Обзор vGate 4.5, платформы защиты виртуальных сред

Обзор vGate 4.5, платформы защиты виртуальных сред


Обзор vGate 4.5, платформы защиты виртуальных сред

vGate 4.5 — мощная отечественная платформа контурной защиты комплекса виртуальных сред. Автоматизирует рутинные процессы, обеспечивает гранулированный контроль доступа как извне, так и внутри виртуальной инфраструктуры, помогает соответствовать текущим требованиям регулятора и проводить расследования инцидентов в безопасности на базе богатой отчётности.

Сертификат AM Test Lab

Номер сертификата: 391

Дата выдачи: 22.08.2022

Срок действия: 22.08.2027

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности vGate 4.5
    1. 2.1. Ключевые нововведения
    2. 2.2. Общие возможности vGate 4.5
      1. 2.2.1. Межсетевой экран
      2. 2.2.2. Аутентификация администратора
      3. 2.2.3. Контроль целостности, защита виртуальных машин и гипервизора
      4. 2.2.4. Мониторинг событий в настоящем времени
      5. 2.2.5. Метки и шаблоны политик безопасности
      6. 2.2.6. Отказоустойчивость
      7. 2.2.7. Прочие возможности
  3. Архитектура vGate 4.5
  4. Системные требования vGate 4.5
  5. Сценарии использования vGate 4.5
  6. Выводы

Введение

Применение технологий виртуализации в современных ИТ-инфраструктурах — неотъемлемый шаг эволюции ИТ-отрасли. Создавая абстракции вычислительных мощностей изолированно от физического оборудования, виртуальные среды, к примеру, лежат в основе всех актуальных облачных сервисов.

Технологии виртуализации постоянно развиваются и обретают новые возможности и преимущества. Отметим наиболее значимые:

  • Масштабирование. Устраняет дефицит классической ИТ-инфраструктуры, которая базируется непосредственно на физическом оборудовании. Позволяет как наращивать мощности, так и снижать их во время отсутствия нагрузки.
  • Экономия. Добавление физического сервера в инфраструктуру требует дополнительных финансовых и временных расходов как на ввод в эксплуатацию, так и на последующее обслуживание, что параллельно увеличивает время простоя.
  • Оптимизация. Гипервизор (пул виртуализированных ресурсов) позволяет равномерно распределять нагрузку между виртуальными машинами, в случае. когда по тем или иным причинам один сервер перегружен, а другой не испытывает нагрузки.
  • Отказоустойчивость. Кластеризация защищает от перебоев в работе приложений, потери данных и т. д., в случае выхода из строя одного сервера в работу включается другой.

Распространение технологий виртуализации постепенно вытесняет серверное «железо». Всё чаще встречаются гибридные инфраструктуры, когда компании делают акцент на облачной модели, а локальная инфраструктура используется как резервная.

Стратегическое развитие сферы ИТ сфокусировано на виртуализации, что в целом ускоряет ИТ-процессы и придаёт им гибкость, экономит финансы и трудозатраты как бизнеса, так и поставщиков услуг, благоприятно сказывается на разработке приложений и т. д.

Новая концепция в организации инфраструктуры открывает и новые риски, связанные с обеспечением безопасности виртуальных сред. Злоумышленник, перехвативший управление гипервизором, администратор, который зачастую имеет глобальный доступ к управлению виртуальной средой, вредоносный код — всё это является потенциальными угрозами безопасности, к которым необходимо быть подготовленным.

В то время как защита виртуальной машины от вредоносного кода может быть обеспечена специализированным решением, борьба с нежелательными действиями инсайдера (администратора), который может скрыть свои следы, требует более комплексного подхода.

Продукт vGate появился на рынке в 2009 году после окончательного формирования компании «Код Безопасности», когда заказчики в целях выполнения требований регулятора акцентировали внимание на возможности реализовать механизмы защиты от несанкционированного доступа не только на уровне виртуальных машин, но и на уровне среды гипервизора.

