Виртуализация платформ (программная виртуализация)

       Агент аутентификации включает в себя функцию  надежного сохранения учетных данных.

       Защита  средств управления виртуальной инфраструктурой  от НСД 

       К средствам управления виртуальной  инфраструктурой относятся:

• ESX-серверы, предназначенные для запуска виртуальных машин;
• серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой;
• средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager;
• сторонние средства мониторинга и управления инфраструктурой.

       Важно!!! Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры.

       Средства  управления виртуальной инфраструктурой  должны размещаться внутри защищаемого  периметра, доступ пользователей и  компьютеров к которым осуществляется по протоколам, нечувствительным к  попыткам перехвата паролей и  предотвращающим вмешательство  в передачу данных.

       Для обеспечения защиты средств управления виртуальной инфраструктурой применяется  функционал дискреционного разграничения  доступа к объектам, которые размещены  внутри защищаемого периметра. Правила  разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Также в vGate при разграничении прав доступа администраторов виртуальной инфраструктуры к объектам инфраструктуры используется мандатный принцип контроля доступа. Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.

       В vGate предусмотрен механизм блокирования любого сетевого трафика со стороны  виртуальных машин к средствам  управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной  инфраструктурой от НСД со стороны  скомпрометированной виртуальной  машины.

       Мандатное управление доступом

       В vGate реализован мандатный принцип  контроля доступа на основе меток  конфиденциальности. Есть возможность  использовать два вида меток конфиденциальности: иерархические (уровни доступа) и неиерархические (категории).

       Реализована возможность пометить метками следующие  субъекты, объекты, контейнеры:

• администраторы ВИ;
• ESX-серверы;
• сетевые карты ESX-сервера или VLAN;
• разделы хранилищ (Datastore);
• ВМ.

       Права доступа администраторов ВИ и  объектов инфраструктуры проверяются  на основе уровней доступа и категорий  автоматически.

       Категории отличаются от меток следующими параметрами:

• уровни доступа  иерархические, категории равноправные.
• механизмы работы уровней доступа зависят не только от пользователя, но и от его уровня доступа его текущей сессии. Категории от сессии не зависят.
• любой администратор, объект, контейнер может быть помечен несколькими категориями и только одним уровнем доступа.

       Защита ESX-серверов от НСД

       В vGate R2 в виде автоматизированных ИБ политик реализованы механизмы защиты от НСД серверов виртуализации ESX. Эти политики безопасности можно создавать из имеющихся в продукте шаблонов, и автоматически применять к серверам виртуализации. В процессе работы с инфраструктурой, продукт автоматически проверяет и поддерживает целостность назначенных политик безопасности.

       Контроль  целостности конфигурации виртуальных машин  и доверенная загрузка 

       Для обеспечения контроля целостности  программной среды и доверенной загрузки операционной системы (ОС) в  «физическом мире» традиционно  используются аппаратные электронные  замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.

       vGate содержит компоненты, устанавливаемые на каждый ESX-сервер и реализующие следующие механизмы защиты:

• контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. При этом часть параметров, не влияющих на информационную безопасность, выведена из-под контроля.
• контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины.
• доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk.

       Контроль  доступа администраторов  ВИ к файлам виртуальных  машин

       При работе в незащищенной виртуальной  инфраструктуре на базе систем VMware, администратор  этой инфраструктуры обычно может получить доступ к файлам виртуальных машин. Администратор может прямо из VI клиента скачать файл виртуальной  машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализованы механизм, позволяющий этот доступ ограничить.

       Регистрация событий, связанных  с информационной безопасностью

       В vGate реализованы дискреционные механизмы  разграничения прав ESX-серверов на запуск виртуальных машин. Для каждой виртуальной  машины администратор информационной безопасности может задать перечень ESX-серверов, где она может выполняться.

       Механизм  разграничения прав ESX-серверов на запуск ВМ позволяет настроить запуск виртуальных  машин, обрабатывающих данные с различным  уровнем конфиденциальности, таким  образом, чтобы данные разных уровней  конфиденциальности обрабатывались на различных ESX-серверах.

       Контроль  целостности и  защита от НСД компонентов  СЗИ

       vGate содержит собственные механизмы  контроля целостности компонентов  СЗИ. Механизмы действуют на  всех компонентах СЗИ - агенте  аутентификации, сервере авторизации  и ESX-серверах.

       Централизованное  управление и мониторинг

       Консоль управления, входящая в состав СЗИ, устанавливается на рабочее место  администратора информационной безопасности и позволяет:

• управлять учетными записями пользователей и компьютеров (пользователями в данном случае являются администраторы виртуальной инфраструктуры, а компьютеры - это их рабочие места);
• управлять правами доступа к защищаемым объектам;
• развертывать и настраивать компоненты защиты ESX-серверов;
• управлять параметрами виртуальных машин (политикой запуска, подключаемыми устройствами);
• просматривать журнал регистрации событий.

