2. В начало
  3. Продукция
  4. VMware
  5. vGate
  6. vGate политики безопасности

Шаблоны политик безопасности встроенные в vGate 2

 

Для осуществления приведения виртуализированных информационных систем в соответствие с PCI DSS, CIS VMware ESX Server 3.5 Benchmark и VMware Security Hardening Best Practice в продукт vGate 2 включены готовые шаблоны политик безопасности.

vGate также содержит отдельный бесплатный модуль - vGate Compliance Checker - для проверки виртуализированных систем на соотвествие

 

Шаблон vGate 

Политики для ESX сервера

  • Список разрешенных программ – на ESX сервере хранится список разрешенных программ, который может изменять по своему усмотрению администратор информационной безопасности (АИБ). Чтобы разрешить программу необходимо через консоль vGate добавить полный путь к исполняемому файлу программы. Чтобы запретить программу нужно точно так же добавить путь.
  • Запрет локального входа на ESX – список пользователей, которым разрешен локальный вход на сервер ESX
  • Запрет подключения USB устройств на ESX – запрет/разрешение на монтирование USB носителей
  • Правила для встроенного Firewall для ESX – настройка политик доступа к ESX
order

Политики для виртуальных машин

  • Список запрещенных устройств – доступных для монтирования в виртуальную машину.
  • Запрет клонирования виртуальных машин
  • Запрет создания snapshot виртуальных машин
  • Проверка целостности виртуальных машин – при запуске виртуальной машины происходит проверка целостности ВМ, если ВМ в выключенном состоянии была изменена, то
  • Очистка памяти виртуальной машины – после завершения ее работы

 

Шаблоны CIS 1.0, CIS 1.2, PCIDSSи VMware

CIS – Combat Intelligence System – стандарт защиты информации, который мало применяется в России.

PCI DSS - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации. Соответствие требованиям стандарта PCI DSS - одна из важных задач для большинства компаний финансовой сферы. В то же время именно эти компании активнее всего внедряют технологии виртуализации с целью сокращения издержек и оптимизации ИТ затрат

Данные стандарты безопасности в vGate реализованы набором политик, перечисленными ниже.

Require authentication for single-user mode - политика определенным образом настраивает конфигурационный файл /etc/inittab для обеспечения обязательной аутентификации в однопользовательском режиме (CIS v1.0 п. 10.4.2 и PCI DSS v1.2 п. 7.1)

Establish and maintain filesystem integrity - Политика ограничивает доступ к конфигурационным файлам служб (CIS v1.0 п. 10.2 и PCI DSS v1.2 п. 8.5 vGate 2)

Сheck if SSH Protocol option is set to 2 - Политика задает необходимость использования протокола SSH версии 2 (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)

Restrict root to system console - Политика модифицирует файл /etc/securetty для ограничения входа в систему под учетной записью root (CIS v1.0 п. 10.3.4 и PCI DSS v1.2 п. 7.1)

Disable usermounted removable file systems - Политика ограничивает набор устройств, разрешенных для подключения (CIS v1.0 п. 10.1.3)

Disable Copy & Paste operations between Guest OS and remote console - Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.2,CIS v.1.2 п. 1.8.3 и PCI DSS v1.2 п. 7.2)

Restrict at cron to authorized users -Политика ограничивает список пользователей, которым разрешено выполнять назначенные задания (команды cron и at) (CIS v1.0 п. 10.3.1 и PCI DSS v1.2 п. 7.2)

Restrict permissions on crontab files - политика ограничивает доступ к конфигурационным файлам планировщика заданий (CIS v1.0 п. 10.3.2 и PCI DSS v1.2 п. 7.2)

Set daemon umask - политика устанавливает ограниченные полномочия на файлы по умолчанию для демонов и root (CIS v1.0 п. 7.1 и PCI DSS v1.2 п. 2.2)

Do not create a default network for virtual machines - политика проверяет, что не используется одна сеть для Service Console и виртуальных машин (CIS v1.0 п. 4.1.2,CIS v1.2 п. 1.1.1 и PCI DSS v1.2 п. 7.1)

Use CHAP to Connect to iSCSI Devices - политика задает необходимость использования CHAP для проверки подлинности при подключении iSCSI-устройств (CIS v1.0 п. 5.6, CIS v1.2 п. 1.6.1 и PCI DSS v1.2 п. 7.2)

Rotate Log Files from Virtual Machines to the ESX server host - политика для каждой виртуальной машины настраивает следующие параметры логирования: log.rotateSize=100000,log.keepOld=10 (CIS v1.0 п. 9.1.1, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)

Remove unnecessary hardware devices - для каждой виртуальной машины устанавливается параметр <devicename>.allowGuestConnectionControl=false. После включения данной политики необходима перезагрузка ВМ (CIS v1.0 п. 5.3 и PCI DSS v1.2 п. 2.2)

Verify password complexity and longevity is set up to the policy - политика задает политики паролей ESX сервера (CIS v1.0 пп. 11.1.1–11.1.2, CIS v1.2 пп. 1.3.3– 1.3.4 и PCI DSS v1.2 п.2.1)