Базовая задача и отличительная особенность платформы vGate — комплексный контроль за действиями администраторов виртуальной среды с максимально подробным и прозрачным аудитом.

 

Рисунок 1. Концепция платформы vGate

Концепция платформы vGate

 

Вендор отмечает повышение спроса на vGate в контексте развития автоматизации управления средами виртуализации, что в целом отвечает текущим потребностям автоматизации ИТ-инфраструктур и, как следствие, ИБ-продуктов. Например, крупное предприятие имеет десятки тысяч рабочих станций и 100 системных администраторов. Без автоматизации крайне трудно достичь необходимой продуктивности работы специалистов и обеспечить надлежащую защиту.

В контексте импортозамещения заказчики всё чаще думают о миграции на отечественные продукты. И здесь вендор подчёркивает ряд сложностей: современная технология виртуализации формировалась последние 20–25 лет, а российские решения на базе KVM на данный момент значительно отстают по функциональным возможностям, показателям производительности, надёжности и т. д. — в сравнении, к примеру, с мощными возможностями ПО для виртуализации от VMware.

«Код Безопасности» выделил на отечественном рынке нескольких игроков, которые имеют потенциал развития к 2025 году: Astra Linux, «Скала^р», ALT Linux. Поддержка этих платформ уже включена в следующий релиз vGate 4.6, также в будущей версии vGate появится поддержка ROSA Linux и Ubuntu. В целом, по данным свежего опроса вендора, 20 % заказчиков не собираются мигрировать с VMware на что-то другое.

Мы уже публиковали подробный обзор vGate 4.1 на сайте Anti-Malware.ru, а также делали обзоры предыдущих релизов vGate 2.5 и vGate R2. Продукт постоянно эволюционирует и развивается; отметим новые функциональные возможности vGate 4.5.

Функциональные возможности vGate 4.5

Ключевые нововведения

  1. Веб-консоль. Акцент на переход от консоли управления на базе программы-приложения под Windows в сторону веб-консоли. Это значительно расширяет возможности эксплуатации продукта, так как нет привязки к операционной системе АРМ администратора. Также веб-технологии обеспечивают больше возможностей для межсетевого экрана и интерактивных виджетов. В следующей версии vGate 4.6 практически все функции будут перенесены в веб-панель. Установка vGate также значительно упрощается при таком подходе.
  2. Работа с VMware Cloud Director. Полноценная поддержка контроля критически важных операций на портале VMware Cloud Director, совместимость с которым была реализована в предыдущих версиях. Обеспечивается мандатный механизм разграничения доступа, метки (иерархические и неиерархические) назначаются как организациям, так и администраторам провайдера услуг виртуализации, что позволяет vGate запрещать или разрешать операции облачной платформы.
  3. Сертификация межсетевого экрана. Для прохождения сертификации ФСТЭК России и получения статуса межсетевого экрана реализованные функции сегментирования vGate были дополнены в версии 4.5: обеспечен контроль состояния соединений (Stateful Packet Inspection) посредством веб-консоли, а также реализован контроль прикладных протоколов.
  4. Безагентный контроль. По результатам текущего исследования компании «Код Безопасности» (готовится вендором к публикации) выяснилось, что заказчику важно исключить любое влияние на работу среды виртуализации и обеспечить максимальную стабильность работы СЗИ. VMware vCenter Server (версии 7.01 и выше) теперь не требует установки агента vGate для контроля операций, что отвечает политике VMware, которая не допускает установку стороннего ПО на сервер и отказывает в техподдержке в случае обнаружения постороннего приложения. Это же нововведение ускоряет развёртывание платформы в целом.
  5. Веб-аутентификация администратора. В дополнение к приложению для безопасной аутентификации администратора vGate под ОС Windows в vGate 4.5 реализован механизм доступа администратора к виртуальной инфраструктуре через веб-интерфейс браузера, что исключает привязку к операционной системе АРМ администратора.
  6. Упрощённый контроль работы с логами. Быстрое управление уровнем логирования теперь производится из веб-консоли. Нововведение было реализовано по просьбе заказчиков и специалистов службы поддержки вендора, так как рутинные операции для сбора необходимых логов занимали много времени у обеих сторон.

