Шаблоны политик безопасности встроенные в vGate 2
Для осуществления приведения виртуализированных информационных систем в соответствие с PCI DSS, CIS VMware ESX Server 3.5 Benchmark и VMware Security Hardening Best Practice в продукт vGate 2 включены готовые шаблоны политик безопасности.
vGate также содержит отдельный бесплатный модуль - vGate Compliance Checker - для проверки виртуализированных систем на соотвествие
Шаблон vGate
Политики для ESX сервера
- Список разрешенных программ – на ESX сервере хранится список разрешенных программ, который может изменять по своему усмотрению администратор информационной безопасности (АИБ). Чтобы разрешить программу необходимо через консоль vGate добавить полный путь к исполняемому файлу программы. Чтобы запретить программу нужно точно так же добавить путь.
- Запрет локального входа на ESX – список пользователей, которым разрешен локальный вход на сервер ESX
- Запрет подключения USB устройств на ESX – запрет/разрешение на монтирование USB носителей
- Правила для встроенного Firewall для ESX – настройка политик доступа к ESX
Политики для виртуальных машин
- Список запрещенных устройств – доступных для монтирования в виртуальную машину.
- Запрет клонирования виртуальных машин
- Запрет создания snapshot виртуальных машин
- Проверка целостности виртуальных машин – при запуске виртуальной машины происходит проверка целостности ВМ, если ВМ в выключенном состоянии была изменена, то
- Очистка памяти виртуальной машины – после завершения ее работы
Шаблоны CIS 1.0, CIS 1.2, PCIDSSи VMware
CIS – Combat Intelligence System – стандарт защиты информации, который мало применяется в России.
PCI DSS - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации. Соответствие требованиям стандарта PCI DSS - одна из важных задач для большинства компаний финансовой сферы. В то же время именно эти компании активнее всего внедряют технологии виртуализации с целью сокращения издержек и оптимизации ИТ затрат
Данные стандарты безопасности в vGate реализованы набором политик, перечисленными ниже.
Require authentication for single-user mode - политика определенным образом настраивает конфигурационный файл /etc/inittab для обеспечения обязательной аутентификации в однопользовательском режиме (CIS v1.0 п. 10.4.2 и PCI DSS v1.2 п. 7.1)
Establish and maintain filesystem integrity - Политика ограничивает доступ к конфигурационным файлам служб (CIS v1.0 п. 10.2 и PCI DSS v1.2 п. 8.5 vGate 2)
Сheck if SSH Protocol option is set to 2 - Политика задает необходимость использования протокола SSH версии 2 (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)
Restrict root to system console - Политика модифицирует файл /etc/securetty для ограничения входа в систему под учетной записью root (CIS v1.0 п. 10.3.4 и PCI DSS v1.2 п. 7.1)
Disable usermounted removable file systems - Политика ограничивает набор устройств, разрешенных для подключения (CIS v1.0 п. 10.1.3)
Disable Copy & Paste operations between Guest OS and remote console - Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.2,CIS v.1.2 п. 1.8.3 и PCI DSS v1.2 п. 7.2)
Restrict at cron to authorized users -Политика ограничивает список пользователей, которым разрешено выполнять назначенные задания (команды cron и at) (CIS v1.0 п. 10.3.1 и PCI DSS v1.2 п. 7.2)
Restrict permissions on crontab files - политика ограничивает доступ к конфигурационным файлам планировщика заданий (CIS v1.0 п. 10.3.2 и PCI DSS v1.2 п. 7.2)
Set daemon umask - политика устанавливает ограниченные полномочия на файлы по умолчанию для демонов и root (CIS v1.0 п. 7.1 и PCI DSS v1.2 п. 2.2)
Do not create a default network for virtual machines - политика проверяет, что не используется одна сеть для Service Console и виртуальных машин (CIS v1.0 п. 4.1.2,CIS v1.2 п. 1.1.1 и PCI DSS v1.2 п. 7.1)
Use CHAP to Connect to iSCSI Devices - политика задает необходимость использования CHAP для проверки подлинности при подключении iSCSI-устройств (CIS v1.0 п. 5.6, CIS v1.2 п. 1.6.1 и PCI DSS v1.2 п. 7.2)
Rotate Log Files from Virtual Machines to the ESX server host - политика для каждой виртуальной машины настраивает следующие параметры логирования: log.rotateSize=100000,log.keepOld=10 (CIS v1.0 п. 9.1.1, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)
Remove unnecessary hardware devices - для каждой виртуальной машины устанавливается параметр <devicename>.allowGuestConnectionControl=false. После включения данной политики необходима перезагрузка ВМ (CIS v1.0 п. 5.3 и PCI DSS v1.2 п. 2.2)
Verify password complexity and longevity is set up to the policy - политика задает политики паролей ESX сервера (CIS v1.0 пп. 11.1.1–11.1.2, CIS v1.2 пп. 1.3.3– 1.3.4 и PCI DSS v1.2 п.2.1)
Verify network access control policy - политика сохраняет указанный диапазон IP-адресов в "default" блок файла /etc/xinetd.conf в виде: only_from = <net>/<num_bits> <net>/<num_bits>. В случае включения данной политики в списке обязательно должен присутствовать адрес 127.0.0.1. После включения данной политики необходим перезапуск службы xinetd (CIS v1.0 п. 10.3.3 и PCI DSS v1.2 п. 7.1)
Permissions on VMDK files - политика запрещает просмотр, изменение и выполнение vmdk-файлов (CIS v1.2 п. 1.9.2, п. 1.9.4)
Permissions on VMX files - политика запрещает изменение vmx-файлов (CIS v1.2 п. 1.9.1,п. 1.9.3.)
