг к другу. То есть, пользователь с уровнем ДСП не сможет работать с секретными и совсекретными ресурсами, а секретные виртуальные машины не могут находиться на неконфиденциальных хранилищах. Наоборот же, например, на уровень ниже пользователь или ресурс сможет работать с ресурсами, но только если для него установлено соответствующее разрешение (например для хоста - "Может исполнять машины с меньшим уровнем"). Как становится понятным, этот вариант защиты от НСД больше всего востребован госструктурами (гостайна) или организациями, обрабатывающими персональные данные (ФЗ 152, кстати, вот вам новости о нем).
  • Неиерархическая метка - это метка, которая содержит категорию конфиденциальности. В вашей инфраструктуре может быть сколько угодно категорий, при это все они будут находиться на одном уровне иерархии. Поэтому механизм прост - если у ресурса есть такая метка (категория) - то пользователь из этой категории может его использовать. Понятное дело, что на одном ресурсе может быть несколько меток - это значит, что несколько категорий пользователей используют его совместо (например, финансисты и бухгалтерия). Здесь становится видно, что данная модель защиты от НСД вполне подходит коммерческим компаниям. По умолчанию, у вас есть пять категорий, обозначенных цветом ("Синий", "Зеленый", "Желтый" и т. д.), его можно просто менять.
  • Составная метка - это метка, которая содержит одновременно один уровень конфиденциальности и одну или несколько категорий конфиденциальности. Например, они могут пригодиться для работы с совсекретными данными (уровень), но с которыми работают разные отделы (категория). Тут все понятно.

Чтобы назначить метку, в интерфейсе vGate R2 выбираем объект виртуальной инфраструктуры (например, виртуальная машина) и нажимаем "Назначить метку":

Далее мы выбираем тип метки, назначаем уровень или категорию:

Если выберем и уровень, и категорию - метка получится составная. Кстати, по умолчанию, все ресурсы находятся на уровне "неконфиденциально" - учитывайте это, когда будете работать с конфиденциальной информацией.

Есть и дополнительные параметры:

Их назначение очевидно из описания. Актуальны они только для уровней конфиденциальности, чтобы дать возможность настроить взаимодействие ресурсов при работе на уровне ниже назначенной метки.

Матрица сочетаний меток

Иногда имеет смысл настроить составные метки (уровень + категория), но нужно запретить определенные их комбинации (например, нельзя делать метку "совсекретно+отдел новичков"). Для этого есть настраиваемая матрица сочетаний. По умолчанию, можно делать любые комбинации:

Теперь, давайте посмотрим на примеры для обоих типов меток в vGate R2.

Уровни конфиденциальности

Как мы уже писали, их всего 4, их можно переименовывать, но их количество и иерархия не доступны для изменения.

Допустим мы задали вот такую конфигурацию уровней:

В данном случае у на есть 3 "домена безопасности" - это секретно, ДСП и неконфиденциально, и 3 пользователя, каждый из которых может работать только со своим типом ресурсов, которые могут быть расположены даже на одном хост-сервере VMware ESX / ESXi. Соответственно ресурсы между собой взаимодействуют тоже в рамках своего уровня (или ниже, если задано в доп. настройках).

Как мы видим, первый хост работает с нетвоком ДСП (куда воткнуты такие же ВМ), для которого есть такой же ДСП аплинк на виртуальном коммутаторе хост-сервера, и, в то же время, там есть и неконфиденциальный домен со своими адаптерами, нетвоками, хранилищами и машинами.

Категории конфиденциальности

Назначив категории конфиденциальности ресурсам и пользователям мы увидим следующую картину:

Здесь мы также видим домены безопасности, созданные для администраторов VMware vSphere, которые отвечают за объекты виртуальной инфраструктуры различных отделов. При этом мы видим, что одна виртуальная машина может администрироваться двумя администраторами (отдел продаж и отдел разработки), а также на одном из хранилищ могут находиться машины бухгалтерии и отдела продаж (они же используют совместно первый сервер ESX).