Отметим, что межсетевой экран vGate 4.5 уровня гипервизора закрывает ряд проблем в следующих областях:

  • Отказоустойчивость. Текущие механизмы отказоустойчивости файрволов для работы кластеров сформированы для «железа», но в виртуальной среде сетевой экран имеет ограничения, нередко приводящие к конфликтам внутри периметра сети из-за неправильной конфигурации. vGate 4.5 обеспечивает стабильную работу файрвола на уровне виртуальных машин.
  • Влияние и зависимость от защищаемой сети. Среда виртуализации формирует динамичную и гибкую сетевую инфраструктуру. При развёртывании файрвола на уровне ВМ зачастую приходится менять топологию сети. vGate никак не участвует в работе защищаемой сети, что исключает потенциальные проблемы в случае ошибок сетевой конфигурации. К примеру, ВМ может быть перенесена на другой хост или в другую сеть, конфигурация vGate-файрвола мигрирует вместе с ВМ и применяется автоматически.
  • Идентификаторы виртуальных машин. Файрвол в виде приложения ВМ зачастую работает только с IP-адресами, тогда как в виртуальной среде IP-адрес не является ключевым идентификатором. Существуют риски, что IP-адрес может быть подделан. vGate работает в том числе с именами, понимает группы и объединения виртуальных машин по тому или иному признаку.

Рисунок 2. Пример схемы сегментации виртуальной сети с помощью vGate 4.5

Пример схемы сегментации виртуальной сети с помощью vGate 4.5

 

Общие возможности vGate 4.5

Все функции платформы из нашего предыдущего обзора vGate 4.1 сохранились, некоторые были оптимизированы; отметим все актуальные основные возможности.

Межсетевой экран

Позволяет организовать централизованное управление правилами фильтрации во всей виртуальной инфраструктуре.

 

Рисунок 3. Пример списка правил фильтрации трафика в vGate

Пример списка правил фильтрации трафика в vGate

 

Правила фильтрации настраиваются гранулярно без установки агента на гостевую ОС. Новые машины могут автоматически добавляться в соответствующие сегменты сети.

Также отметим, что оперирование происходит на уровне ВМ и их групп, реализованы механизмы безопасной миграции виртуальных машин, не требуются дополнительные ВМ для обработки пакетов. При этом отсутствует единая точка отказа, реализован подробный аудит запрещённых / разрешённых пакетов, не требуется наличие NSX / vShield, нет требований к редакциям платформ.

Также с помощью vNETWORK происходит управление сегментацией виртуальной инфраструктуры.

 

Рисунок 4. Пример схемы сегментации виртуальной среды в vGate 4.5

Пример схемы сегментации виртуальной среды в vGate 4.5

 

В vGate обеспечена возможность выделять группы ВМ (сегменты). Все операции поддерживаются как на уровне конкретной ВМ, так и на уровне сегментов. Добавление ВМ в сегмент может происходить в автоматическом режиме. В случае миграции ВМ правила фильтрации сохраняются, что обеспечивает более глубокую интеграцию со средой виртуализации и повышает безопасность.

Аутентификация администратора

vGate поддерживает встроенные роли: администратор ВМ, администратор сети, администратор СХД, пользователь ВМ, аудитор.

Реализована безопасная аутентификация посредством JaCarta, «Рутокена», а также веб-аутентификация без установки агента, как отмечалось выше.

vGate имеет возможность установки агента безопасной аутентификации на следующие ОС:

  • Windows 8.1 x86, x64;
  • Windows 10;
  • Windows Server 2012 R2 / 2016 / 2019.