Verify network access control policy - политика сохраняет указанный диапазон IP-адресов в "default" блок файла /etc/xinetd.conf в виде: only_from = <net>/<num_bits> <net>/<num_bits>. В случае включения данной политики в списке обязательно должен присутствовать адрес 127.0.0.1. После включения данной политики необходим перезапуск службы xinetd (CIS v1.0 п. 10.3.3 и PCI DSS v1.2 п. 7.1)

Permissions on VMDK files - политика запрещает просмотр, изменение и выполнение vmdk-файлов (CIS v1.2 п. 1.9.2, п. 1.9.4)

Permissions on VMX files - политика запрещает изменение vmx-файлов (CIS v1.2 п. 1.9.1,п. 1.9.3.)

Protect against root filesystem filling up - политика проверяет, что на разделы /, /boot, /tmp, /home, swap, /var/core, /var/log или /var назначены отдельные дисковые партиции, что уменьшает вероятность нехватки места на рабочем разделе и соответственно предотвращает отказ в обслуживании (CIS v1.0 п. 4.1.1, CIS v1.2 п. 1.1.2 и PCI DSS v1.2 п. 2.2)

Add nodev and nosuid options to removable media - политика запрещает подключение съемных устройств (CIS v1.0 п. 10.1.2 и PCI DSS v1.2 п. 2.2)

Set grub password - политика назначает пароль на случай попытки изменить штатный способ за грузки (CIS v1.0 п. 10.4.1,CIS v1.2 и PCI DSS v1.2 п. 2.1)

Kernel Network parameter modifications - политика позволяет настроить сетевые параметры ядра Kernel. После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 8.1.1, CIS v1.2 и PCI DSS v1.2 п. 7.1)

Remove Guest Control of Hardware Devices - политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера (CIS v1.2 п. 1.8.1)

Prevent VMs from flooding ESX Server host - политика для каждой виртуальной машины устанавливает параметр: isolation.tools.setinfo.disable=true. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.4, CIS v1.2 п. 1.8.2 и PCI DSS v1.2 п. 2.2)

Configure permissions on system log files - политика позволяет настроить права на файлы журнала событий ESX-сервера (CIS v1.0 п. 9.1.3 и PCI DSS v1.2 п. 8.5)

Maintain proper logging - политика позволяет настроить параметры логирования ESX-сервера (CIS v1.0 п. 9.1.2, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)

Create Warnings for Network and Physical Access - политика позволяет задать текст приглашения в консоли для сетевого и локального доступа (CIS v1.0 п. 12.1 и CIS v1.2 п. 1.7.1)

Add nodev option for appropriate partitions - политика позволяет ограничить возможность подключения устройств (CIS v1.0 п. 10.1.1 и PCI DSS v1.2 п. 2.2)

Configuring NTP - политика позволяет настроить синхронизацию времени (CIS v1.0 п.5.1, CIS v1.2 п. 1.2.4 и PCI DSS v1.2 п. 10.4)

Restrict access to password related files - политика позволяет ограничить доступ к файлам, содержащим пароли пользователей (CIS v1.0 п. 10.2.1 и PCI DSS v1.2 п. 2.1 и п. 8.5)

SNMP access is secure - политика ограничивает доступ к конфигурационным файлам протокола SNMP (CIS v1.0 п. 7.2, CIS v1.2 и PCI DSS v1.2 п. 2.1)

Сheck ssh_config to verify SSHD configuration is secure - политика позволяет настроить конфигурационный файл sshd_config (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)

Restrict ability to remove files from world-writable directories - политика ограничивает возможность удаления файлов из перезаписываемых каталогов (CIS v1.0 п. 10.2.2 и PCI DSS v1.2 п. 8.5)

Limiting access to su - политика гарантирует, что привилегии суперпользователя разрешены только членам группы wheel (CIS v1.0 п. 10.4 и PCI DSS v1.2 п. 7.2)

Configure syslogd to send logs to a remote log - политика позволяет настроить ведение журнала событий ESX-сервера на удаленном сервере syslog (CIS v1.0 п. 9.1.5, CIS v1.2 п. 1.4.3 и PCI DSS v1.2 п. 10.2)

Verify there are no setuid/setgid enabled programs - политика гарантирует отсутствие программ с setuid или getuid флагами (CIS v1.0 п. 10.2.4 и PCI DSS v1.2 п. 8.5)

Verify that there are no unauthorized world-writable files - политика ограничивает право перезаписи файлов для всех пользователей (CIS v1.0 п. 10.2.3 и PCI DSS v1.2 п. 8.5)

Verify there are no files with undefined ownership - политика устанавливает в качестве владельца пользователя root и доступ только для чтения всем файлам, в атрибутах которых не определен владелец (CIS v1.0 п. 10.2.5)

Set virtual switches to reject linked layer manipulation and disable promiscuous mode - политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи). После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 6.1, п. 6.2, CIS v1.2 п. 1.5.1 и PCI DSS v1.2 п. 7.1)

Консультация специалиста

ИТ-аутсорсинг