Віртуалізація - Виконання вимог наказів ФСТЕК по захисту інформації і персональних даних в державних інформаційних системах за допомогою vGate R2.

Виконання вимог наказів ФСТЕК по захисту інформації і персональних даних в державних інформаційних системах за допомогою vGate R2.
Автор: Олександр Самойленко
Дата: 25/08/2015

Багатьом з вас знайоме засіб vGate R2 , Яке дозволяє захистити віртуальну інфраструктуру підприємства від несанкціонованого доступу, а також правильно налаштувати її на базі політик. Нещодавно ми писали про можливості vGate R2 версії 2.8 , А в цій замітці коротко розповімо про захист даних в державних інформаційних системах.

Як деякі з вас знають, держава висуває вимоги до захисту інформації (як складової державну таємницю, так і не становить), що міститься в державних інформаційних системах.

Російське законодавство також встановлює ряд обов'язкових вимог щодо захисту інформації в середовищі віртуалізації, дотримання яких регулюється трьома нормативними актами:

Ви можете переконатися в цьому самостійно, відкривши будь-який з цих документів і пошукавши по слову "віртуалізації":

Всі 3 керівних документа вимагають захисту середовища віртуалізації, не тільки в середовищах обробки персональних даних або критично важливих об'єктах, але і в будь-якій державній організації.

Наведемо фрагменти з документа про основні заходи, які державна організація зобов'язана вжити для захисту інформації у віртуальному середовищі:

Наведемо фрагменти з документа про основні заходи, які державна організація зобов'язана вжити для захисту інформації у віртуальному середовищі:

Заходи щодо захисту середовища віртуалізації повинні виключати несанкціонований доступ до інформації, що обробляється в віртуальної інфраструктури, і до компонентів віртуальної інфраструктури, а також вплив на інформацію та компоненти, в тому числі до засобів управління віртуальною інфраструктурою, монітора віртуальних машин (Гіпервізор), системи зберігання даних (включаючи систему зберігання образів віртуальної інфраструктури), мережі передачі даних через елементи віртуальної або фізичної інфраструктури, гостьовим операційним системам, ви туальной машинам (контейнерів), системі і мережі реплікації, термінальним і віртуальним пристроїв, а також системі резервного копіювання та створюваним нею копій.

Заходи щодо захисту середовища віртуалізації повинні виключати несанкціонований доступ до інформації, що обробляється в віртуальної інфраструктури, і до компонентів віртуальної інфраструктури, а також вплив на інформацію та компоненти, в тому числі до засобів управління віртуальною інфраструктурою, монітора віртуальних машин (Гіпервізор), системи зберігання даних (включаючи систему зберігання образів віртуальної інфраструктури), мережі передачі даних через елементи віртуальної або фізичної інфраструктури, гостьовим операційним системам, ви  туальной машинам (контейнерів), системі і мережі реплікації, термінальним і віртуальним пристроїв, а також системі резервного копіювання та створюваним нею копій

У наказах ФСТЕК Росії регламентовано виконання організаційно-технічних заходів захисту середовища віртуалізації, використовуваної при обробці інформації в автоматизованих системах управління виробничими і технологічними процесами, державних інформаційних системах і системах персональних даних. У зв'язку з цим все організації, які є операторами цих інформаційних систем і застосовують технології віртуалізації, зобов'язані виконати перераховані заходи захисту і привести свою обчислювальну інфраструктуру у відповідність до вимог регулюючих органів.

Застосування засобів комплексного захисту платформ віртуалізації компанії "Код Безпеки" дозволить вам виконати найжорсткіші вимоги законодавства для ІСПДн, ГІС та АСУ ТП, а також провести обов'язкову атестацію державних інформаційних систем і систем управління виробництвом.

Адже компанія Код Безпеки працює безпосередньо з ФСТЕК (див. сертифікати продукту vGate R2 ) І постійно підтримує актуальність виконання вимог організації як на рівні політик по конфігурації віртуального середовища, так і на рівні засобів захисту від несанкціонованого доступу і захисту від внутрішніх і зовнішніх загроз.