Контроль целостности, защита виртуальных машин и гипервизора

Целостность компонентов ВМ обеспечивается контролем процессора, ОЗУ, подключённых дисков, сетевых интерфейсов и т. д. При изменении конфигурации ВМ применяется принцип двух персон: изменение не вступит в силу, пока не будет получено подтверждение от администратора службы ИБ.

Защита организована как запрет на создание снапшотов, клонирования ВМ. Также контролируются все подключаемые устройства, доступ к консоли ВМ и скачивание файлов. Поддерживается гарантированное удаление информации из хранилища.

Отметим, что защита гипервизора включает в себя и другие возможности, такие как активация режима блокировки хоста, запрет подключения USB-устройств к хосту, запрет SSH-подключения к хосту, настройка журналирования ВМ, контроль используемых на хосте приложений и контроль разделения управляющей и «рабочей» сетей.

Мониторинг событий в настоящем времени

vGate собирает, нормализует и фильтрует данные о событиях, происходящих в виртуальной инфраструктуре, в режиме реального времени.

 

Рисунок 5. Мониторинг событий в режиме настоящего времени в vGate 4.5

Мониторинг событий в режиме настоящего времени в vGate 4.5

 

В контексте возможностей мониторинга важно отметить, что обеспечена работа в гетерогенных виртуальных инфраструктурах. Используются встроенные шаблоны правил корреляции, выполняется корреляция событий, в том числе и с событиями самого vGate, а также контроль осуществляемых в обход сервера авторизации vGate действий. Имеется возможность создания отчётов в обновлённом веб-интерфейсе; интерактивные виджеты дают возможность быстро вызвать события аудита с заданной фильтрацией щелчком по диаграмме.

Метки и шаблоны политик безопасности

Политики безопасности в vGate объединяются в шаблоны (встроенные или пользовательские). Можно применить шаблоны политик к серверу виртуализации, виртуальной машине, физическому сетевому интерфейсу или группе объектов.

Приведём примеры встроенных шаблонов стандартизированных политик безопасности:

  • VMware vSphere Security Configuration Guide.
  • ГОСТ 57580.1-2017 «Защита информации финансовых организаций».
  • Обеспечение безопасности значимых объектов КИИ (приказ ФСТЭК России № 239).
  • Приказ ФСТЭК России № 21 (ИСПДн).
  • Приказ ФСТЭК России № 17 (ГИС).
  • ГОСТ Р 56938-2016.
  • РД АС.
  • СТО БР ИББС.
  • PCI DSS.
  • CIS Benchmarks.
  • VMware vSphere Security Conf.

Метки (неиерархические — категории конфиденциальности, иерархические — уровни конфиденциальности) и правила могут назначаться группам пользователей в соответствии со структурой Microsoft Active Directory.

Метки могут применяться к серверу виртуализации, хранилищу, виртуальной машине, физическому сетевому интерфейсу, виртуальной сети, пользователю, а также к организации VMware Cloud Director.

Отказоустойчивость

Обеспечивается поддержкой VMware vCenter SRM, vCSA HA, vCenter Linked Mode. Отметим возможность кластеризировать сервер авторизации vGate. Также поддерживается VMware Auto Deploy.

Прочие возможности

Отчётность. vGate 4.5 имеет 28 типов отчётов, разделённых по группам: топ-листы (статистика), настройки, аудит, соответствие стандартам защиты.

Интеграция с SIEM и другими системами. Отправка событий по безопасности во внешние системы производится по протоколу Syslog. События можно подробно настроить перед отправкой на Syslog-сервер. Также необходимые события можно отправлять на адрес электронной почты по протоколу SMTP.

Поддержка REST API. Можно обеспечить взаимосвязь с другими системами и расширить возможности автоматизации платформы.

Поддержка платформ виртуализации и их компонентов: VMware (vSphere 7.0 / 6.7 / 6.5).

Архитектура vGate 4.5

Архитектура платформы несколько изменилась с момента выхода предыдущей версии нашего обзора, была расширена и оптимизирована.

