Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Сегодня мы поговорим о резервировании сервера авторизации vGate R2. Сервер авторизации - это основной компонент vGate R2, который осуществляет авторизацию и аутентификацию пользователей, без которого нельзя будет администрировать среду VMware vSphere, если он вдруг выйдет из строя. Он выполняет следующие функции...

Мы уже писали о том, как сбросить пароль root на VMware ESX версии 4.0 и 4.1 в случае, если вы забыли его (тут для single user mode). Теперь появилась еще одна инструкция от Бернарда, которая аналогична предыдущей от Дэйва и работает для VMware ESXi 5.0. Перед тем, как сбросить пароль на VMware ESXi, надо понимать, что приведенная ниже инструкция может привести к неподдерживаемой со стороны VMware конфигурации, о чем прямо написано в KB 1317898.

Итак восстановление пароля на хосте ESXi 5.0:

1. Хэш пароля хранится в файле etc/shadow, который хранится в архиве local.tgz, который хранится в архиве state.tgz:

2. Загружаем сервер ESXi с какого-нибудь Live CD (например, GRML), используя CD/DVD или USB-флешку.

3. После загрузки находим и монтируем раздел VFAT инсталляции ESXi, содержащий файл state.tgz. Например, он может быть на разделе Hypervisor3:

mount /mnt/Hypervisor3

Ищем как написано тут.

4. Распаковываем state.tgz куда-нибудь:

cd /tmp
tar xzf /mnt/Hypervisor3/state.tgz

5. Затем распаковываем local.tgz:

tar xzf local.tgz

6. В результате распаковки получим директорию /etc, в которой есть файл shadow. Открываем его в vi для редактирования:

vi etc/shadow

Удаляем хэш пароля root (до двоеточия перед цифрами). Было:

Стало:

7. Сохраняем резервную копию state.tgz и перепаковываем архив:

mv /mnt/Hypervisor3/state.tgz /mnt/Hypervisor3/state.tgz.bak
rm local.tgz
tar czf local.tgz etc
tar czf state.tgz local.tgz
mv state.tgz /mnt/Hypervisor3/

8. Перезагружаем сервер и уже загружаемся в VMware ESXi 5.0. Видим такую картинку при соединении из vSphere Client:

Это значит, что все получилось. Теперь можем заходить в консоль под пользователем root с пустым паролем. Работает эта штука и для VMware ESXi 5.0 Upfate 1.

Как известно, компания VMware уже довольно давно выпускает руководство по обеспечению информационной безопасности VMware vSphere Security Hardening Guide (тут и тут), содержащее список потенциальных угроз ИБ и их возможное влияние на инфраструктуру виртуализации. Также доступен Security Hardening Guide для VMware View и vCloud Director.

Вчера компания VMware выпустила черновую версию VMware vSphere 5 Security Hardening Guide, которая традиционно рассматривает угрозы в следующих сферах:

• Виртуальные машины (настройки, устройства, интерфейсы, VMware Tools)
• Хосты VMware ESXi (доступ к управлению, логи, хранилища)
• Сетевое взаимодействие (включая распределенный коммутатор dvSwitch)
• Сервер управления vCenter (доступ к управляющим компонентам и т.п.)

На данный момент руководство доступно в виде xlsx-табличек:

Основная страница обсуждения документа находится здесь.

Кроме того, вчера же появился и документ "vSphere Hardening Guide: 4.1 and 5.0 comparison", отражающий основные отличия руководства для версий 4.1 и 5.0. Там хорошо видно, какие новые фичи vSphere 5 покрывает новая версия документа:

Соответственно, можно ожидать скорого появления обновленных версий продуктов vGate R2 и vGate Compliance Checker, позволяющих проверить соответствия вашей инфраструктуры нормам данного руководящего документа и настроить виртуальную инфраструктуру VMware vSphere в соответствии с ними средствами политик.

Продолжаем рассказывать о продукте vGate R2 для защиты виртуальных инфраструктур от компании Код Безопасности. Он позволяет автоматизировать настройку безопасной конфигурации хост-серверов, хранилищ, сетей и виртуальных машин в инфраструктуре VMware vSphere 5, а также защитить ее от несанкционированного доступа.

Сегодня мы продолжаем разговор о безопасности и облачных инфраструктурах. Хотим обратить вниманию на статью небезызвестной Марии Сидоровой "Противоречивые облака":

Виртуализация на платформе VMware vSphere позволяет владельцам облачных ЦОД предложить своим клиентам эффективные решения для бизнеса. Практически неограниченная масштабируемость ресурсов в сочетании с эффективной моделью оплаты (pay-as-you-go), предлагаемой в модели облачных сервисов, делает услуги виртуализированных облачных ЦОД, построенных с использованием технологий VMware, привлекательными для многих корпоративных пользователей. И мы с вами видели уже немало примеров облаков на базе продуктов VMware с соответсвующими показателями уровня обслуживания (SLA), которые существенно превосходят те, что можно обеспечить в средней компании.

Тем не менее, недоверие компаний к уровню обеспечения безопасности информации в облачных инфраструктурах - это одна из основных причин того, что только ограниченное количество компаний принимает решение о переходе на использование этой модели.