Protect against root filesystem filling up - политика проверяет, что на разделы /, /boot, /tmp, /home, swap, /var/core, /var/log или /var назначены отдельные дисковые партиции, что уменьшает вероятность нехватки места на рабочем разделе и соответственно предотвращает отказ в обслуживании (CIS v1.0 п. 4.1.1, CIS v1.2 п. 1.1.2 и PCI DSS v1.2 п. 2.2)
Add nodev and nosuid options to removable media - политика запрещает подключение съемных устройств (CIS v1.0 п. 10.1.2 и PCI DSS v1.2 п. 2.2)
Set grub password - политика назначает пароль на случай попытки изменить штатный способ за грузки (CIS v1.0 п. 10.4.1,CIS v1.2 и PCI DSS v1.2 п. 2.1)
Kernel Network parameter modifications - политика позволяет настроить сетевые параметры ядра Kernel. После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 8.1.1, CIS v1.2 и PCI DSS v1.2 п. 7.1)
Remove Guest Control of Hardware Devices - политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера (CIS v1.2 п. 1.8.1)
Prevent VMs from flooding ESX Server host - политика для каждой виртуальной машины устанавливает параметр: isolation.tools.setinfo.disable=true. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.4, CIS v1.2 п. 1.8.2 и PCI DSS v1.2 п. 2.2)
Configure permissions on system log files - политика позволяет настроить права на файлы журнала событий ESX-сервера (CIS v1.0 п. 9.1.3 и PCI DSS v1.2 п. 8.5)
Maintain proper logging - политика позволяет настроить параметры логирования ESX-сервера (CIS v1.0 п. 9.1.2, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)
Create Warnings for Network and Physical Access - политика позволяет задать текст приглашения в консоли для сетевого и локального доступа (CIS v1.0 п. 12.1 и CIS v1.2 п. 1.7.1)
Add nodev option for appropriate partitions - политика позволяет ограничить возможность подключения устройств (CIS v1.0 п. 10.1.1 и PCI DSS v1.2 п. 2.2)
Configuring NTP - политика позволяет настроить синхронизацию времени (CIS v1.0 п.5.1, CIS v1.2 п. 1.2.4 и PCI DSS v1.2 п. 10.4)
Restrict access to password related files - политика позволяет ограничить доступ к файлам, содержащим пароли пользователей (CIS v1.0 п. 10.2.1 и PCI DSS v1.2 п. 2.1 и п. 8.5)
SNMP access is secure - политика ограничивает доступ к конфигурационным файлам протокола SNMP (CIS v1.0 п. 7.2, CIS v1.2 и PCI DSS v1.2 п. 2.1)
Сheck ssh_config to verify SSHD configuration is secure - политика позволяет настроить конфигурационный файл sshd_config (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)
Restrict ability to remove files from world-writable directories - политика ограничивает возможность удаления файлов из перезаписываемых каталогов (CIS v1.0 п. 10.2.2 и PCI DSS v1.2 п. 8.5)
Limiting access to su - политика гарантирует, что привилегии суперпользователя разрешены только членам группы wheel (CIS v1.0 п. 10.4 и PCI DSS v1.2 п. 7.2)
Configure syslogd to send logs to a remote log - политика позволяет настроить ведение журнала событий ESX-сервера на удаленном сервере syslog (CIS v1.0 п. 9.1.5, CIS v1.2 п. 1.4.3 и PCI DSS v1.2 п. 10.2)
Verify there are no setuid/setgid enabled programs - политика гарантирует отсутствие программ с setuid или getuid флагами (CIS v1.0 п. 10.2.4 и PCI DSS v1.2 п. 8.5)
Verify that there are no unauthorized world-writable files - политика ограничивает право перезаписи файлов для всех пользователей (CIS v1.0 п. 10.2.3 и PCI DSS v1.2 п. 8.5)
Verify there are no files with undefined ownership - политика устанавливает в качестве владельца пользователя root и доступ только для чтения всем файлам, в атрибутах которых не определен владелец (CIS v1.0 п. 10.2.5)
Set virtual switches to reject linked layer manipulation and disable promiscuous mode - политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи). После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 6.1, п. 6.2, CIS v1.2 п. 1.5.1 и PCI DSS v1.2 п. 7.1)