 

Рисунок 6. Схема организации защиты виртуальной среды в vGate 4.5

Схема организации защиты виртуальной среды в vGate 4.5

 

vGate 4.5 состоит из следующих модулей.

Сервер авторизации организует работу по управлению платформой: обеспечивает авторизацию администраторов, контролирует права доступа, проводит аудит безопасности доступа. Резервный сервер авторизации реплицирует данные, хранит настройки пользователей и включается в работу при сбое основного сервера.

Агент аутентификации устанавливается на рабочую машину администратора. Кроме того, как мы отметили выше, в vGate 4.5 реализована безопасная аутентификация пользователя через веб-интерфейс. Имеется механизм, который контролирует целостность компонентов агента аутентификации.

Модули защиты ESXi-сервера обеспечивают доверенную загрузку и контроль целостности ВМ, модулей и настроек vGate, а также файлов конфигурации ESXi-сервера. Поддерживается регистрация событий по безопасности.

Компонент защиты vCenter (vCSA) обеспечивает защиту от НСД внутри сети администрирования (так же как и компонент защиты PSC) и управляет фильтрацией входящего трафика.

Консоль управления обеспечивает централизованное администрирование платформы. Она позволяет настраивать все политики безопасности и защиту гипервизоров, контролирует инциденты. Здесь же доступны управление учётными записями пользователей и компьютеров, назначение прав доступа к защищаемым объектам, установка и настройка компонентов защиты ESXi-серверов и серверов vCenter, просмотр журналов регистрации событий и т. д.

Веб-консоль позволяет настроить правила фильтрации сетевого трафика, осуществлять мониторинг событий по безопасности в настоящем времени. Централизованное управление vGate также происходит посредством веб-консоли.

Сервер мониторинга осуществляет сбор и корреляцию всех событий виртуальной инфраструктуры.

Сервер анализа исследует сетевой трафик виртуальных машин в рамках бета-тестирования функции «Контроль прикладных протоколов».

Также отметим, что VMware vCenter Server (версии 7.01 и выше) не требует установки агента vGate 4.5 для контроля операций.

vGate 4.5 поставляется в трёх редакциях: «Standard», «Enterprise» и «Enterprise Plus». vGate Enterprise и Enterprise Plus представляют собой расширенные версии vGate Standard и содержат дополнительные функциональные возможности для защиты виртуальной инфраструктуры.

Подробная сравнительная таблица всех редакций доступна на сайте вендора.

Системные требования vGate 4.5

 

Таблица 1. Требования к аппаратному и программному обеспечению

Компонент (и вариант размещения)

Требования

Основной / резервный сервер авторизации (выделенный компьютер, установка на ВМ допускается, но не рекомендуется)

  • Windows Server 2012 R2, сборка 6.3.9600 x64;
  • Windows Server 2016, сборка 1607 x64;
  • Windows Server 2019, сборка 1809 x64.

Минимальная необходимая пропускная способность канала для сети резервирования — 10 Мбит/с.

Для компонента «Сервер авторизации» требуется 10 ГБ на жёстком диске.

Дополнительно (при использовании персонального идентификатора): драйверы JaCarta или «Рутокен». 

Агент аутентификации (рабочее место администратора виртуальной инфраструктуры или ИБ)

  • Windows 10, сборка 1809 x64;
  • Windows Server 2012 R2, сборка 6.3.9600 x64;
  • Windows Server 2016, сборка 1607 x64;
  • Windows Server 2019, сборка 1809 x64;
  • ALT Linux 8 СП, ядро версии 4.4.211.

Для компонента «Агент аутентификации» требуется 200 МБ на жёстком диске.

Дополнительно (при использовании персонального идентификатора): драйверы JaCarta или «Рутокен».

Модули защиты ESXi-сервера (ESXi-серверы)

VMware vSphere 6.5 / 6.7 / 7.0 (VMware ESXi Server 6.5 / 6.7 / 7.0). Вендор не гарантирует работу vGate с бесплатными редакциями ESXi, а также на индивидуальных образах vSphere (от производителей серверов HP, IBM и др.).

Компонент защиты PSC (сервер Platform Services Controller)

  • Platform Services Controller 6.7;
  • Platform Services Controller Appliance 6.7.

Компонент защиты vCenter (сервер vCenter)

  • Windows Server 2012 R2 + обновление KB2999226;
  • Windows Server 2016 x64;
  • Photon OS;
  • VMware vSphere 6.5 / 6.7 (VMware vCenter Server 6.5 / 6.7);
  • VMware vCenter Server Appliance 6.5 / 6.7 / 7.0.

Для компонента защиты vCenter требуется 200 МБ на жёстком диске.

Работа ПО vGate на индивидуальных образах vSphere (от производителей серверов HP, IBM и др.) не гарантируется.

Консоль управления и средство просмотра отчётов (сервер авторизации, рабочее место администратора ИБ)

  • Windows 10, сборка 1809 x64;
  • Windows Server 2012 R2, сборка 6.3.9600 x64;
  • Windows Server 2016, сборка 1607 x64;
  • Windows Server 2019, сборка 1809 x64.

Сервер мониторинга (виртуальная машина)

  • Процессор — 2 ядра;
  • оперативная память — 4 ГБ;
  • хранилище — 20 ГБ.

Сервер анализа (виртуальная машина)

  • Процессор — 2 ядра на каждый сетевой интерфейс для анализа трафика;
  • оперативная память — 4 ГБ;
  • хранилище — 20 ГБ.

 

Развёртывание vGate с каждой новой версией упрощается и крайне подробно описано в руководстве пользователя, также вендор обеспечивает справочную поддержку технической документацией в случае возникновения неисправностей как при установке, так и при последующей эксплуатации платформы.

Также на портале производителя можно воспользоваться калькулятором для понимания ориентировочной стоимости продукта. Финальная стоимость формируется индивидуально согласно конкретным потребностям заказчика.

Сценарии использования vGate 4.5

Рассмотрим все описанные выше функциональные возможности на практике и выделим новые особенности работы платформы vGate 4.5.

 

Рисунок 7. Бесклиентская аутентификация администратора платформы vGate 4.5

Бесклиентская аутентификация администратора платформы vGate 4.5

 

На иллюстрации выше показан пример работы аутентификации для системного администратора через веб-интерфейс, а не только посредством приложения, как это было в предыдущих версиях.

 

Рисунок 8. Раздел «Правила доступа» в vGate 4.5

Раздел «Правила доступа» в vGate 4.5

 

Настройка конфиденциальности для сервера авторизации производится в разделе «Правила доступа». В нашем примере пользователю настроено правило авторизации через веб-интерфейс без конфиденциального ключа («Анонимный»).

Выполним операцию на сервере управления vCenter, например активируем виртуальную машину, и проверим раздел «Журнал событий».

 

Рисунок 9. Раздел «Журнал событий» в vGate 4.5

Раздел «Журнал событий» в vGate 4.5

 

В таблице учёта всех событий мы видим нашу операцию, а более подробные данные (опция «Свойства») показывают, какой пользователь, на каком сервере, в какое время и с какой машины совершил операцию.

При этом в нашем примере агента vGate на центральном сервере vCenter нет. Рассмотрим ещё один пример контроля операций.

 

Рисунок 10. Заблокированная операция в «Журнале событий» в vGate 4.5

Заблокированная операция в «Журнале событий» в vGate 4.5

 

Если виртуальная машина имеет метку «для служебного пользования», а пользователь авторизовался «неконфиденциально», как в нашем примере, то любая операция — включая запуск машины — будет заблокирована, что тоже отобразится в «Журнале событий» со всеми подробностями.

События из журнала могут быть экспортированы в CSV-файл.

 

Рисунок 11. Создание набора политик в разделе «Политики безопасности» в vGate 4.5

Создание набора политик в разделе «Политики безопасности» в vGate 4.5

 

Политики безопасности в vGate назначаются объектам. Набор политик формируется из предустановленных шаблонов, которые периодически обновляются. Например, в их число входят PCI DSS v3.2 и VMware 7 SCG. Есть и готовые шаблоны по текущим требованиям регулятора: банковские ГОСТы, персональные данные, КИИ и т. д.

Политики имеют как дополнительные опции более тонкой настройки, так и обязательные параметры, когда необходимо задать сервер, указать путь к каталогу и пр. Без обязательных настроек сохранить набор политик нельзя. Далее созданный набор можно назначать хостам или группам объектов.

В следующих версиях вендор реализует возможность назначения политик на сам сервер авторизации для автоматизации настроек vGate.

 

Рисунок 12. Раздел «Отчёты» в vGate 4.5

Раздел «Отчёты» в vGate 4.5

 

Платформа vGate обрабатывает все события и формирует подробные отчёты, распределяя их по соответствующим разделам.

 

Рисунок 13. Раздел «Учётные записи» в vGate 4.5

Раздел «Учётные записи» в vGate 4.5

 

В разделе «Учётные записи» создаются и удаляются пользователи vGate, администраторы виртуальной инфраструктуры или информационной безопасности. Гранулирование доступа тонко настраивается в зависимости от целей.

Опция «Только чтение» применяется для организации безопасного просмотра или аудита состояния инфраструктуры.

Пользователь также может быть импортирован в vGate по протоколу LDAP с последующими настройками привилегий.

Во всех разделах табличного типа реализована сортировка данных по заголовку и поддерживается быстрая фильтрация.

 

Рисунок 14. Раздел «Соответствие политикам» в vGate 4.5

Раздел «Соответствие политикам» в vGate 4.5

 

Раздел «Соответствие политикам» представляет собой сканер, который оценивает то, насколько настройки хостов отвечают тому или иному стандарту безопасности. Для примера мы проверили три хоста на соответствие политике «ИСПДн уровень 3».

В результате ни один из хостов не прошёл проверку, но мы видим рекомендации, которые следует выполнить для получения «зелёного» статуса.

 

Рисунок 15. Раздел «Сегментирование — ESXi-серверы» в vGate 4.5

Раздел «Сегментирование — ESXi-серверы» в vGate 4.5

 

Создание и активация компонентов фильтрации на хостах для управления микросегментированием производится в подразделе «ESXi-серверы». Компонент фильтрации в нашем примере уже активирован, включим контроль состояния соединений.

 

Рисунок 16. Раздел «Сегментирование — Виртуальные машины» в vGate 4.5

Раздел «Сегментирование — Виртуальные машины» в vGate 4.5

 

Отображаются все виртуальные машины, которые находятся за межсетевым экраном. Добавим ещё одну ВМ из списка, в котором представлены все машины с активным компонентом фильтрации.

 

Рисунок 17. Раздел «Сегментирование — Правила фильтрации» в vGate 4.5

Раздел «Сегментирование — Правила фильтрации» в vGate 4.5

 

Мы видим в таблице машины и настроенные опции правил фильтрации: протоколы, порты, отправитель, получатель и т. д.

В нашем примере разрешено взаимодействие по протоколу ICMP между обеими ВМ, и эти машины друг друга пингуют. Специфические протоколы добавляются по номеру, трафик можно логировать. Есть также возможность указать конкретную службу и задать более тонкие настройки по необходимости.

В качестве источника может выступать ВМ, сегмент сети, IP-адрес, MAC-адрес, диапазон IP-адресов или подсеть. Наличие источников «виртуальная машина» и «сегмент сети» отличает vGate от классического файрвола.

 

Рисунок 18. Раздел «Сегментирование — Службы» в vGate 4.5

Раздел «Сегментирование — Службы» в vGate 4.5

 

В табличном виде отображаются соответствия между протоколами и портами. При необходимости можно создать и добавить индивидуальную службу.