Облачная модель в понимании корпоративных заказчиков соотносится со многими рисками информационной безопасности. Среди наиболее актуальных для компаний ИБ-рисков, препятствующих переходу на облачную модель, можно перечислить следующие:

• риски в области целостности данных, сохранности данных, восстановления данных;
• риски несанкционированного доступа к данным;
• риски невыполнения требований стандартов безопасности и регулирующего законодательства;
• риски ненадлежащего аудита и оценки соответствия стандартам и лучшим практикам (PCI DSS, CIS Networking и др.);
• риск возникновения несоответствия корпоративным политикам безопасности.

Все эти проблемы, в той или иной степени, позволяет решать продукт vGate R2, бесплатную пробную версию которого можно скачать по этой ссылке. А в статье вы найдете ответы на вопросы о том, как это делается. И почитайте вот эту нашу статью.

Еще один момент - в vGate R2 уже есть поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS). То есть уже сейчас, если вы являетесь сервис-провайдером, предлагающим виртуальные машины в аренду (например, по программе VSPP), вы можете обратиться в компанию Код Безопасности с вопросом о том, как по модели SaaS платить за сервисы обеспечения безопасности вашего ЦОД.

В составе дистрибутива платформы виртуализации VMware vSphere 5 идет новая служба позволяющая удаленно собирать логи с хост-серверов ESX/ESXi (как пятой так и более ранних версий) - VMware Syslog Collector. Это средство идет в стандартной поставке вместе с VMware vCenter 5 и подходит для тех, кому лень заморачиваться с платными и новороченными Syslog-серверами, которых сейчас на рынке немало. Зачем вообще нужен Syslog-сервер в вашей инфраструктуре? Очень просто - безопасность и централизованный сбор логов в целях аудита и решения проблем.

Компания Код Безопасности продолжает развивать свой продукт для защиты виртуальных сред vGate R2 средствами автоматической настройки безопасной конфигурации VMware vSphere, а также механизма защиты от несанкционированного доступа. Недавно версия 2.4 продукта vGate R2, которая поддерживает vSphere 5, успешно прошла инспекционный контроль во ФСТЭК России. Отметим, что vGate R2 - это единственное на российском рынке сертифицированное решение, предназначенное для нейтрализации информационных угроз в виртуальных инфраструктурах на платформе VMware.

Сертификат ФСТЭК от 28 марта 2012 года (то есть сертифицировались все изменения, касающиеся поддержки VMware vSphere 5.0):

Сертификат подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа по 5 классу защищенности (СВТ5) и контроля отсутствия недекларированных возможностей по 4 уровню контроля (НДВ4). Наличие данного сертификата  позволяет использовать новую версию vGate R2  в АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно.

Появление в продаже сертифицированного vGate R2 с полной поддержкой vSphere 5 ожидается в этом месяце, о чем мы непременно вам сообщим. Для ознакомления доступна для скачивания по запросу демонстрационная версия vGate R2 с поддержкой vSphere 5.

Безопасность является одной из главных (если не самой) проблем при внедрении технологий виртуализации. Как знают пользователи VMware vSphere 4.1, у компании VMware есть основной документ для обеспечения безопасности своими силами VMware Security Hardening Guide (а есть еще продукт vGate R2 для автоматизированного обеспечения безопасности в соответствии с этим документом). Для vSphere 5.0, к сожалению, такое руководство отсутствует.

Платформа XenServer компании Citrix долгое время вообще обходилась без подобного руководства. Существуют лишь следующие документы, которые носят общий характер:

• Common Criteria Documents
• User Security Guide

Теперь же российская компания Positive Technologies, специализирующаяся в сфере информационной безопасности, разработала для платформы Citrix XenServer 5.6 более практичный и полезный документ под названием "Citrix XenServer 5.6 Free/Advanced Hardening Guide (Public Beta)". Документ этот на русском языке.

Соответственно, пользователям Citrix XenServer его просто необходимо хотя бы просмотреть. Так как документ будет проходить бета-тестирование до 30 апреля, автор принимает комментарии и поправки по адресу: KErmakov (at) ptsecurity.ru.

Продолжаем вас знакомить с решением номер 1 для защиты виртуальных сред - vGate R2 от Кода Безопасности. Напомним, что этот продукт позволяет автоматически настроить безопасную конфигурацию инфраструктуры VMware vSphere с помощью политик, разделить полномочия администраторов и обеспечить защиту от несанкционированного доступа к объектам (хостам, виртуальным машинам, сетям и хранилищам).

Сегодня мы расскажем о возможностях сервера отчетов, который входит в состав сервера авторизации vGate R2. В первую очередь отметим, что он теперь не требует установки отдельной БД MS SQL и ее настройки - отчеты теперь можно получать сразу после установки.

