vGate для коммерческих компаний

Vgate 2.5 идеальньо подойдет тем, кому необходимо максимально надежное средство для защиты виртуальной инфраструктуры на базе VMware vSphere.

vGate используется для централизованного управления и контроля всей виртуальной инфраструктуры, позволяет регистрировать события, связанные с информационной безопасностью, устанавливать политики доступа и многое-многое другое.

Гарантом качества и надежности Vgate 2.5 служит то, что данному решению доверяют такие организации, как ФСО РФ, Центральный банк РФ, Министерство обороны РФ, Генеральная прокуратура РФ.

 

Лицензирование продукта vGate 2 схоже с лицензированием VMware vSphere 4.1:

  • Необходимо приобрести управляющий сервер авторизации vGate 2, - для одного развертвывания vGate требуется закупить 1 шт, но не более.
  • Необходима лицензия на каждый сокет (процссор) защищаемых серверов ESX

 

order
Продукт Цена, руб

Право на использование Сервера авторизации vGate 2
(за 1 экземпляр Сервера авторизации vGate)

89 000 (Без НДС)

Право на использование резервного Сервера авторизации vGate 2
(за 1 экземпляр Сервера авторизации vGate)

 

89 000 (Без НДС)

Право на использование vGate 2 для защиты ESX-хостов
(за 1 физический процессор на защищаемом ESX-хосте)

24 500 (Без НДС)
Установочный комплект vGate 2 250 рублей
   

 

Архитектура vGate

В самом простом своем варианте архитектура виртуальной инфраструктуры с применением продукта vGate представлена на картинке.

 

order

Вся инфраструктура разделена на 4 подсети.

1 – Внешний периметр сети администрирования – здесь располагается рабочее место администратора информационной безопасности (АИБ) и администратора виртуальной инфраструктуры (АВИ). Также по необходимости здесь можно разместить сервер с доменными службами(AD, DNS)

2 – Защищенная сеть администрирования – в этой сети находится VMware vCenter server и сервера ESX, которыми через него управляет АВИ

3 – Сеть передачи данных – предназначена для трафика между серверами ESX и системой хранения данных и для трафика функций vSphere высокая доступность (HA), непрерывная доступность (FT), для миграции виртуальных машин (vMotion).

4 – Сеть виртуальных машин – отдельный сегмент, в котором уже работают виртуальные машины и пользователи.

vGate правила доступа

Как видно на картинке, vGate сервер авторизации контролирует весь трафик, проходящий из сети 1 в сеть номер 2. Он является своего рода фаерволом «заточенным» под инфраструктуру VMware vSphere и на нем АИБ создает различные правила из шаблона:

  • для доступа АВИ к vCenter через vSphere Client
  • для доступа АВИ к ESX Service console
  • для ICMP трафика к ESX серверу
  • для управления виртуальной инфраструктурой ESX сервера

 

 

Правила также могут быть созданы вручную. В каждом правиле необходимо будет указать:

  • Пользователь vGate сервера, которому будет разрешен доступ
  • Компьютер внешней сети администрирования, с которого будет разрешен доступ
  • Тип протокола доступа (TCP, UDP, IP level, ICMP)
  • Исходящий порт
  • Порт назначения

 

 

Добавляя правила, можно настроить контролируемый АИБ доступ, который будет поддерживать все функции необходимые АВИ для успешного администрирования.

vGate пользователи

Необходимо создать учетную запись для каждого АИБ и АВИ, которые будут принимать участие в управлении виртуальной инфраструктурой. Эти учетные записи будут необходимы при подключения АИБ к консоли администрирования vGate со своего рабочего места. А при создании правил на vGate сервере в нем нужно будет указать учетную запись АВИ, для которого это правило создается.

vGate агенты

Агенты аутентификации vGate ставятся на серверы и рабочие станции внешней сети администрирования из дистрибутива поставки. После установки агент позволяет подключиться к серверу vGate, аутентифицироваться на нем под существующим пользователем vGate. После этого начинают работать правила vGate для этого пользователя (АИБ может подключиться к vGate через консоль управления, АВИ может подключиться к vCenter и к ESX Service console)

Компонент защиты vCenter устанавливается на работающий сервер vCenter из дистрибутива vGate и позволяет реализовать функционал vGate, речь о котором пойдет ниже.

