Обзор СЗИ ВИ Dallas Lock: защита виртуальной инфраструктуры VMware vCenter Server и VMware ESXi от несанкционированного доступа (НСД)

Обзор СЗИ ВИ Dallas Lock


Обзор СЗИ ВИ Dallas Lock

В обзоре рассмотрено СЗИ ВИ Dallas Lock (разработчик — компания «Конфидент») — освещены основные этапы работы с продуктом, варианты его использования в среде VMware для различных классов (уровней) защищенности за счет настройки правил фильтрации трафика, идентификации и аутентификации пользователей, контроля целостности и возможности аудита и регистрации событий, а также соответствие требованиям ФСТЭК России.

Сертификат AM Test Lab

Номер сертификата: 213

Дата выдачи: 29.12.2017

Срок действия: 29.12.2022

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура и системные требования СЗИ ВИ Dallas Lock
  3. Функциональные возможности СЗИ ВИ Dallas Lock
  4. Развертывание и настройка СЗИ ВИ Dallas Lock
    1. 4.1. Установка СБ ВИ Dallas Lock
    2. 4.2. Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализации
    3. 4.3. Установка агента СЗИ ВИ Dallas Lock
    4. 4.4. Добавление серверов виртуализации
    5. 4.5. Синхронизация настроек объектов виртуальной инфраструктуры
    6. 4.6. Настройка уведомлений администратора об несанкционированных действиях
  5. Работа с СЗИ ВИ Dallas Lock
    1. 5.1. Управление учетными записями в СЗИ ВИ Dallas Lock
    2. 5.2. Управление доступом к объектам виртуальной инфраструктуры
    3. 5.3. Контроль целостности
    4. 5.4. Аудит событий виртуальной инфраструктуры
  6. Выводы

 

Введение

Сокращая расходы на аппаратные средства, все чаще компании настраивают в своих дата-центрах виртуальную инфраструктуру. Используя одну производительную платформу, можно поддерживать несколько виртуальных машин с различными сервисами, обеспечив их отказоустойчивость и балансировку нагрузки. При этом значительно сокращается количество сотрудников, администрирующих большой пул физических серверов. Используя такое решение, руководству компании следует задуматься о защите своей виртуальной среды.

Для организаций, которые планируют использовать виртуальные серверы для обработки конфиденциальной информации, в том числе персональных данных, на российском рынке информационной безопасности появился новый продукт — система защиты информации в виртуальных инфраструктурах (СЗИ ВИ) Dallas Lock от компании «Конфидент». Разработчик позиционирует свое решение как систему для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere 5.5.

СЗИ ВИ Dallas Lock прошло сертификационные испытания на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ (сертификат соответствия ФСТЭК России № 3837 от 18.12.2017 г.). В соответствии с Приказом ФСТЭК России №17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и с Приказом ФСТЭК России №21 от 02 июня 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» СЗИ ВИ Dallas Lock можно использовать для создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно, для обеспечения 1 уровня защищенности персональных данных, в государственных информационных системах (ГИС) 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до 1 класса защищенности включительно.

СЗИ ВИ Dallas Lock реализует следующие защитные меры: идентификация и аутентификация субъектов и объектов доступа, управление доступом к объектам виртуальной инфраструктуры, регистрация событий безопасности, обеспечение доверенной загрузки серверов виртуализации, контроль целостности инфраструктуры виртуализации, резервирование данных, а также сегментирование виртуальной инфраструктуры.

 

Архитектура и системные требования СЗИ ВИ Dallas Lock

В архитектуре СЗИ ВИ Dallas Lock присутствуют три основных модуля, и в зависимости от компонента меняются требования к программно-техническому обеспечению:

Клиентская часть СЗИ Dallas Lock 8.0.

Обязательным условием во время развертывания инфраструктуры СЗИ ВИ Dallas Lock является установка клиентской части СЗИ Dallas Lock 8.0 на сервер виртуализации и сервер с установленным компонентом СБ ВИ Dallas Lock для предотвращения несанкционированного удаленного доступа к VMware vCenter.

Техническое средство с установленным VMware vCenter Server 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:

  • ОС: Microsoft Windows Server 2008 R2 64-bit (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008) или Microsoft Windows Server 2012 64-bit (Foundation, Essentials, Standard, Datacenter);
  • процессор: Intel или AMD с двумя логическими ядрами по 2 ГГц каждое;
  • оперативная память: минимум 12 Гб;
  • свободное место на диске: минимум 60 Гб;
  • сетевая карта.

Клиентский модуль поддерживает большой список популярных операционных систем:

  • Windows XP (SP3) (Professional, Home, Starter);
  • Windows Server 2003 (SP2) (Web, Standard, Enterprise, Datacenter);
  • Windows Server 2003 R2 (SP2) (Web, Standard, Enterprise, Datacenter);
  • Windows Vista (SP2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter);
  • Windows Server 2008 (SP2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008);
  • Windows 7 (SP1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter);
  • Windows Server 2008 R2 (SP1) (Foundation, Standard, Web, Enterprise, Datacenter);
  • Windows 8 (Core, Pro, Enterprise);
  • Windows Server 2012 (Foundation, Essentials, Standard, Datacenter);
  • Windows 8.1 (Core, Pro, Enterprise);
  • Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter);
  • Windows 10 (Enterprise, Education, Pro, Home).

Сервер безопасности виртуальной инфраструктуры (СБ ВИ) Dallas Lock, Консоль сервера безопасности (КСБ).

Данный модуль осуществляет управление сервером vCenter и доверенными клиентами управления vCenter.

Минимальная и оптимальная конфигурация компьютера для СБ ВИ Dallas Lock определяется требованиями к версии операционной системы Windows, на которую установлена клиентская часть СЗИ Dallas Lock 8.0, на сервере необходимо наличие сетевой карты и USB-порта для использования аппаратного идентификатора (RuToken, eToken), содержащего лицензионный ключ.

Агент СЗИ ВИ Dallas Lock.

Устанавливается на гипервизор VMware ESXi и является необходимым компонентом для защиты информации в виртуальной инфраструктуре. Агент СЗИ ВИ Dallas Lock разворачивается на гипервизоре VMware ESXi для выполнения части функций СЗИ на соответствующем гипервизоре.

Техническое средство с установленным гипервизором VMware ESXi 5.5 должно иметь следующий состав и характеристики программно-технического обеспечения:

  • процессор: Intel или ADM с двумя логическими ядрами по 2ГГц каждое, только x64;
  • оперативная память: минимум 8 Гб;
  • свободное место на диске: минимум 60 Гб;
  • сетевая карта.

 

Функциональные возможности СЗИ ВИ Dallas Lock

В инфраструктуре СЗИ ВИ Dallas Lock, на автоматизированных рабочих местах, где установлена клиентская часть СЗИ Dallas Lock 8.0, возможно применение шаблонов настроек под различные классы защищенности автоматизированных (информационных) систем в соответствии с российскими нормативно-правовыми актами. Администратор также может самостоятельно настроить систему под требуемый класс защищенности, используя следующие сертифицированные механизмы:

Управление паролями. Так как использование продукта подразумевает возможность дальнейшей аттестации объекта информатизации по требованиям безопасности, администратор домена безопасности может настроить параметры идентификации и аутентификации пользователей: минимальная длина пароля, необходимость наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и срок его действия. Помимо стандартного входа по паролю пользователям может быть назначен аппаратный идентификатор.

Контроль целостности. В СЗИ ВИ Dallas Lock реализована система контроля целостности следующих объектов — системных файлов VMware ESXi и конфигурационных файлов виртуальных машин — на основе расчета контрольной суммы по одному из выбранных алгоритмов: CRC32, MD5, ГОСТ Р 3411-2012.