Вот какие виды репортов можно генерировать в vGate R2, отражающих состояние безопасности инфраструктуры vSphere:

• Вход в систему в нерабочее время
• Доступ к файлам ВМ
• Изменение конфигурации политик безопасности
• Изменение правил мандатного доступа
• Изменение сетевых правил доступа
• Использование учетных записей VMware
• Мониторинг учетных записей vGate
• Наиболее активные пользователи
• Наиболее используемые виды доступа к защищаемым объектам
• Наиболее частые события ИБ
• Настройка правил сетевой безопасности
• Настройка доступа к защищаемым объектам
• Попытки несанкционированного изменения настроек безопасности
• Применение политик безопасности
• Проблемы с доверенной загрузкой ВМ
• Проблемы со входом в vSphere
• Проблемы со входом в систему
• Проблемы со сменой пароля
• Соответствие стандартам безопасности (кратко)
• Соответствие стандартам безопасности (подробно)

Как мы видим, в vGate R2 есть шаблоны отчетов на все случаи жизни. И некоторые из них показывают события, на которые было бы очень интересно взглянуть сотрудникам компании, отвечающими за безопасность в крупных и средних инфраструктурах (особенно последние два).

Виды отчетов сгруппированы в удобные категории (кликабельно):

Интересно взглянуть на статистику наиболее частых событий ИБ:

Ну и, само собой, отчет можно очень гибко кастомизировать, добавив логотип компании и прочие прелести.

Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.

Хочу обратить внимание на статью нашей с вами знакомой Марии Сидоровой о защите инфраструктур виртуализации в банках в соответствии с отраслевым стандартом СТО БР ИББС:

СТО БР ИББС: защита персональных данных при использовании технологий виртуализации в банках

Напомним, что продукт vGate R2, упоминаемый в статье, является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Также этот продукт поддерживает новую версию платформы виртуализации VMware vSphere 5. На тему защиты персональных данных, обрабатываемых в виртуальной инфраструктуре рекомендуем прочитать вот эту нашу заметку.

Вы можете оставить свой отзыв о vGate R2, а также пожелания или замечания тут - http://www.securitycode.ru/products/sn_vmware/otzyv/

Презентации по защите виртуальных инфраструктур - http://www.slideshare.net/Virtualization_Security

Сертификаты продукта - http://www.securitycode.ru/company/licenses/certificates/#vGate

Мы уже много писали о продукте номер 1 для защиты виртуальных сред VMware vSphere - vGate R2 от компании Код Безопасности. Разбирали также и нововведения в новой версии, которая поддерживает vSphere 5.

Нас часто спрашивают, чем отличаются vGate R2 и vGate-S R2. Поэтому сегодня мы попробуем разобрать это подробнее.

vGate-S R2 - это специальная версия продукта vGate R2, предназначенная для защиты государственной тайны в виртуальной среде.
На текущий момент продукт предназначен для защиты VMware Infrastructure 3, VMware vSphere 4 и VMware vSphere 4.1. Однако версия с поддержкой VMware vSphere 5 уже проходит инспекционный контроль.

Сертификат ФСТЭК России на vGate-S R2 (ТУ, НДВ 2) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Б включительно и информационных системах обработки персональных данных (ИСПДн) до класса К1 включительно.

К ИСПДн класса К1 относятся, например, данные о пациентах медицинских учреждений, поэтому им нужно приобретать только эту версию продукта.

Функционал программного решения vGate-S R2 позволяет защитить информацию различных грифов (до уровня «совершенно секретно»), хранящуюся и обрабатываемую в АС госорганизаций, от несанкционированного доступа. Для этого продукт имеет набор инструментов для распределения и ограничения полномочий специалистов по информационным технологиям и специалистов по информационной безопасности. vGate-S R2 также позволяет организациям строго и детально следить за соблюдением политик безопасности пользователями, а также за соблюдением политик безопасности ИБ и ИТ-администраторами.

Аппаратура виртуализации ЦП разрабатывалась в рамках концепции монопольного использования. Это означает, что только единственный Гипервизор может использовать ее, запустить Гипервизор в задаче другого Гипервизора невозможно. Это в теории, но практика требует во многих случаях все-таки наличия нескольких гипервизоров одновременно и это абсолютно неисследованная область, по крайней мере, в публичных источниках. Гипервизор, могущий запустить в своих задачах другие гипервизоры, редкий зверь, упоминания о них встречаются, но таких работающих программ нет. Единственное внятное упоминание о такой «матрешке» из гипервизоров, это некий хитрый гипервизор Рутковской. Его реальная работоспособность в связке с коммерческими системами виртуализации мне неизвестна.

Мы уже не раз писали о продукте номер 1 - vGate R2, который является лидером на рынке защиты виртуальных инфраструктур за счет средств автоматической настройки виртуальной среды VMware vSphere и механизмов защиты от несанкционированного доступа. Как мы также сообщали, технический релиз продукта vGate R2 с поддержкой VMware vSphere 5 уже выпущен и передан на инспекционный контроль в ФСТЭК России.

Сегодня мы хотим обратить внимание еще на 2 документа от производителя vGate R2, компании Код Безопасности, раскрывающих особенности применения данного средства защиты в ЦОД коммерческих и государственных организаций:

Технологии виртуализации в коммерческих центрах обработки данных

Выполнение требований законодательства по защите информации государственными компаниями при использовании технологий виртуализации

Напомним основные возможности vGate R2:

• Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.
• Защита средств управления виртуальной инфраструктурой от НСД.
• Защита ESX-серверов от НСД.
• Мандатное управление доступом.
• Контроль целостности конфигурации виртуальных машин и доверенная загрузка.
• Контроль доступа администраторов ВИ к данным виртуальных машин.
• Регистрация событий, связанных с информационной безопасностью.
• Контроль целостности и доверенная загрузка ESX-серверов.
• Контроль целостности и защита от НСД компонентов СЗИ.
• Централизованное управление и мониторинг.

