Обзор vGate 4.9, межсетевого экрана для защиты жизненного цикла виртуальных машин

Обзор vGate 4.9, межсетевого экрана для защиты жизненного цикла виртуальных машин


Обзор vGate 4.9, межсетевого экрана для защиты жизненного цикла виртуальных машин

Межсетевой экран vGate предназначен для выполнения микросегментации и обеспечения достаточного уровня доверия в таких средах виртуализации, как VMware vSphere и платформы на базе KVM. Задачей системы является защита виртуальных машин на всех этапах их жизненного цикла. Рассмотрим функциональные возможности vGate версии 4.9.

Сертификат AM Test Lab

Номер сертификата: 459

Дата выдачи: 15.05.2024

Срок действия: 15.05.2029

Реестр сертифицированных продуктов »

  1. Введение
  2. Проблематика защиты виртуализации в России
  3. Функциональные возможности vGate
    1. 3.1. Контроль трафика
    2. 3.2. Мультиарендность и сегментация
    3. 3.3. Сертификация
    4. 3.4. Поддержка средств виртуализации
  4. Архитектура vGate
  5. Системные требования vGate
  6. Сценарии использования vGate
  7. Выводы

Введение

Виртуализация вычислительных мощностей, средств хранения данных и даже сетей не первый год в тренде у большинства компаний в мире. Это позволяет гибче управлять ресурсами, повышать операционную эффективность, снижать затраты на обслуживание серверов и обеспечивающую инфраструктуру. 

Согласно опросу зрителей эфира AM Live, посвящённого импортозамещению средств виртуализации, в 2024 году не менее 79 % респондентов использовали такие средства различного производства в своих компаниях.

 

Рисунок 1. Опрос респондентов относительно используемых средств виртуализации в 2024 г.

Опрос респондентов относительно используемых средств виртуализации в 2024 г.

 

В настоящее время на российском рынке по отношению к средствам виртуализации формируется несколько запросов. Во-первых, это импортозамещение, о чём в соответствующем опросе заявили 30 % респондентов. Во-вторых, развитие отечественных систем виртуализации требует создания совместимых с ними средств защиты.

 

Рисунок 2. Опрос респондентов о стратегии в отношении виртуализации в компании

Опрос респондентов о стратегии в отношении виртуализации в компании

 

Ранее мы выпускали обзоры vGate версий 4.7 и 4.5.

Проблематика защиты виртуализации в России

При решении вопроса о защите средств виртуализации в России их владельцы сталкиваются с рядом трудностей. 

Первая из них — проблема обеспечения доверия к используемым средствам защиты информации. С течением времени она, впрочем, решается — за счёт получения соответствующих сертификатов в регулирующих организациях. 

Вторая заключается в том, что в отечественных ЦОДах требуется защищать трафик между серверными сегментами. Для этого межсетевые экраны должны обладать соответствующей пропускной способностью — 40, 100, 200, 500 Гбит/с, но такого оборудования на отечественном рынке нет. Таким образом, проблема обеспечения безопасности трафика становится весьма острой.

Можно рассмотреть три варианта решения этой проблемы. 

Первый вариант — фермы из физических межсетевых экранов. Этот вариант финансово затратен и не гарантирует необходимой пропускной способности. К тому же физические межсетевые экраны не обладают «знаниями» о контексте виртуальной среды. В случае если виртуальная машина будет перемещена с одного гипервизора на другой, возможна проблема со внесением изменений в политики безопасности. 

Второй вариант — виртуальные межсетевые экраны, которые дешевле в обслуживании и управлении, однако при их использовании не решается проблема производительности и знания контекста виртуальной среды, плюс они обладают ограниченным количеством сетевых интерфейсов. 

Третий вариант — это межсетевой экран уровня гипервизора. Его использование позволяет фильтровать трафик между виртуальными машинами с учётом контекста виртуальной среды: IP-адресов виртуальных хостов, их названий и групп, в которых они состоят. Также решается проблема пропускной способности, т. к. фильтруется только тот трафик, который поступает на конкретную виртуальную машину.

Таким образом, межсетевой экран уровня гипервизора можно применять для защиты чувствительных к задержкам приложений, в случае необходимости интеграции с платформой управления виртуализацией и в иных сценариях, где необходимо учитывать контекст виртуальной среды.

К этой категории продуктов относится vGate от компании «Код Безопасности». Рассмотрим новые функциональные возможности версии 4.9.

Функциональные возможности vGate

Контроль трафика

Для контроля трафика, проходящего через виртуальную инфраструктуру, на каждый хост гипервизора устанавливается агент vGate. За счёт интеграции с гипервизором получается распределённый по инфраструктуре межсетевой экран, что решает проблему ограничений по пропускной способности.  

Политики безопасности файрвола уровня гипервизора привязаны к виртуальной машине, поэтому они не зависят от гипервизора, на котором находится защищаемый хост. Виртуальная машина может быть добавлена в защищаемый сегмент в момент создания, что позволяет быстро решить вопросы связанные с её защитой.

vGate фильтрует трафик на основе атрибутов виртуальной машины или на основе традиционных сетевых признаков (IP-адреса и порта). При этом функциональные возможности позволяют выделять эти виртуальные машины в отдельные сегменты — например, персональных данных, объектов КИИ и так далее — без воздействия на существующую сетевую топологию.

Мультиарендность и сегментация

В vGate есть поддержка мультиарендности (мультитенантности), которая позволяет реализовать межсетевое экранирование как услугу для облачного провайдера. При этом провайдеру не потребуется проводить масштабных работ в существующей сети клиента.

Также мультиарендность позволяет выделять отдельные сегменты для разных команд (например, разработки, тестирования и продуктива) на уровне виртуального межсетевого экрана таким образом, чтобы они ни при каких обстоятельствах не пересекались. 

Сертификация

vGate сертифицирован как межсетевой экран типа «Б» 4-го класса по 4-му уровню доверия, что позволяет использовать его для защиты ГИС до К1 включительно, ИСПДн до УЗ1 включительно, АС до класса 1Г включительно, АСУ ТП до К1 включительно и ЗОКИИ до 1-й категории включительно.

Поддержка средств виртуализации

vGate работает с разными средами виртуализации, в том числе отечественными, такими как «Альт», «Скала-Р» и другие. Интеграция с ALDPro позволяет осуществлять аутентификацию пользователей без клиента vGate. Поддержка платформ виртуализации SpaceVM и Utinet даёт возможность задавать права разграничения доступа, обеспечивать контроль старта виртуальных машин, выполнять затирание дисков при удалении виртуальных машин, а также осуществлять контроль целостности виртуальных хостов. 

В ближайших релизах вендор планирует добавить поддержку таких систем, как «Брест», «РЕД Виртуализация», ZVIRT, ROSA, VMmanager, HOSTVM.

Архитектура vGate

vGate состоит из сервера авторизации и ряда агентов — для хоста гипервизора, АРМ администратора виртуальной инфраструктуры, АРМ администратора безопасности и системы управления. Также важным элементом инфраструктуры является сервер мониторинга vGate, собирающий и коррелирующий информацию с агентов vGate и контролирующий состояние защищаемых систем. На виртуальные машины агенты не устанавливаются.

 

Рисунок 3. Архитектура vGate

Архитектура vGate

 

Системные требования vGate

Для корректной работы системы предъявляются следующие требования к хостам (табл. 1).

 

Таблица 1. Системные требования к хостам для установки vGate 4.9

Компонент

Требования

Сервер авторизации

  • Windows Server 2016 (64 бита), версия 1607 + обновление KB4103720; Windows Server 2019 (64 бита), версии 1809, 2109; Windows Server 2022 (21H2). 
  • Минимальная пропускная способность канала для сети резервирования — 10 Мбит/с.
  • Место на диске — 10 ГБ.
  • Дополнительно: драйверы для JaCarta или «Рутокен» (при использовании соответствующих персональных идентификаторов) 

Клиент vGate

  • Windows 10 (64 бита), версии 1809, 2109; Windows 11 (21H2); Windows Server 2016 (64 бита), версия 1607 + обновление KB4103720; Windows Server 2019 (64 бита), версии 1809, 2109; Windows Server 2022 (21H2); «Альт 8 СП Рабочая станция», версия ядра — 5.10.150.std.def.alt0.c9f.2.
  • Место на диске — 200 МБ. 
  • Дополнительно: драйверы для JaCarta или «Рутокен» (при использовании соответствующих персональных идентификаторов). Совместное использование JaCarta и «Рутокен» не предусмотрено 

Сервер мониторинга 

  • VMware vSphere 6.5 / 6.7 / 7.0.
  • Виртуальная машина, удовлетворяющая минимальным требованиям: процессор — 2 ядра, ОЗУ — 4 ГБ, диск — 20 ГБ.

Сервер анализа

  • Виртуальная машина, удовлетворяющая минимальным требованиям: процессор — 2 ядра на каждый сетевой интерфейс для анализа трафика, ОЗУ — 4 ГБ, диск — 20 ГБ.

 

Таблица 2. Совместимость функциональных возможностей vGate со средствами управления виртуализацией

Средство управления виртуализацией и ОС (версия ядра)

СЗИ

Межсетевой экран

VMware vSphere 6.5 / 6.7 / 7.0

+

+

«Скала-Р Управление 1.98» в составе платформы «Р-Виртуализация 7.0.13» (3.10.0-1062.12.1.rv7.131.10.1)

+

+

OpenNebula 5.10.5 в составе «Альт Сервер Виртуализации 10.1» (5.10.166-std-def-alt1)

+

+

OpenNebula 6.4.0.1 в составе Ubuntu 20.04.5 LTS (5.4.0-125-generic)

+

+

Proxmox 7.2 в составе «Альт Сервер Виртуализации 10.1» (5.10.166-std-def-alt1)

+

+

Proxmox 7.4-1 (5.15.102-1-pve) / 8.0-2 (6.2.16-3-pve)

+

+

Utinet Glovirt 2.1.1 (5.13.19-2-pve)

+

-

«РЕД Виртуализация 7.3» в составе РЕД ОС «Муром» 7.3.1 (5.15.35-3.el7virt.x86_64)

+

-

ROSA Virtualization 2.1 (4.18.0-305.e18.x86_64)

+

-

SpaceVM 6.2.0 (5.10.0-19-amd64) / 6.2.1 (5.10.0-19-amd64)

+

-

zVirt 3.0 в составе zVirt Node 3.3 (4.18.0-373.el8.x86_64)

+

-

zVirt 4.0 в составе zVirt Node 4.0 (4.18.0-448.el8.x86_64)

+

-

HostVM 4.4.8 в составе oVirt Node 4.4.8 (4.18.0-338.el8.x86_64)

+

-

 

Сценарии использования vGate

Стартовый раздел системы содержит перечень защищаемых серверов с их статусами. 

 

Рисунок 4. Стартовый раздел vGate

Стартовый раздел vGate

 

В меню можно задать настройки подключения к поддерживаемым средствам виртуализации.

 

Рисунок 5. Настройка подключения к серверам

Настройка подключения к серверам

 

Добавить новый сервер к списку защищаемых вполне просто. 

 

Рисунок 6. Добавление нового сервера к списку защищаемых

Добавление нового сервера к списку защищаемых

 

Настройка сегментирования виртуальных машин происходит в особом разделе. Необходимо отметить, что сегмент в vGate — это логическая сущность, а не сетевая.

 

Рисунок 7. Раздел сегментации в vGate

Раздел сегментации в vGate

 

Здесь же можно просмотреть все виртуальные машины, которые есть на серверах, где включён компонент фильтрации.

 

Рисунок 8. Просмотр виртуальных машин в сегменте

Просмотр виртуальных машин в сегменте

 

vGate ведёт журнал операций с детализацией выполненных действий. 

 

Рисунок 9. Возможность просмотра журнала операций в vGate

Возможность просмотра журнала операций в vGate

 

После создания виртуальной машины можно переходить к правилам фильтрации для неё. В правилах фильтрации можно оперировать IP- / MAC-адресами и их диапазонами, настроить автоматическое добавление в защищаемый сегмент по маске имени. 

 

Рисунок 10. Работа с правилами фильтрации в vGate

Работа с правилами фильтрации в vGate

 

При создании правил фильтрации источник может быть задан в классическом для межсетевого экрана представлении (IP- / MAC-адреса и их диапазоны) или выбран из списка созданных в vGate виртуальных машин и сегментов. 

 

Рисунок 11. Создание правил фильтрации в vGate

Создание правил фильтрации в vGate

 

Если виртуальная машина будет перемещена на другой гипервизор или у неё изменится IP-адрес, то правило будет продолжать действовать. 

При составлении правил фильтрации можно задавать службу, функционирующую на хосте и инициирующую соединения. После выбора службы порт и протокол подставляются автоматически.

 

Рисунок 12. Выбор службы в правиле фильтрации vGate

Выбор службы в правиле фильтрации vGate

 

Рисунок 13. Автоматическое определение порта и протокола в правиле фильтрации vGate

Автоматическое определение порта и протокола в правиле фильтрации vGate

 

Для контроля работоспособности правил vGate позволяет просматривать статистику по их использованию. Это позволяет контролировать их корректность и своевременно удалять неиспользуемые, снижая таким образом нагрузку на систему.

 

Рисунок 14. Возможность просмотра журнала операций в vGate

Возможность просмотра журнала операций в vGate

 

Выводы

Функциональные возможности vGate 4.9 позволяют реализовать сетевую защиту виртуальных машин без использования традиционных межсетевых сетевых экранов, что очень актуально в отечественных ЦОДах, где предъявляются высокие требования к отказоустойчивости сервисов и наблюдаются большие объёмы трафика, проходящего через внутренние сегменты. 

Сертификация в ФСТЭК России является основанием для доверия к системе. Запланированное расширение возможностей интеграции с отечественными комплексами виртуализации позволит компаниям организовать защиту на существующих гипервизорах без их замены.

Достоинства:

  • Логическое сегментирование виртуальных машин.
  • Интеграция с отечественными средствами виртуализации.
  • Работа на уровне гипервизора, без установки на защищаемые хосты. 

Недостатки:

  • Сервер vGate работает только под управлением Windows. Версию для Linux вендор планирует выпустить к концу 2024 года.
  • Малое количество поддерживаемых отечественных средств виртуализации с точки зрения функций межсетевого экранирования.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.