       Все изменения, произведенные администратором  информационной безопасности, сохраняются  централизованно на сервере авторизации. 

       

3. Системные требования

       К компьютерам, на которые устанавливаются  компоненты vGate, предъявляются следующие  минимальные системные требования:

• Для сервера авторизации:
• Windows Server 2008 x86 SP2;
• Windows Server 2003 x86 R2/SP2;
• PostgreSQL Server 8.4 (входит в комплект поставки).
• Для резервного сервера авторизации:
• Windows Server 2008 x86 SP2;
• Windows Server 2003 x86 R2/SP2;
• PostgreSQL Server 8.4 (входит в комплект поставки).
• Для агента аутентификации:
• Windows 2000 SP4 Rollup 2;
• Windows XP SP3 x86/x64;
• Windows Vista SP2 x86/x64;
• Windows 7 x86/x64;
• Windows Server 2003 x86/x64 R2/SP2;
• Windows Server 2008 x86/x64 SP2.
• Для консоли управления:
• Windows 2000 SP4 Rollup 2;
• Windows XP SP3 x86/x64;
• Windows Vista SP2 x86/x64;
• Windows 7 x86/x64;
• Windows Server 2003 x86/x64 R2/SP2;
• Windows Server 2008 x86/x64 SP2.
• Для модулей защиты ESX:
• VMware Infrastructure 3 (VMware ESX Server 3.5, Update 5);
• VMware vSphere 4 (VMware ESX Server 4.0, Update 1);
• VMware vSphere 4.1 (VMware ESX Server 4.1, VMware ESXi Server 4.1);
• Хранение дисков виртуальных машин может осуществляться локально или с использованием SAN iSCSI или Fibre channel.
• Для компонент защиты vCenter:
• VMware Infrastructure 3 (VMware vCenter 2.5, Update 5);
• VMware vSphere 4 (VMware vCenter 4.0, Update 1);
• VMware vSphere 4.1 (VMware vCenter 4.1).
• Для серверов отчетов: 
• MS SQL Server 2005 SP3 with Reporting Services и ОС, совместимая с ним.

 

       Требования  к аппаратному  обеспечению

       Требования  к конфигурации компьютера, на который  устанавливаются компоненты vGate, совпадают  с требованиями к операционной системе, установленной на нем.

       ESX-серверы  должны быть оборудованы необходимым  числом независимых Ethernet-интерфейсов  для реализации конфигурирования  локальной сети.

       На  компьютере, предназначенном для  сервера авторизации, должно быть не менее двух Ethernet-интерфейсов, один из которых будет подключен к  сети администрирования виртуальной  инфраструктуры, а другой — к  внешнему периметру сети администрирования, в котором находятся рабочие  места АВИ, АИБ и сетевые службы (например, DNS, AD).

4. Сведения о сертификате соответствия

       ПО  vGate R2 имеет сертификат соответствия № 2308, выданный 28 марта 2011 года и действителен по 28 марта 2014 года, подтверждающий соответствие требованиям руководящих документов в части защиты от несанкционированного доступа -по 5 классу защищенности (СВТ5) и контроля отсутствия недекларированных возможностей- по 4 уровню контроля (НДВ4), а также может использоваться в АС до классу защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно. 

 

8. McAfee Total Protection for Endpoint — Enterprise Edition

1. Назначение

       McAfee Total Protection for Endpoint — Enterprise Edition — это  защита для всех конечных точек,  в том числе для работающих  под управлением таких систем  как Windows, Mac и Linux, а также для  мобильных устройств. Total Protection for Endpoint — Enterprise Edition — это единое интегрированное  решение, защищающее системы и  данные от вредоносных программ, атак «нулевого дня», систем, не  отвечающих требованиям, и от  несанкционированных устройств.  Оно также защищает утерянные  или украденные устройства путем  блокировки неразрешенного доступа  к критически важным системам  и конфиденциальным данным.

2.   Функциональные возможности

       Основные  функциональные возможности:

• Защита от вредоносных программ;
• Отражение атак нулевого дня и защита уязвимостей;
• Межсетевой экран для рабочих станций;
• Защита электронной почты и веб-приложений;
• Строгий контроль за сетью и устройствами;
• Шифрование всего диска;
• Поддержка нескольких платформ;
• Централизованное управление.

1. Защита от вредоносных программ в реальном времени.

       Решение блокирует  вирусы, трояны, червей, рекламные, шпионские  и другие потенциально нежелательные  программы.

2. Упреждающая защита электронной почты и веб-безопасность.

       Перехват вредоносных  программ и нежелательных сообщений  до того, как они попадут в электронный  почтовый ящик пользователей. Встроенная программа McAfee SiteAdvisor Enterprise Plus предупреждает пользователей о вредоносных веб-сайтах и позволяет администраторам санкционировать или блокировать доступ к сайтам, обеспечивая соответствие нормативно-правовым требованиям.