Среди основных возможностей новой версии продукта:

• Полная поддержка VMware vSphere 5
• Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
• Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
• Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
• Поддержка 64-битных систем в качестве платформы для vGate Server.
• Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
• Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).

Получить более подробную информацию о продукте vGate R2 и загрузить его пробную версию бесплатно можно по этой ссылке, а презентации с обзором решения как всегда доступны здесь.

Приведение информационных систем в соответствие с требованиями №152-ФЗ «О персональных данных» является одной из самых актуальных проблем для многих российских компаний. На сегодняшний день использование технологий виртуализации в информационных системах персональных данных класса К1 невозможно без применения сертифицированных наложенных средств обеспечения информационной безопасности. Помимо требований законодательства, существуют и другие специфичные аспекты защиты виртуальных инфраструктур.

Продукт vGate R2, разработки компании «Код Безопасности», является единственным на рынке сертифицированным средством защиты информации от несанкционированного доступа (НСД), позволяющим осуществлять контроль ИБ-политик для виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и VMware vSphere 4.  Также уже выпущен технический релиз версии продукта для защиты виртуальных инфраструктур на базе платформы VMware vSphere 5 (финальная версия будет выпущена уже скоро).

Среди функций vGate R2 (подробнее):

• разделение объектов инфраструктуры на логические группы и сферы администрирования через категоризацию
• усиленная аутентификация, разделение ролей и делегирование полномочий
• управление конфигурацией системы безопасности
• защита от утечек через специфические каналы среды виртуализации
• мониторинг событий ИБ и создание  структурированных отчетов

Кроме того, возможность применять современные технологии виртуализации также получают организации, работающие с государственной тайной, защиту которой обеспечивает отдельная редакция продукта vGate-S R2, сертифицированная ФСТЭК России  для защиты государственной тайны в автоматизированных системах до класса 1Б включительно и защиты информации в информационных системах персональных данных до 1 класса включительно.

Применение vGate R2 совместно с другими продуктами разработки «Кода Безопасности» позволяет построить комплексную  систему защиты государственной тайны, конфиденциальной информации и персональных данных при их обработке в виртуальной среде. Для обеспечения контроля целостности и доверенной загрузки серверов виртуализации, сервера управления и сервера авторизации vGate R2 рекомендуется устанавливать на каждый из этих серверов аппаратно-программный модуль доверенной загрузки ПАК «Соболь»:

Для обеспечения защиты сетевого доступа к виртуальным машинам и контроля трафика между виртуальными машинами на одном сервере виртуализации рекомендуется применять распределенный межсетевой экран высокого класса защиты TrustAccess.

Применение TrustAccess для сегментирования ИСПДн позволяет отнести отдельные сегменты к более низкому классу и добиться снижения затрат на защиту информации. У TrustAccess также есть все необходимые сертификаты ФСТЭК.

Для защиты каждой виртуальной машины от НСД рекомендуется использовать средство защиты информации Secret Net, которое обеспечивает разграничение доступа, доверенную информационную среду, а также защиту информации в процессе хранения.

Надежность продуктов разработки компании «Код Безопасности» подтверждают сертификаты ФСТЭК России, позволяющие применять эти решения для систем различных классов защищенности (ИСПДн – до класса К1, АС – до классов 1Г, 1В, 1Б). О том как защищать персональные данные средствами vGate R2 мы уже писали вот тут.

Таким образом, используя средства компании Код Безопасности, вы можете защищать не только средства виртуализации и виртуальные машины, но и другие аспекты ИТ-инфраструктуры, которые неразрывно связаны с виртуальной средой.

Чтобы дальше углубиться в аспекты комплексной защиты VMware vSphere 5 и виртуальных сервисов, приглашаю вас на вебинар "Построение комплексной системы обеспечения информационной безопасности в виртуальной среде" о продукте vGate R2", который пройдет 23 марта (бесплатная регистрация).

Мы уже много писали о продукте номер 1 для защиты виртуальных инфраструктур vGate R2 от «Кода Безопасности» (напомним, что совсем недавно был выпущен технический релиз новой версии vGate R2 с поддержкой vSphere 5), при этом многие из вас уже пристрастились к вебинарам этой компании, мы расскажем о ближайшем из них.

Прежде всего, кстати, посмотрите на награды, которые получил продукт vGate R2 не так давно:

• Информационно-аналитический центр Anti-Malware провел независимую экспертизу решения vGate R2, в результате которой продукт получил высокую оценку экспертов и вошел в список рекомендуемых продуктов (подробнее)
• Продукт vGate R2 стал победителем Конкурса продуктов, организованного ассоциацией Virtualization Security Group Russia в номинации «Контроль доступа» (подробнее)
• Продукт vGate R2 удостоен наивысшей награды в категории «Информационная безопасность» отраслевой премии ЗУБР-2011 (подробнее)

А теперь собственно сам вебинар:

23 марта 2012 года
http://session.webinar.ru/2012-03-23-vGate

Построение комплексной системы обеспечения информационной безопасности в виртуальной среде.
На вебинаре будут рассмотрены особенности построения комплексной системы обеспечения информационной безопасности учитывающей специфику виртуальной среды, а так же особенности приведения виртуальных инфраструктур в соответствие требованиям №152-ФЗ «О персональных данных», СТО БР ИББС и PCI DSS. Будет представлено решение vGate R2.