После установки компонента защиты vCenter в консоли vGate в списке защищаемых серверов появляются все ESX хосты. На них устанавливается агент ESX непосредственно из консоли vGate.

На этом установка агентов закончена, можно приступать к конфигурированию.

vGate функционал

Функционал сервера vGate не ограничивается созданием правил доступа на уровне сети, если бы это было так, то нам достаточно было бы установить простейший Firewall.

В vGate назначаются категории конфиденциальности. Зачем это нужно? В виртуальной инфраструктуре могут храниться и обрабатываться данные, имеющие разные категории конфиденциальности

  • Не конфиденциально
  • Для служебного пользования
  • Секретно
  • Совершенно секретно

 

 

Виртуальной инфраструктуре на одном сервере ESX легко могут оказаться две виртуальные машины, обрабатывающие данные разных категорий конфиденциальности. Данные могут располагаться на одном LUN системы хранения данных. Данные могут оказаться доступны всем АВИ, у которых есть доступ к vCenter и т.д. Чтобы этого избежать и держать под контролем данные и доступ к ним, АИБ должен будет через консоль vGate назначить метки категорий конфиденциальность объектам инфраструктуры:

  • учетным записям АВИ
  • ESX серверам
  • каждому сетевому адаптеру серверов ESX
  • сетям VLAN (если используются)
  • каждому LUN системы хранения данных (data store)
  • каждой виртуальной машине

 

Приведу пример, как эти метки работают. Виртуальная машина с меткой «Секретно» не сможет запуститься на ESX сервере с меткой «Для служебного пользования». АВИ с меткой «Не конфиденциально» не сможет выполнять никаких действий с ВМ с меткой «Секретно» и с ее данными на СХД тоже.

 

Выводы

Внедрение vGate потребует существенного изменения архитектуры локальной сети, планирования контроля доступа, работ по разделению ресурсов.

Хочу заметить, что продукта vGate не достаточно для прохождения вашей информационной системой аттестации в соответствии с ФЗ 152 «О персональных данных». Для сети виртуальных машин необходимы свои средства защиты.

vGate 2

 

Если для вашей организации встал вопрос о защите данных ( в том числе и персональных в соответствии с ФЗ-152), а в ИТ инфраструктуре применяются технологии виртуализации VMware, то в России существует пока один сертифицированный ФСТЭК продукт для решения данной задачи.

Сертификаты ФСТЭК России

Сертификат ФСТЭК России №2061 от 26.03.10 (СВТ 5, НДВ 4) позволяет применять vGate в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах обработки персональных данных (ИСПДн) до класса К1 включительно.

Сертификат ФСТЭК России на vGate 2* (СВТ 5, НДВ 4) позволит применять продукт в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах обработки персональных данных (ИСПДн) до класса К1 включительно.

Сертификат ФСТЭК России vGate 2* (СВТ 3, НДВ 2) позволит применять продукт в автоматизированных системах уровня защищенности до класса 1Б включительно и в информационных системах обработки персональных данных (ИСПДн) до класса К1 включительно.

Продукт vGate – это единственное сертифицированное средство защиты информации от несанкционированного доступа (НД), предназначенное для обеспечения безопасности виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и VMware vSphere 4, применение которого дает возможность легитимной обработки данных ограниченного доступа в виртуальной среде.

order

Виртуальная инфраструктура в фокусе защиты персональных данных

С точки зрения закона для организации проще всего хранить персональные данные в бумажном виде, не используя информационные системы, но многие уже не могут обойтись без автоматизации, которую дают серверные приложения для бухгалтерии (1с и другие), отдела кадров и многих других подразделений. Таким образом, после бумажных носителей информации идут физические серверы, операционные системы и серверные приложения. Но физические сервера не дают достаточного уровня защищенности хранимой информации, физических серверов становится со временем слишком много, поэтому компании начали внедрять в свои ИТ инфраструктуры виртуализацию. Виртуализация позволяет консолидировать физические сервера (уменьшить их количество) а также повысить отказоустойчивость сервисов.

Для федерального закона 152 «О персональных данных» нет различия между виртуальной и физической средой обработки информации. Но особенности существуют и их, конечно, нельзя не учитывать при проектировании информационных систем.