Давайте детально розглянемо, що, виходячи з текстів наказів, вимагає зробити ФСТЕК. По-перше, від нас вимагають забезпечити захист від несанкціонованого доступу для наступних компонентів:

  • До інформації, що обробляється в ВМ
  • До гостьовим ОС
  • До хост-серверів (Гіпервізор)
  • До засобів управління платформою віртуалізації
  • До систем зберігання
  • До мережі віртуальних машин і мережі реплікації
  • До віртуальних пристроїв
  • До резервних копій

По-друге, є наступна таблиця вимог до інформаційної системи (ІС) в залежності від класу її захищеності (в колонках зліва-направо йдуть класи захищеності від К4 до К1):

XI. Захист середовища віртуалізації (ЗСВ)

ЗСВ.1

Ідентифікація та аутентифікація суб'єктів доступу і об'єктів доступу в віртуальної інфраструктури, в тому числі адміністраторів управління коштами віртуалізації

+

+

+

+

ЗСВ.2

Управління доступом суб'єктів доступу до об'єктів доступу в віртуальної інфраструктури, в тому числі всередині віртуальних машин

+

+

+

+

ЗСВ.3

Реєстрація подій безпеки у віртуальному інфраструктурі

+

+

+

ЗСВ.4

Управління (фільтрація, маршрутизація, контроль з'єднання, односпрямована передача) потоками інформації між компонентами віртуальної інфраструктури, а також по периметру віртуальної інфраструктури

+

+

ЗСВ.5

Довірена завантаження серверів віртуалізації, віртуальної машини (контейнера), серверів управління виртуализацией

ЗСВ.6

Управління переміщенням віртуальних машин (контейнерів) і оброблюваних на них даних

+

+

ЗСВ.7

Контроль цілісності віртуальної інфраструктури та її конфігурацій

+

+

ЗСВ.8

Резервне копіювання даних, резервування технічних засобів, програмного забезпечення віртуальної інфраструктури, а також каналів зв'язку всередині віртуальної інфраструктури

+

+

ЗСВ.9

Реалізація та управління антивірусним захистом у віртуальній інфраструктурі

+

+

+

ЗСВ.10

Розбиття віртуальної інфраструктури на сегменти (сегментування віртуальної інфраструктури) для обробки інформації користувачем і (або) групою користувачів

+

+

Забезпечити виконання більшості цих вимог дозволяють наступні можливості vGate R2 :

  • Посилена аутентифікація адміністраторів віртуальної інфраструктури та адміністраторів інформаційної безпеки (ЗСВ.1)

У vGate реалізована модель поділу прав на управління віртуальною інфраструктурою і на управління безпекою. Таким чином, виділяються дві основні ролі - це адміністратор віртуальної інфраструктури (АВІ) і адміністратор інформаційної безпеки (АІБ).

Доступ на управління віртуальною інфраструктурою або параметрами безпеки надається тільки аутентифицироваться користувачам. Причому процедура аутентифікації користувачів і комп'ютерів (робочих місць АІБ і АВИ) здійснюється за протоколами, нечутливим до спроб перехоплення паролів і атакам типу Man in the Middle.

  • Захист коштів управління віртуальною інфраструктурою від несанкціонованого доступу (ЗСВ.1)

Для забезпечення захисту коштів управління віртуальною інфраструктурою застосовується функціонал дискреційного розмежування доступу до об'єктів, які розміщені всередині захищається периметра. Правила розмежування доступу працюють на основі заданих ACL і параметрів з'єднання (протоколів, портів). Мережевий трафік між аутентифицироваться суб'єктами і захищеними об'єктами підписується, тим самим забезпечується захист від атак типу Man in the Middle в процесі мережевої взаємодії.

  • Мандатний управління доступом (ЗСВ.2 і ЗСВ.10)

У vGate реалізований мандатний принцип контролю доступу на основі міток конфіденційності. При виконанні ряду стандартних операцій з об'єктами віртуальної інфраструктури здійснюється порівняння міток безпеки облікових записів адміністратора інформаційної безпеки і ресурсів. Завдяки цьому можливе створення логічних груп і сфер адміністрування через бізнес - категоризацію, наприклад, фінансовий і комерційний відділи і т.д.