Вебинары будут интересны всем специалистам, которые работают с виртуальными инфраструктурами или планируют перейти на их использование, а также специалистам по информационной безопасности  занимающимся обеспечением их защиты.

Докладчиком на этих вебинарах выступит  наша хорошая знакомая - Сидорова Мария, заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности».

Регистрируйтесь скорее.

Ну и, как обычно, рекомендуем вам презентации о продуктах Кода Безопасности, в частности, vGate R2. Зырьте.

Мы уже много писали о продуктах компании Код Безопасности, в частности, о vGate R2 - продукте номер 1 для защиты виртуальных сред VMware vSphere (в том числе vSphere 5). Сегодня виртуализация уже широко используется в банках и других финансовых организациях, где обрабатываются персональные данные и данные платежных карт. Такая информация должна быть защищена по определенным правилам и стандартам, которые существенно отличаются от таковых в физической среде. В этой статье мы расскажем об основных аспектах соблюдения стандарта PCI DSS с помощью продукта vGate R2.

Продолжаем настаивать на том, что безопасность виртуальных инфраструктур и выполнение при этом требований законодательства по защите персональных данных (ФЗ 152) - вещи архиважные и архинужные. Единственная сегодня возможность реализовать эти 2 вещи правильно - сертифицированный ФСТЭК продукт vGate R2 от компании "Код Безопасности", который автоматически настроит виртуальную инфраструктуру в соответствии с российскими и международными руководящими документами и стандартами (+vSphere 5).

Напомним некоторые особенности защиты персональных данных в виртуальных средах:

• Защита персональных данных, обрабатываемых в виртуальной инфраструктуре VMware vSphere, с помощью vGate R2
• Статьи о продукте vGate R2 от Кода Безопасности - защита персональных данных и соответствие требованиям PCI DSS
• Выполнение требований законодательства по защите информации государственными компаниями при использовании технологий виртуализации
• Перенос информационных систем персональных данных в виртуальную инфраструктуру
• Выполнение требований СТО БР ИББС в части защиты персональных данных при использовании технологий виртуализации

И приглашаем на вебинар "Выполнение требований законодательства по защите персональных данных при обработке их в виртуальной среде", который проведет наша знакомая Мария Сидорова. На вебинаре она уже будет рассказывать про vGate R2 с поддержкой ESXi 5.0, который скоро выйдет в финальной версии и также будет сертифицирован ФСТЭК.

Вебинар пройдет 10 февраля в 3 часа дня по московскому времени:

Зарегистрироваться на вебинар.

Напомним, что познакомиться с полезными презентациями по теме информационной безопасности виртуализированных инфраструктур теперь можно на специальном ресурсе http://www.slideshare.net/Virtualization_Security, где наиболее важной презентацией в контексте вебинара является оная с одноименным названием: "Выполнение требований законодательства по защите персональных данных при их обработке в виртуальной среде".

Напомним, что совсем недавно компания «Код Безопасности» выпустила технический релиз новой версии vGate R2 с поддержкой VMware 5. Сейчас она проходит инспекционный контроль во ФСТЭК для получения соответствующих сертфикатов, наличие которых позволит вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Сегодня мы более подробно расскажем о новых политиках настройки безопасной среды виртуализации.

По сложившейся традиции продолжаем знакомить вас с продуктами компании Код Безопасности, предлагающей продукты для защиты виртуальных и физических сред. Напоминаем, что продукт номер 1 vGate R2 этой компании позволяет защитить виртуальную инфраструктуру VMware vSphere от несанкционированного доступа и централизованно настроить безопасность инфраструктуры на основе политик.

Познакомиться с полезными презентациями по теме информационной безопасности виртуализированных инфраструктур теперь можно на специальном ресурсе http://www.slideshare.net/Virtualization_Security.

Здесь размещена подборка самых популярных презентаций по теме. Ранее данные презентации были доступны только для участников мероприятий компании «Код Безопасности». Презентации будут активно пополняться.

Одна из интересных презентаций "Выполнение требований законодательства по защите персональных данных при их обработке в виртуальной среде":

Вот мы вам много рассказываем о продукте vGate R2 компании Код Безопасности, предназначенном для защиты виртуальных сред от несанкционированного доступа, а также автоматической настройки среды VMware vSphere в соответствии со стандартами и регламентами. А знаете ли вы, что у компании Код Безопасности есть еще много продуктов для обеспечения информационной безопасности физической и виртуальной среды, презентацию о которых мы в рамках нашего партнерства предлагаем вам посмотреть:

Мы уже много писали о продукте номер 1 для защиты виртуальных сред vGate R2 от Кода Безопасности (совсем скоро выйдет версия с поддержкой VMware vSphere 5). У этого ПО есть отдельная ветка - решение vGate-S R2, которое обеспечивает защиту виртуальной инфраструктуры организаций государственного сектора. На днях вышла новая версия vGate-S R2 не только с поддержкой VMware vSphere 4.1 (+U1), но и с новыми функциональными возможностями, а также с сертификатом ФСТЭК по защите гостайны.