  • Виртуальная инфраструктура, обычно, разделена на систему хранения данных и серверную часть. Файлы виртуальных машин хранятся на СХД, а запущены сами виртуальные машины на серверах. И если не контролировать, где какие виртуальные машины запущены и не пересекаются ли данные разного уровня защищенности на СХД говорить о построении безопасной среды для обработки информации просто нельзя.
  • У администратора информационной безопасности (АИБ) должны быть инструменты для разграничения прав доступа администраторов виртуальной инфраструктуры к виртуальным машинам и файлам виртуальных машин разных категорий защищенности.
  • АИБ должен постоянно контролировать целостность ВМ, хостов ESX, сервера управления vCenter
  • и многие другие задачи, которые предъявляют разные стандарты безопасности, действующие в организации

 

vGate облегчает приведение виртуальной инфраструктуры в соответствие законодательству и отраслевым стандартам информационной безопасности.

Сертифицированная версия vGate позволяет защищать персональные данные любого класса (до К1 включительно), обрабатываемые в виртуальных инфраструктурах. Таким образом vGate предоставляет реальную возможность легитимного использования технологий виртуализации в системах обрабатывающих конфиденциальную информацию и персональные данные.

Ключевые характеристики:

  • позволяет автоматизировать работу администраторов (администратора информационной безопасности (АИБ) и администратора виртуальной инфраструктуры (АВИ)) по конфигурированию и эксплуатации системы безопасности
  • способствует противодействию ошибкам и злоупотреблениям при управлении виртуальной инфраструктурой
  • облегчает приведение виртуальной инфраструктуры в соответствие с законодательством, отраслевыми стандартами и лучшим мировыми практиками
  • защита информации от утечек через специфические каналы среды виртуализации
  • разделение объектов инфраструктуры на логические группы и сферы администрирования через мандатное и ролевое управление доступом
  • усиленная аутентификация, разделение ролей и делегирование полномочий
  • управление и контроль над конфигурацией системы безопасности
  • автоматическое приведение инфраструктуры в соответствие с требованиями требованиям и постоянный контроль соответствия.

 

vGate реализует все необходимые процедуры защиты информации и разделение прав, а также контроль политик безопасности в виртуальной среде. Таким образом все задачи защиты информации и соотвествия требованиям законодательства могут быть решены на данный момент только с помощью vGate.

Шаблоны политик безопасности встроенные в vGate 2

 

Для осуществления приведения виртуализированных информационных систем в соответствие с PCI DSS, CIS VMware ESX Server 3.5 Benchmark и VMware Security Hardening Best Practice в продукт vGate 2 включены готовые шаблоны политик безопасности.

vGate также содержит отдельный бесплатный модуль - vGate Compliance Checker - для проверки виртуализированных систем на соотвествие

 

Шаблон vGate 

Политики для ESX сервера

  • Список разрешенных программ – на ESX сервере хранится список разрешенных программ, который может изменять по своему усмотрению администратор информационной безопасности (АИБ). Чтобы разрешить программу необходимо через консоль vGate добавить полный путь к исполняемому файлу программы. Чтобы запретить программу нужно точно так же добавить путь.
  • Запрет локального входа на ESX – список пользователей, которым разрешен локальный вход на сервер ESX
  • Запрет подключения USB устройств на ESX – запрет/разрешение на монтирование USB носителей
  • Правила для встроенного Firewall для ESX – настройка политик доступа к ESX
order

Политики для виртуальных машин

  • Список запрещенных устройств – доступных для монтирования в виртуальную машину.
  • Запрет клонирования виртуальных машин
  • Запрет создания snapshot виртуальных машин
  • Проверка целостности виртуальных машин – при запуске виртуальной машины происходит проверка целостности ВМ, если ВМ в выключенном состоянии была изменена, то
  • Очистка памяти виртуальной машины – после завершения ее работы

 

Шаблоны CIS 1.0, CIS 1.2, PCIDSSи VMware

CIS – Combat Intelligence System – стандарт защиты информации, который мало применяется в России.

PCI DSS - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации. Соответствие требованиям стандарта PCI DSS - одна из важных задач для большинства компаний финансовой сферы. В то же время именно эти компании активнее всего внедряют технологии виртуализации с целью сокращения издержек и оптимизации ИТ затрат

Данные стандарты безопасности в vGate реализованы набором политик, перечисленными ниже.

Require authentication for single-user mode - политика определенным образом настраивает конфигурационный файл /etc/inittab для обеспечения обязательной аутентификации в однопользовательском режиме (CIS v1.0 п. 10.4.2 и PCI DSS v1.2 п. 7.1)

Establish and maintain filesystem integrity - Политика ограничивает доступ к конфигурационным файлам служб (CIS v1.0 п. 10.2 и PCI DSS v1.2 п. 8.5 vGate 2)

Сheck if SSH Protocol option is set to 2 - Политика задает необходимость использования протокола SSH версии 2 (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)

Restrict root to system console - Политика модифицирует файл /etc/securetty для ограничения входа в систему под учетной записью root (CIS v1.0 п. 10.3.4 и PCI DSS v1.2 п. 7.1)

Disable usermounted removable file systems - Политика ограничивает набор устройств, разрешенных для подключения (CIS v1.0 п. 10.1.3)

Disable Copy & Paste operations between Guest OS and remote console - Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.2,CIS v.1.2 п. 1.8.3 и PCI DSS v1.2 п. 7.2)

Restrict at cron to authorized users -Политика ограничивает список пользователей, которым разрешено выполнять назначенные задания (команды cron и at) (CIS v1.0 п. 10.3.1 и PCI DSS v1.2 п. 7.2)

Restrict permissions on crontab files - политика ограничивает доступ к конфигурационным файлам планировщика заданий (CIS v1.0 п. 10.3.2 и PCI DSS v1.2 п. 7.2)

Set daemon umask - политика устанавливает ограниченные полномочия на файлы по умолчанию для демонов и root (CIS v1.0 п. 7.1 и PCI DSS v1.2 п. 2.2)

Do not create a default network for virtual machines - политика проверяет, что не используется одна сеть для Service Console и виртуальных машин (CIS v1.0 п. 4.1.2,CIS v1.2 п. 1.1.1 и PCI DSS v1.2 п. 7.1)

Use CHAP to Connect to iSCSI Devices - политика задает необходимость использования CHAP для проверки подлинности при подключении iSCSI-устройств (CIS v1.0 п. 5.6, CIS v1.2 п. 1.6.1 и PCI DSS v1.2 п. 7.2)

Rotate Log Files from Virtual Machines to the ESX server host - политика для каждой виртуальной машины настраивает следующие параметры логирования: log.rotateSize=100000,log.keepOld=10 (CIS v1.0 п. 9.1.1, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)

Remove unnecessary hardware devices - для каждой виртуальной машины устанавливается параметр <devicename>.allowGuestConnectionControl=false. После включения данной политики необходима перезагрузка ВМ (CIS v1.0 п. 5.3 и PCI DSS v1.2 п. 2.2)

Verify password complexity and longevity is set up to the policy - политика задает политики паролей ESX сервера (CIS v1.0 пп. 11.1.1–11.1.2, CIS v1.2 пп. 1.3.3– 1.3.4 и PCI DSS v1.2 п.2.1)

Verify network access control policy - политика сохраняет указанный диапазон IP-адресов в "default" блок файла /etc/xinetd.conf в виде: only_from = <net>/<num_bits> <net>/<num_bits>. В случае включения данной политики в списке обязательно должен присутствовать адрес 127.0.0.1. После включения данной политики необходим перезапуск службы xinetd (CIS v1.0 п. 10.3.3 и PCI DSS v1.2 п. 7.1)

Permissions on VMDK files - политика запрещает просмотр, изменение и выполнение vmdk-файлов (CIS v1.2 п. 1.9.2, п. 1.9.4)

Permissions on VMX files - политика запрещает изменение vmx-файлов (CIS v1.2 п. 1.9.1,п. 1.9.3.)

Protect against root filesystem filling up - политика проверяет, что на разделы /, /boot, /tmp, /home, swap, /var/core, /var/log или /var назначены отдельные дисковые партиции, что уменьшает вероятность нехватки места на рабочем разделе и соответственно предотвращает отказ в обслуживании (CIS v1.0 п. 4.1.1, CIS v1.2 п. 1.1.2 и PCI DSS v1.2 п. 2.2)

Add nodev and nosuid options to removable media - политика запрещает подключение съемных устройств (CIS v1.0 п. 10.1.2 и PCI DSS v1.2 п. 2.2)

Set grub password - политика назначает пароль на случай попытки изменить штатный способ за грузки (CIS v1.0 п. 10.4.1,CIS v1.2 и PCI DSS v1.2 п. 2.1)

Kernel Network parameter modifications - политика позволяет настроить сетевые параметры ядра Kernel. После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 8.1.1, CIS v1.2 и PCI DSS v1.2 п. 7.1)

Remove Guest Control of Hardware Devices - политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера (CIS v1.2 п. 1.8.1)

Prevent VMs from flooding ESX Server host - политика для каждой виртуальной машины устанавливает параметр: isolation.tools.setinfo.disable=true. После включения данной политики необходима перезагрузка виртуальных машин (CIS v1.0 п. 5.4, CIS v1.2 п. 1.8.2 и PCI DSS v1.2 п. 2.2)

Configure permissions on system log files - политика позволяет настроить права на файлы журнала событий ESX-сервера (CIS v1.0 п. 9.1.3 и PCI DSS v1.2 п. 8.5)

Maintain proper logging - политика позволяет настроить параметры логирования ESX-сервера (CIS v1.0 п. 9.1.2, CIS v1.2 п. 1.4.1 и PCI DSS v1.2 п. 10.7)

Create Warnings for Network and Physical Access - политика позволяет задать текст приглашения в консоли для сетевого и локального доступа (CIS v1.0 п. 12.1 и CIS v1.2 п. 1.7.1)

Add nodev option for appropriate partitions - политика позволяет ограничить возможность подключения устройств (CIS v1.0 п. 10.1.1 и PCI DSS v1.2 п. 2.2)

Configuring NTP - политика позволяет настроить синхронизацию времени (CIS v1.0 п.5.1, CIS v1.2 п. 1.2.4 и PCI DSS v1.2 п. 10.4)

Restrict access to password related files - политика позволяет ограничить доступ к файлам, содержащим пароли пользователей (CIS v1.0 п. 10.2.1 и PCI DSS v1.2 п. 2.1 и п. 8.5)

SNMP access is secure - политика ограничивает доступ к конфигурационным файлам протокола SNMP (CIS v1.0 п. 7.2, CIS v1.2 и PCI DSS v1.2 п. 2.1)

Сheck ssh_config to verify SSHD configuration is secure - политика позволяет настроить конфигурационный файл sshd_config (CIS v1.0 п. 3.6, CIS v1.2 п. 1.3.1 и PCI DSS v1.2 п. 2.3)

Restrict ability to remove files from world-writable directories - политика ограничивает возможность удаления файлов из перезаписываемых каталогов (CIS v1.0 п. 10.2.2 и PCI DSS v1.2 п. 8.5)

Limiting access to su - политика гарантирует, что привилегии суперпользователя разрешены только членам группы wheel (CIS v1.0 п. 10.4 и PCI DSS v1.2 п. 7.2)

Configure syslogd to send logs to a remote log - политика позволяет настроить ведение журнала событий ESX-сервера на удаленном сервере syslog (CIS v1.0 п. 9.1.5, CIS v1.2 п. 1.4.3 и PCI DSS v1.2 п. 10.2)

Verify there are no setuid/setgid enabled programs - политика гарантирует отсутствие программ с setuid или getuid флагами (CIS v1.0 п. 10.2.4 и PCI DSS v1.2 п. 8.5)

Verify that there are no unauthorized world-writable files - политика ограничивает право перезаписи файлов для всех пользователей (CIS v1.0 п. 10.2.3 и PCI DSS v1.2 п. 8.5)

Verify there are no files with undefined ownership - политика устанавливает в качестве владельца пользователя root и доступ только для чтения всем файлам, в атрибутах которых не определен владелец (CIS v1.0 п. 10.2.5)

Set virtual switches to reject linked layer manipulation and disable promiscuous mode - политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи). После включения данной политики необходима перезагрузка ESX-сервера (CIS v1.0 п. 6.1, п. 6.2, CIS v1.2 п. 1.5.1 и PCI DSS v1.2 п. 7.1)