Взаимосвязь политик безопасности и меток конфиденциальности

Как вы знаете, vGate R2 нужен не только для того, чтобы защищать информацию в виртуальной инфраструктуре от несанкционированного доступа, но и чтобы автоматически настраивать объекты vSphere в соответствии с политиками безопасности. Об этом написано в нашей статье "Шаблоны и политики безопасности в продукте vGate 2 от Кода Безопасности".

Поскольку метки безопасности, накладываемые на ресурсы, создают домены безопасности, в рамках каждого из них мы можем определить свои собственные политики. Наборы политик создаются из уже готовых шаблонов, таких как, например, VMware Security Hardening или PCI DSS.

Таким образом, для каждого уровня или категории мы настраиваем политики безопасности:

Кстати, когда вы настроите политики для уровня или категории, их можно будет скопировать:

Порядок назначения уровней и категорий конфиденциальности:

Уровни конфиденциальности нужно задавать так:

  • Задайте уровень конфиденциальности для каждой учетной записи администратора vSphere.
  • Задайте уровень конфиденциальности каждому из защищаемых ESX-серверов. Если там будут машины с разным уровнем, то отметьте поле "Может исполнять машины с меньшим уровнем" (в этом случае назначаем максимальный из будущих там уровней).
  • Задайте уровень конфиденциальности каждому адаптеру (pNIC) ESX-сервера (при этом уровень не может быть выше, чем в целом для сервера). Если там будут несколько нетвоков (VLAN) разных уровней, то отметьте "Возможен трафик для VLAN разных уровней" (однако, это не лучшая практика).
  • Задайте уровень конфиденциальности нетвокам (VLAN) с учетом уровня машин, которые к ним будут подключены.
  • Задайте уровень конфиденциальности каждому из хранилищ ВМ в соответствии с уровнем. Если там будут машины разных уровней, то отметьте поле "Может хранить машины меньшего уровня" (в этом случае назначаем максимальный из будущих там уровней)

Теперь, если у вас еще нет виртуальных машин, то новые ВМ получат метки конфиденциальности автоматически при их создании (в соответствии с уровнем хранилища).

Если машины у вас уже есть, то задайте уровень конфиденциальности для них (не выше уровня хоста и уровня хранилища). Учитывайте, что если виртуальная машина будет менять хост-сервер или хранилище за счет vMotion или Storage vMotion, то нужно, чтобы там соответствие по уровням также было соблюдено.

Категориии конфиденциальности нужно задавать так:

  • Задайте категории конфиденциальности для каждой учетной записи администратора vSphere (их может быть несколько).
  • Задайте категории конфиденциальности каждому из защищаемых ESX-серверов (их может быть несколько).
  • Задайте категории конфиденциальности каждому адаптеру (pNIC) ESX-сервера (хотя бы одна категория должна быть на хосте).
  • Задайте категории конфиденциальности нетвокам (VLAN) с учетом категорий машин, которые к ним будут подключены. При этом должна быть хотя бы одна общая категория с pNIC, куда этот нетвок подключен.
  • Задайте категории конфиденциальности каждому из хранилищ ВМ в соответствии с уровнем. При этом эти категории должны учитывать категории хостов, которые используют эти хранилища.
  • Задайте категории виртуальным машинам.

Само собой, в процессе работы администратор ИБ должен контролировать уровни и категории для ресурсов и учетных записей, своевременно назначая их.

Как проверяются условия выполнения операций для уровней и категорий

Это один из важный моментов при использовании vGate - понимание логики работы при выполнении различных операций. Ниже приведен список того, что у вас получается, когда вы пытаетесь произвести те или иные операции в рамках домена безопасности, определенного уровнями или категориями:

На этом пока все. Напоминаю, что скачать пробную версию vGate R2 на 30 или 60 дней вы можете по этой ссылке. А оставить ваши предложения, пожелания и вопросы можно вот в этой форме.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Tanzu VCF AI Intel Workstation Private AI VCP V2V HCX Aria NSX DPU Explore Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Stretched Memory Bugs Director ESA Troubleshooting Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge