Автор: Пользователь скрыл имя, 07 Мая 2012 в 20:51, реферат
Понятие виртуализации условно можно разделить на две категории:
виртуализация платформ (программная виртуализация). Продуктом этого вида виртуализации являются виртуальные машины – некие программные абстракции, запускаемые на платформе реальных аппаратно-программных систем.
виртуализация ресурсов (аппаратная виртуализация). Данный вид виртуализации преследует своей целью комбинирование или упрощение представления аппаратных ресурсов для пользователя и получение неких пользовательских абстракций оборудования, пространств имен, сетей и т.п.
Агент аутентификации включает в себя функцию надежного сохранения учетных данных.
Защита средств управления виртуальной инфраструктурой от НСД
К средствам управления виртуальной инфраструктурой относятся:
Важно!!! Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры.
Средства
управления виртуальной инфраструктурой
должны размещаться внутри защищаемого
периметра, доступ пользователей и
компьютеров к которым
Для
обеспечения защиты средств управления
виртуальной инфраструктурой
В
vGate предусмотрен механизм блокирования
любого сетевого трафика со стороны
виртуальных машин к средствам
управления виртуальной инфраструктурой.
Тем самым обеспечивается защита
средств управления виртуальной
инфраструктурой от НСД со стороны
скомпрометированной
Мандатное управление доступом
В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Есть возможность использовать два вида меток конфиденциальности: иерархические (уровни доступа) и неиерархические (категории).
Реализована возможность пометить метками следующие субъекты, объекты, контейнеры:
Права доступа администраторов ВИ и объектов инфраструктуры проверяются на основе уровней доступа и категорий автоматически.
Категории отличаются от меток следующими параметрами:
Защита ESX-серверов от НСД
В vGate R2 в виде автоматизированных ИБ политик реализованы механизмы защиты от НСД серверов виртуализации ESX. Эти политики безопасности можно создавать из имеющихся в продукте шаблонов, и автоматически применять к серверам виртуализации. В процессе работы с инфраструктурой, продукт автоматически проверяет и поддерживает целостность назначенных политик безопасности.
Контроль целостности конфигурации виртуальных машин и доверенная загрузка
Для обеспечения контроля целостности программной среды и доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.
vGate содержит компоненты, устанавливаемые на каждый ESX-сервер и реализующие следующие механизмы защиты:
Контроль доступа администраторов ВИ к файлам виртуальных машин
При работе в незащищенной виртуальной инфраструктуре на базе систем VMware, администратор этой инфраструктуры обычно может получить доступ к файлам виртуальных машин. Администратор может прямо из VI клиента скачать файл виртуальной машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализованы механизм, позволяющий этот доступ ограничить.
Регистрация событий, связанных с информационной безопасностью
В
vGate реализованы дискреционные
Механизм разграничения прав ESX-серверов на запуск ВМ позволяет настроить запуск виртуальных машин, обрабатывающих данные с различным уровнем конфиденциальности, таким образом, чтобы данные разных уровней конфиденциальности обрабатывались на различных ESX-серверах.
Контроль целостности и защита от НСД компонентов СЗИ
vGate
содержит собственные
Централизованное управление и мониторинг
Консоль управления, входящая в состав СЗИ, устанавливается на рабочее место администратора информационной безопасности и позволяет:
Все
изменения, произведенные администратором
информационной безопасности, сохраняются
централизованно на сервере авторизации.
К
компьютерам, на которые устанавливаются
компоненты vGate, предъявляются следующие
минимальные системные
Требования к аппаратному обеспечению
Требования к конфигурации компьютера, на который устанавливаются компоненты vGate, совпадают с требованиями к операционной системе, установленной на нем.
ESX-серверы
должны быть оборудованы
На компьютере, предназначенном для сервера авторизации, должно быть не менее двух Ethernet-интерфейсов, один из которых будет подключен к сети администрирования виртуальной инфраструктуры, а другой — к внешнему периметру сети администрирования, в котором находятся рабочие места АВИ, АИБ и сетевые службы (например, DNS, AD).
ПО
vGate R2 имеет сертификат соответствия №
2308, выданный 28 марта 2011 года и действителен
по 28 марта 2014 года, подтверждающий соответствие
требованиям руководящих документов в
части защиты от несанкционированного
доступа -по 5 классу защищенности (СВТ5)
и контроля отсутствия недекларированных
возможностей- по 4 уровню контроля (НДВ4),
а также может использоваться в АС до классу
защищенности 1Г включительно и для защиты
информации в ИСПДн до 1 класса включительно.
McAfee
Total Protection for Endpoint — Enterprise Edition — это
защита для всех конечных
Основные функциональные возможности:
Информация о работе Виртуализация платформ (программная виртуализация)