Напомним, что vGate-S R2 - это сертифицированное решение, позволяющее защищать гостайну в виртуальных средах для различных классов персональных данных:

В продукт добавились новые политики безопасности:

• «Запрет передачи служебных данных», ограничивающая передачу того или иного типа служебного траффика (vMotion (FT) и vSphere Client).
• Политика, запрещающая операции download/upload для виртуальных машин с соответствующей меткой
• Дополнительные политики соответствия требованиям PCI DSS и т.д.

Появились также новые отчеты по конфигурации и аудиту, а также новые шаблоны настроек политик.

Из пресс-релиза:

Компания «Код Безопасности» сообщает об успешном прохождении продуктом vGate-S R2 c поддержкой платформы VMware vSphere 4.1 инспекционного контроля во ФСТЭК России и подтверждении выданного ранее сертификата (№ 2383), согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно.

Отличительными особенностями новой версии продукта vGate-S R2, прошедшей инспекционный контроль во ФСТЭК России, является ряд функций. В частности, в новой версии продукта реализована поддержка платформы виртуализации VMware vSphere 4.1, включая VMware ESXi Server 4.1. Также добавлены новые политики безопасности: политика «Запрет передачи служебных данных», ограничивающая передачу того или иного типа служебного траффика (vMotion (FT) и vSphere Client), политика, запрещающая операции download/upload для виртуальных машин с соответствующей меткой, дополнительные политики соответствия требованиям PCI DSS и т.д.

Кроме того, пользователям новой версии vGate-S R2 доступны новые отчеты по конфигурации и аудиту, новые шаблоны настроек политик АС по ФСТЭК, ИСПДн по ФСТЭК, ИСПДн по СТО БР ИББС, а также специальная утилита для просмотра отчетов, входящая в комплектацию продукта.

Новая версия vGate-S R2, прошедшая инспекционный контроль во ФСТЭК России, позволит организациям, которые работают с государственной тайной в виртуальной среде, обеспечить надежную защиту информации от угроз информационной безопасности, специфичных для инфраструктуры виртуализации, в соответствии с требованиями российского законодательства в сфере защиты информации ограниченного доступа, а также отечественных и международных ИБ-стандартов.

Новая версия продукта vGate-S R2, прошедшая инспекционный контроль во ФСТЭК России, уже поступила в продажу. Условия поставки и стоимость решения необходимо уточнять в коммерческом отделе компании «Код Безопасности»:sales@securitycode.ru.

Коллеги, напоминаем, что компания Код Безопасности недавно анонсировала выпуск продукта vGate R2 с поддержкой платформы VMware vSphere 5 (появится в первом квартале 2012, подробнее о продукте тут и тут) и выпустила бесплатную утилиту vGate Compliance Checker, которая поддерживает не только хост-серверы ESXi 5.0, но и, что важно, серверы ESXi 4.1, которые сейчас все еще установлены у большинства пользователей.

Скачав эту утилиту совершенно бесплатно, вы узнаете, насколько ваша виртуальная инфраструктура соответствует следующим общепринятым нормам обеспечения безопасности виртуальной среды:

vGate Compliance Checker for VMware vSphere 5 и VMware vSphere 4.1 New!

• PCI DSS 2.0
• VMware Security Hardening Best Practices 4.1
• CIS VMware ESX Server Benchmarks 4

vGate Compliance Checker for VMware Infrastructure и VMware vSphere 4

• PCI DSS 1.2
• VMware Security Hardening Best Practices 4
• CIS VMware ESX Server Benchmarks 3.5

Отчет будет выглядеть примерно так:

То есть для каждого несоответствия нормам безопасности вам не только расскажут о самом факте, но и дадут ссылку на соответствующий пункт регламентирующего документа. Для многих компаний это будет весьма полезно - узнать, сколько у них потенциальных проблемных мест в сфере ИБ для инфраструктуры виртуализации.

Мы уже много писали о продукте №1 - vGate R2 от компании Код Безопасности, обеспечивающем сертифицированную защиту виртуальных сред VMware vSphere, а также автоматическую настройку инфраструктуры виртуализации в соответствии с политиками, отражающими стандарты и руководящие документы в сфере ИБ. Долгое время существенной проблемой являлось то, что продукт не поддерживал новую версию платформы VMware vSphere 5, на которую постепенно переходят предприятия. Но проблемы больше нет - вышел vGate R2 с поддержкой vSphere 5.

Часто пользователи виртуальной инфраструктуры VMware vSphere задают вопрос: а зачем нам нужны дополнительные средства обеспечения безопасности, такие как vGate R2, если у VMware vSphere и так есть сертификат ФСТЭК?

Ответы на этот вопрос с точки зрения необходимых средств защиты мы уже давали тут, тут и тут. Кто-то еще спрашивает: а зачем нам vGate R2, если есть такая штука как VMware vShield? И на этот вопрос мы уже отвечали вот здесь.