В подразделе «Активные сессии» представлены все данные о трафике, который шёл по созданным правилам фильтрации: порт, протокол, сетевые сегменты источника и назначения и т. д. Данные обновляются динамически.

В режиме бета-тестирования в vGate 4.5 работает подраздел «Правила контроля прикладных протоколов».

 

Рисунок 19. Раздел «Мониторинг — Правила корреляции» в vGate 4.5

Раздел «Мониторинг — Правила корреляции» в vGate 4.5

 

Сервер мониторинга vGate поставляется в виде шаблона и получает события от сервера vCenter. Инцидент может быть сформирован двумя путями.

Первый вариант — на основе созданного шаблона: например, если на защищаемом контуре произошло удаление более трёх ВМ, то это инцидент.

Второй вариант — на основе правил корреляции (в обход vGate), когда происходит сопоставление событий. Если кто-то совершил любое действие с виртуальной машиной, то сервер мониторинга об этом узнает, проверит запись на сервере vCenter и сделает выводы о легитимности события.

В нашем примере мы создали демоправило корреляции: запуск виртуальной машины, интервал — 1 секунда, средняя степень критической значимости.

 

Рисунок 20. Раздел «Мониторинг — Инциденты» в vGate 4.5

Раздел «Мониторинг — Инциденты» в vGate 4.5

 

Сформирован инцидент на основе созданного правила корреляции. По каждому инциденту можно просмотреть подробные данные: время, хост, событие и т. д. Также можно пометить инцидент как «отработанный».

Cписок инцидентов может быть экспортирован в формат CSV.

 

Рисунок 21. Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

 

Панель мониторинга формируется пользователем индивидуально из большого набора виджетов. В следующей версии вендор расширит возможности визуализации событий.

 

Рисунок 22. Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

 

Все виджеты интерактивны, можно быстро считать данные и по щелчку перейти в соответствующий раздел для получения более подробной информации.

В нашем примере видим правило «ping_test», количество — 3888. Это мы пинговали виртуальные машины на основе созданного правила фильтрации в разделе «Сегментирование».

Выводы

vGate версии 4.5 имеет полноценный межсетевой экран на уровне гипервизора, который обеспечивает фильтрацию трафика между виртуальными машинами и при этом никак не влияет на топологию сетевого периметра. Подобных файрволов уровня гипервизора на рынке РФ на данный момент нет.

vGate собирает и обрабатывает широкий поток данных по категориям, формируя богатую отчётность, что позволяет проводить расследования инцидентов в безопасности и выполнять регулятивные требования.

vGate официально находится в реестре отечественного ПО и имеет сертификат ФСТЭК России № 2308 (4-й уровень доверия, 5-й класс защищённости СВТ, тип «Б», 4-й класс защищённости межсетевых экранов).

Техническая поддержка vGate может осуществляться как напрямую, силами специалистов компании «Код Безопасности», так и через авторизованных партнёров. При этом вендор поставляет объёмную документацию по продукту и имеет мощную онлайн-базу знаний, которая позволяет закрыть большинство проблем, если таковые возникли при установке или эксплуатации платформы.

Достоинства:

  • Межсетевой экран уровня гипервизора.
  • Тонкая микросегментация виртуальной инфраструктуры.
  • Гибкая настройка интерактивной панели мониторинга событий в настоящем времени.
  • Контроль жизненного цикла ВМ.
  • Экспорт событий в SIEM / SOAR по протоколу Syslog.
  • Автоматизация защиты согласно текущим требованиям регулятора. Поддержка REST API усиливает возможности автоматизации.
  • Зрелый продукт с широкими функциональными возможностями, подходит малому, среднему и крупному бизнесу. Доступны портал технической поддержки и мощная база знаний по продукту, подробная документация.
  • Сертифицирован ФСТЭК России.

Недостатки:

  • Сервер управления работает только под OC Windows.
  • Нет поддержки платформ виртуализации на базе KVM (будет реализована в следующем релизе).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.