Разграничение доступа. В СЗИ ВИ Dallas Lock можно настроить правила разграничения доступа к компонентам виртуальной инфраструктуры — к серверу виртуализации и СБ ВИ, а также правила разграничения доступа по дискреционному принципу к объектам файловой системы и устройствам в виртуальной среде (виртуализированное оборудование) — на СБ ВИ и на сервере виртуализации. Разграничение доступа к гипервизорам ESXi и к виртуальным машинам (файлам виртуальных машин) реализуется в пределах ролевой модели разграничения доступа vSphere 5.5. Также возможен контроль доступа к операциям создания, запуска, остановки, удаления виртуальных машин.

Межсетевой экран. Через интерфейс СЗИ ВИ можно производить настройку правил фильтрации сетевого трафика гипервизора VMware ESXi.

Доверенная загрузка. В случае, когда целостность конфигурационных файлов виртуальной машины нарушена, функциональность доверенной загрузки виртуальной машины предотвращает запуск гостевой операционной системы.

Регистрация событий. СЗИ ВИ Dallas Lock позволяет регистрировать и просматривать события аудита в трех журналах: журнал сервера безопасности виртуальной инфраструктуры, журнал сервера виртуализации и журнал гипервизора. Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку, экспортирования журналов в различные форматы и выполнение архивации журналов.

Сохранение параметров конфигурации. Существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры.

Удаленное администрирование. Возможно удаленное (сетевое) администрирование СБ ВИ с помощью консоли сервера безопасности.

 

Развертывание и настройка СЗИ ВИ Dallas Lock

Вендор предлагает следующий порядок развертывания СЗИ ВИ Dallas Lock:

  1. Установка клиента СЗИ Dallas Lock 8.0 на сервер, предназначенный для сервера безопасности виртуальной инфраструктуры.
  2. Установка СБ ВИ Dallas Lock.
  3. Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализации.
  4. Ввод сервера виртуализации в СБ ВИ.
  5. Установка агента СЗИ ВИ Dallas Lock на защищаемые гипервизоры.

Прежде чем приступить к установке модулей, стоит ознакомиться с подробным списком ограничений по эксплуатации продукта. Так, например, администратор информационной безопасности не может назначить следующие роли и права на других пользователей: создание пользователей, ролей, групп и привилегий на сервере виртуализации, администрирование через консоль сервера безопасности. Также стоит обратить внимание, что суперадминистратором автоматически становится пользователь, установивший систему защиты Dallas Lock, и в дальнейшем изменять параметры его учетной записи средствами Windows запрещается.

Установка СБ ВИ Dallas Lock

Основными требованиями для установки СБ ВИ Dallas Lock является наличие установленного клиента СЗИ Dallas Lock 8.0 на сервере, компьютер не должен быть контроллером домена. Лицензия на сервер безопасности предоставляется на ключе eToken (RuToken), поэтому перед установкой необходимо проверить наличие соответствующих драйверов для USB-ключей.

Установка клиента СЗИ Dallas Lock 8.0 на сервер виртуализации

В процессе установки клиентской части СЗИ Dallas Lock 8.0 необходимо будет указать номер лицензии и код технической поддержки (код технической поддержки не является обязательным, но действующий код является условием доступа к сертифицированным обновлениям и условием предоставления технической поддержки).

Для установки СЗИ ВИ ввод клиента Dallas Lock в домен безопасности не выполняется, если требуется, то загружается соответствующий файл конфигурации.

 

Рисунок 1. Выбор конфигурации клиента СЗИ ВИ Dallas Lock

Выбор конфигурации клиента СЗИ ВИ Dallas Lock

 

Основной инструмент администратора безопасности представлен на рис. 2. С помощью консоли сервера безопасности выполняется настройка и конфигурирование виртуальной инфраструктуры, установка агентов СЗИ ВИ Dallas Lock на гипервизоры, добавление серверов виртуализации, синхронизация настроек объектов виртуальной инфраструктуры с внутренней базой данных сервера безопасности, настройка уведомлений администратора об инцидентах безопасности.