А вот как обстоят дела с точки зрения соответствия законодательству? Можно просто взглянуть вот на эту таблицу:

Комментарии к таблице

Таким образом, компаниям надо внимательно отнестись  к уровню сертификации vSphere и учитывать, что:

1. У vSphere нет сертификата по НДВ. Согласно п.2.12 Приказа ФСТЭК России от 5.02.2010 N 58 зарегистрирован в Минюсте России 19.02.2010 № 16456 требуется наличие сертификата НДВ 4 в K1, а так же по решению оператора - в K2 и K3.
   
   
2. У vSphere нет сертификата по НДВ. Согласно п.1.5 РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" для применения в этих сетях дополнительно требуется наличие сертификата НДВ4.
   
   
3. Обновления общесистемного программного обеспечения тоже должны быть сертифицированы. Использование дополнительных СЗИ позволяет устанавливать все обновления, не заботясь об этом. Любое программное обеспечение имеет ошибки, которые нужно периодически исправлять. Любое программное обеспечение постоянно совершенствуется с целью улучшения его потребительских свойств. В результате исправлений исходного кода периодически выходят пакеты обновлений. Обновления общесистемного программного обеспечения должны быть сертифицированы. Если изменения незначительны, можно провести сертификацию только изменений по упрощенной процедуре – процедуре инспекционного контроля. Если изменения исходного кода превышают 10% всего кода, то необходимо проводить полную пересертификацию продукта. Сертификация операционной системы либо аналогичного по размеру исходного кода, общесистемного программного обеспечения занимает от полугода. Инспекционный контроль может быть проведен за пару месяцев. Использование дополнительных СЗИ позволяет устанавливать все обновления на общесистемное программное обеспечение без риска потери аттестации и задержек на сертификацию обновлений общесистемного программного обеспечения.

Таким образом, если в вашей организации серьезные требования к обеспечению информационной безопасности - то без vGate R2 вам просто не обойтись. Сейчас это единственный продукт на рынке, выполняющий все требования законодательства (о защите персональных данных в среде VMware vSphere с помощью vGate вы можете прочитать тут).

Пробную версию vGate R2 можно запросить по этой ссылке.

С приходом виртуализации в компании сервис-провайдеров повысился спрос на услуги аренды виртуальных машин (см. нашу статью о программе VMware VSPP). При этом в такой модели предоставления услуг, для пользователей очень важна защита арендуемых виртуальных сервисов и своих данных. Если подумать, то главной угрозой тут являются вовсе не внешние угрозы, поскольку ЦОДы сервис-провайдеров обычно хорошо защищены от них, а угрозы внутренние - ведь администратор VMware vSphere имеет доступ к виртуальным машинам различных организаций, а значит и ко всем файлам пользователей, в которых могут содержаться конфиденциальные данные (можно просто примонтировать vmdk-диск и скопировать их).

Вот тут и нужно обратить внимание на средство номер 1 для защиты виртуальных инфраструктур VMware vSphere - продукт vGate R2, который специализируется не только на задачах защиты от несанкционированного доступа и автоматической настройки среды в соответствии с требованиями законодательства, но и на разделении прав доступа самих администраторов (в данном случае - облачных).

Используя vGate R2, можно настроить инфраструктуру vSphere так, чтобы действия администраторов надежно протоколировались, а сами администраторы имели четкий набор привилегий и возможных действий, контролируемых и утверждаемых со стороны службы ИБ. Так что, если вы подумываете о том, не начать ли сдавать в аренду виртуальные машины, самое время прочитать про защиту облачных сред в документе "Обеспечение информационной безопасности данных клиентов с помощью решения vGate при предоставлении услуг облачных ЦОДов" от компании Код Безопасности:

Основная идея предстоящего вебинара нашего партнера Кода Безопасности, выпускающего продукт номер 1 для защиты виртуальных сред vGate R2 - возможность построения комплексной защиты виртуальной среды в соответствии с требованиями закона №152-ФЗ «О персональных данных», а также руководящих документов СТО БР ИББС (банки) и PCI DSS (финансовые организации). Все это требует применения целого комплекса средств защиты программных и аппаратных компонентов ЦОД.

Тема вебинара: "Построение комплексной системы обеспечения информационной безопасности в виртуальной среде"
Дата проведения: 16 декабря 2011 года, 11-00 по московскому времени (регистрация).

Применение vGate R2 совместно с другими продуктами разработки «Кода Безопасности» позволяет построить комплексную  систему защиты государственной тайны, конфиденциальной информации и персональных данных при их обработке в виртуальной среде.  Для обеспечения контроля целостности и доверенной загрузки серверов виртуализации, сервера управления и сервера авторизации vGate R2 рекомендуется устанавливать на каждый из этих серверов аппаратно-программный модуль доверенной загрузки ПАК  «Соболь». Для обеспечения защиты сетевого доступа к виртуальным машинам и контроля трафика между виртуальными машинами на одном сервере виртуализации рекомендуется применять распределенный межсетевой экран высокого класса защиты TrustAccess.

Применение TrustAccess для сегментирования ИСПДн позволяет отнести отдельные сегменты к более низкому классу и добиться снижения затрат на защиту информации. Для защиты каждой виртуальной машины от НСД  рекомендуется использовать средство защиты информации Secret Net, которое обеспечивает разграничение доступа, доверенную информационную среду, а также защиту информации в процессе хранения. Надежность продуктов разработки компании «Код Безопасности» подтверждают сертификаты ФСТЭК России, позволяющие применять эти решения для систем различных классов защищенности (ИСПДн – до класса К1, АС – до классов 1Г, 1В, 1Б).