Мітки безпеки призначаються:

  • захищається хост-серверів
  • адміністраторам
  • віртуальним машинам
  • сховищ (локальним, мережевим)
  • віртуальним мережам
  • віртуальним комутаторів і мережевих адаптерів

Існує можливість відключення контролю мандатної доступу для певних об'єктів з консолі управління.

  • Контроль доступу адміністраторів віртуальної інфраструктури до файлів віртуальних машин (ЗСВ.2)

При роботі в незахищеною віртуальному середовищі адміністратор, як правило, має доступ до даних віртуальних машин, скачати файл віртуальної машини на локальний диск свого комп'ютера і досліджувати його вміст. У vGate реалізований механізм, що дозволяє контролювати доступ адміністраторів до файлів віртуальних машин.

  • Реєстрація подій, пов'язаних з інформаційною безпекою (ЗСВ.3)

vGate забезпечує розширену реєстрацію подій безпеки для всіх захищаються комп'ютерів, в тому числі і комп'ютерів, що належать до засобів управління віртуальною інфраструктурою. Вся отримана інформація заноситься в журнал подій безпеки і зберігається на сервері авторизації. В процесі аудиту можна здійснювати збір та перегляд подій даного журналу.

  • Виконання вимоги ЗСВ.4 забезпечують корпоративні мережеві екрани, в тому числі спеціалізовані продукти для віртуальних інфраструктур, такі як VMware NSX .
  • Контроль цілісності і довірена завантаження віртуальних машин (ЗСВ.5 і ЗСВ.7)

У vGate існує політика довіреної завантаження віртуальних машин. Є можливість гранулярності налаштувати параметри, які будуть контролюватися, а також функціонал, що дозволяє зробити вибір - дозволити або запустити віртуальну машину при порушенні цілісності конфігурації.

Також є можливість контролю цілісності переліку знімків віртуальної машини. Після призначення політики довіреної завантаження при старті віртуальної машини, а також по тайм-ауту буде проводитися перевірка цілісності. При змінах віртуальної машини відбувається оповіщення адміністратора інформаційної безпеки, який може узгодити або відхилити зміни. При відхиленні змін настройки віртуальної машини будуть повернуті в той стан, в якому вони були при призначенні політики.

  • Виконання вимоги ЗСВ.6 забезпечують засоби управління середовищем віртуалізації (наприклад, VMware vCenter), а також засоби віртуалізації, контролю та аналізу мережевого взаємодії (наприклад, VMware NSX , Який прийняв у себе функції продукту vCenter Networking and Security ).
  • Резервування сервера авторизації (ЗСВ.8)

З метою підвищення відмовостійкості рекомендується використовувати конфігурацію vGate c резервним сервером авторизації за принципом active-passive. Один сервер авторизації (основний) виконує всі функції по управлінню vGate і авторизації адміністраторів віртуальної інфраструктури, другий сервер авторизації (резервний) є пасивним.

  • Виконання вимоги ЗСВ.9 забезпечують засоби антивірусного захисту, розроблені спеціально для віртуального середовища. наприклад, Kaspersky Security for Virtualization .

Крім того, гостударственние організації, обробні персональні дані (ПДН) у віртуальній інфраструктурі, повинні також виконувати наказ ФСТЕК номер 21 " Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних ".

vGate R2 має всі необхідні функції для захисту ПДН, про що ми вже писали ось тут .

vGate R2 має всі необхідні функції для захисту ПДН, про що ми вже писали   ось тут

У цій таблиці дуже багато вимог, і не всі вони покриваються продуктом vGate R2, але виконання їх усіх забезпечується за допомогою основної продуктової лінійки компанії Код Безпеки. vGate R2 забезпечує все те, що стосується саме віртуального середовища та засобів управління нею.

Демо-версії vGate для Hyper-V або VMware vSphere можна безкоштовно скачати за цим посиланням .