 

Рисунок 2. Основной инструмент администратора безопасности — Консоль сервера безопасности СЗИ ВИ Dallas Lock

Основной инструмент администратора безопасности — Консоль сервера безопасности СЗИ ВИ Dallas Lock

Установка агента СЗИ ВИ Dallas Lock

Чтобы обеспечить защищенность виртуальной инфраструктуры, на каждый гипервизор требуется установить агент СЗИ ВИ Dallas Lock. В то время как сервер безопасности осуществляет управление сервером vCenter, агент СЗИ ВИ Dallas Lock выполняет функции средства защиты информации на соответствующем VMware ESXi. Важным моментом во время установки агента является сохранение учетных данных администратора гипервизора. Эти действия выполняются через консоль администратора безопасности.

 

Рисунок 3. Сохранение учетных данных гипервизора и установка агента СЗИ ВИ Dallas Lock

Сохранение учетных данных гипервизора и установка агента СЗИ ВИ Dallas Lock

Добавление серверов виртуализации

Ввести сервер виртуализации можно через консоль сервера безопасности (КСБ) или из оболочки администратора СЗИ Dallas Lock 8.0.

Для ввода сервера виртуализации с помощью КСБ потребуется указать следующие данные:

  • имя в сети или IP-адрес сервера виртуализации;
  • данные учетной записи администратора Dallas Lock 8.0 клиента;
  • учетные данные сервера виртуализации.

 

Рисунок 4. Добавление сервера виртуализации из Консоли администратора безопасности СЗИ ВИ Dallas Lock

Добавление сервера виртуализации из Консоли администратора безопасности СЗИ ВИ Dallas Lock

 

Для ввода в СБ ВИ из оболочки администратора необходимо выполнить настройку роли компьютера в виртуальной инфраструктуре.

 

Рисунок 5. Ввод в СБ ВИ из оболочки администратора

Ввод в СБ ВИ из оболочки администратора

Синхронизация настроек объектов виртуальной инфраструктуры

В процессе синхронизации выполняется сверка соответствия настройки объектов виртуальной инфраструктуры с внутренней базой данных СБ ВИ. Если злоумышленник внес изменения в настройки виртуальной инфраструктуры, во время синхронизации конфигурация вернется в прежнее состояние. При этом не затрачиваются ресурсы на синхронизацию данных, которые не подвергались изменению. Синхронизацию по команде администратора возможно выполнить для определенного сервера виртуализации или для всей виртуальной инфраструктуры, также у администратора есть возможность задать частоту периодической синхронизации и расписание синхронизации.

Настройка уведомлений администратора об несанкционированных действиях

Если была выполнена попытка нелегитимного доступа к объектам виртуальной инфраструктуры, информацию о событии можно найти в журнале сервера безопасности, а на самом сервере будет воспроизведен звуковой сигнал и отображено всплывающее сообщение на панели задач. Параметры настройки уведомлений представлены на рис.6.

 

Рисунок 6. Настройка уведомлений виртуальной инфраструктуры в СЗИ ВИ Dallas Lock

Настройка уведомлений виртуальной инфраструктуры в СЗИ ВИ Dallas Lock

 

Работа с СЗИ ВИ Dallas Lock

Как было отмечено ранее, решение является системой защиты информации в виртуальной инфраструктуре, сертифицированной на соответствие требованиям руководящих нормативных документов по защите информации. С этой целью администратору безопасности необходимо произвести настройку подсистем управления пользователями, управления доступом к объектам инфраструктуры, контроля целостности и аудита.

Управление учетными записями в СЗИ ВИ Dallas Lock

Редактирование учетных записей, созданных средствами Windows, системой защиты информации от несанкционированного доступа, синхронизированных из Active Directory и созданных на сервере виртуализации, производится в консоли администратора безопасности. Здесь настраиваются такие параметры, как тип учетной записи, число разрешенных сеансов и расписание работы.

Средствами СЗИ ВИ Dallas Lock возможно настроить политики входа на vCenter и гипервизор ESXi.

 

Рисунок 7. Изменение парольной политики в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Изменение парольной политики в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Управление доступом к объектам виртуальной инфраструктуры

Подсистема управления доступом к объектам виртуальной инфраструктуры позволяет гибко и оперативно настроить правила управления сервера виртуализации, управлять ролями и правами пользователей, выполнять настройку фильтрации трафика гипервизора.