Кроме того, решение vGate R2 хорошо совместимо с другими популярными на рынке решениями по безопасности виртуализации прекрасно дополняя их по функциональным возможностям, к примеру Trend Micro Deep Security о чем имеется сертификат совместимости.

Зарегистрироваться на вебинар "Построение комплексной системы обеспечения информационной безопасности в виртуальной среде".

Если вы читали VMware Security Hardening Guide в последней редакции, то, должно быть, знаете, что в целях безопасности операции Copy и Paste в консоли виртуальных машин отключены по умолчанию.

Та же самая ситуация и с клиентом VMware View Client - по умолчанию пользователи не могут ничего скопировать в свою клиентскую ОС, хотя это часто нужно. Эту ситуацию можно исправить, изменив шаблон групповой политики pcoip.adm, который находится в следующей папке на VMware View Connection Server:

c:\Program Files\VMware\VMware View\Server\extras\GroupPolicyFiles\

Параметр называется Configure clipboard redirection:

После этого потребуется перезапуск VDI-сессии для применения настроек.

Источник

Кроме того, напомним, что шаблон pcoip.adm содержит еще несколько интересных параметров, касающихся производительности отображения рабочего стола пользователя, о которых написано у нас тут.

Мы уже много рассказывали о продукте vGate R2, который позволяет защитить инфраструктуру от несанкционированного доступа и настроить ее в соответствии со стандартами и лучшими практиками на базе политик (в т.ч. ФЗ 152). Кроме того, у vGate R2 есть все необходимые сертификаты ФСТЭК, которые помогут вам пройти сертификацию в соответствующих органах. Мы много писали о работе с продуктом со стороны администратора (см. тут и тут), а сегодня опишем, как это выглядит со стороны пользователя.

Как вы знаете, компания Код Безопасности, выпускающая продукт номер 1 для защиты виртуальных сред vGate R2 (читаем тут и тут), выпускает еще несколько программных и аппаратных решений для защиты физической и виртуальной инфраструктуры (см., например, тут).

Один из таких продуктов, интересных вам - это Security Code TrustAccess, который позволяет организовать распределенный межсетевой экран (МЭ) с централизованным управлением, предназначенный для защиты серверов и рабочих станций локальной сети от несанкционированного доступа и разграничения сетевого доступа к информационным системам предприятия, в том числе в инфраструктурах виртуализации (а также трафика между машинами в рамках одного хост-сервера).

Надо сказать, что TrustAccess - это один из тех продуктов, которые позволят защитить виртуальную инфраструктуру vSphere, в которой обрабатываются персональные данные, согласно требованиям закона ФЗ 152. То есть его можно и нужно использовать совместно с продуктом vGate.

Чтобы понять как все это делать, приходите на вебинар "Защита виртуальных машин от сетевых угроз с помощью межсетевого экрана TrustAccess", который пройдет 30 ноября в 11:00 по московскому времени:

Как знают многие из вас, в инфраструктуре виртуализации VMware vSphere одна из самых частых конфигураций платформы - назначение администратора виртуальной инфраструктуры одному человеку, который потенциально может разрушить всю инфраструктуру предприятия:

Это на самом деле очень плохо, поскольку по данным исследования, проведенного аналитической службой компании «Код Безопасности» среди 100 российских организаций, наибольшую угрозу для компании представляют инсайдеры, имеющие доступ к конфиденциальной информации. Исследование показало, что наиболее актуальными ИБ-угрозами для большинства российских компаний остаются внутренние факторы. В частности, 25% опрошенных респондентов убеждены, что наибольшую опасность для компании представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации компании.

Не менее интересными являются результаты опроса в части оценки принятых мер по выполнению требований Федерального закона «О персональных данных». 52% опрошенных на вопрос: «Приняты ли в Вашей организации меры по защите ПДн в связи с вступлением в силу №152-ФЗ», – ответили утвердительно. Компании, в которых проект проводится в данный момент, но пока не завершен, составляют 37% и 5% планируют проект по защите ПДн в соответствии с требованиями №152-ФЗ на следующий, 2012 год. Среди участников опроса оказалось 6% и тех, кто пока не приступал к выполнению требований №152-ФЗ.

И вот тут нужно сказать, что vGate R2 от компании "Код Безопасности" - это лучший продукт, чтобы убить перечисленных двух зайцев: разделить полномочия администратора VMware vSphere (или по крайней мере детально протоколировать его действия) с помощью продукта vGate R2 за счет введения роли администратора ИБ, а также настроить инфраструктуру защиты VMware vSphere в соответствии с нормами ФЗ 152 за счет средств автоматической конфигурации безопасности vGate R2.

Напомним, что это vGate R2 - это единственное на сегодняшний день сертифицированное средство защиты информации от несанкционированного доступа, предназначенное для обеспечения безопасности виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и VMware vSphere 4, применение которого дает возможность легитимной обработки данных ограниченного доступа в виртуальной среде. Подробнее о сертификатах vGate R2 написано тут.

Запросить пробную версию vGate R2 можно по этой ссылке.