 

Рисунок 8. Редактирование правил управления сервера виртуализации в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Редактирование правил управления сервера виртуализации в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Контроль целостности

Контроль целостности осуществляется для следующих объектов: системные файлы гипервизора ESXi, конфигурационные файлы ВМ. Настройка параметров контроля целостности выполняется с помощью Консоли сервера безопасности СЗИ ВИ Dallas Lock. Контроль целостности для сервера виртуализации vCenter осуществляется средствами СЗИ Dallas Lock.

 

Рисунок 9. Редактирование правил контроля целостности в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Редактирование правил контроля целостности в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Аудит событий виртуальной инфраструктуры

События безопасности регистрируются на всех гипервизорах, на которых установлен агент. В СЗИ ВИ Dallas Lock поддерживается аудит следующих типов событий безопасности:

  • Сведения о действия агента, который управляет функциями безопасности на гипервизоре ESXi.
  • Сведения о действиях агента, который взаимодействует с сервером виртуализации.
  • Сведения о действиях агента, который управляет и конфигурирует гипервизор ESXi и виртуальные машины.
  • События и записи всех введенных команд в ESXi Shell.
  • События, связанные с подключаемыми USB-устройствами к гипервизору.
  • События, связанные с аутентификацией на гипервизоре.
  • Системные события.
  • События, связанные с виртуальными машинами и гипервизорами ESXi.

Полученные события группируются в зависимости от типов и отображаются в трех журналах.

 

Рисунок 10. Настройка параметров аудита гипервизоров в Консоли сервера безопасности СЗИ ВИ Dallas Lock

Настройка параметров аудита гипервизоров в Консоли сервера безопасности СЗИ ВИ Dallas Lock

 

Выводы

На сегодняшний день для обработки информации в государственных информационных системах, информационных системах персональных данных или в автоматизированных системах управления производственными и технологическими процессами организациям требуется выполнять требования регуляторов — Приказы №17, №21 и №31 ФСТЭК России. Помимо уже существующих средств защиты виртуальной инфраструктуры, на отечественном рынке ИБ появился новый продукт — СЗИ ВИ Dallas Lock, который уже сейчас можно смело назвать достойным конкурентом существующих решений для обеспечения 1 уровня защищенности персональных данных, защиты информации в государственных информационных системах 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами до 1 класса защищенности включительно, создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно.

Процесс установки прост и интуитивно понятен. Администратору безопасности предоставляется возможность управления паролями, доступом к объектам виртуальной инфраструктуры, настройками брандмауэра, подсистемой контроля целостности.

Все продукты вендора совместимы между собой и позволяют выстроить комплексное решение для защиты виртуальной и физической инфраструктуры.

Несмотря на то, что в текущей версии поддерживается только ограниченный список гипервизоров, а именно VMware vCenter Server 5.5 и VMware ESXi 5.5, компания «Конфидент» планирует поддержку VMware ESXi версии 6.0, 6.5 и Microsoft Hyper-V в рамках плановых обновлений. Однако разработчики решений в сфере виртуализации не стоят на месте, и некоторые российские компании уже переходят на решение VMware NSX — платформу виртуализации сети для программного центра обработки данных. В отличие от конкурентов, СЗИ ВИ Dallas Lock на текущий момент не поддерживает эту платформу.

Достоинства:

  • Наличие сертификата ФСТЭК России на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ.
  • Совместимость со всей продуктовой линейкой Dallas Lock для построения комплексного решения по защите физической и виртуальной инфраструктуры.
  • Возможность управления политиками безопасности нескольких серверов виртуализации из единой консоли.
  • Простота развертывания, настройки и администрирования.

 Недостатки:

  • Малое количество поддерживаемых гипервизоров на сегодняшний день (VMware vCenter Server 5.5 и VMware ESXi 5.5).
  • Отсутствие поддержки платформы VMware NSX.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.