Embed Size (px)
DESCRIPTION
Citation preview
127018, Москва, а/я 55; т./ф.: (495) 980 23 45
e-mail: [email protected], web: www.securitycode.ru
Security Code vGate for VMware Infrastructure
Введение
Данные, обрабатываемые в виртуальных машинах, должны быть защищены так же надежно
и по тем же требованиям, как и в реальных компьютерах. Но насколько применимы
традиционные средства защиты информации (СЗИ) в виртуальной среде?
Традиционные аппаратные СЗИ во многих случаях невозможно использовать для защиты
виртуальных машин (ВМ). Что касается программных СЗИ, установленных на виртуальные
машины, то их операционная среда оказывается полностью скомпрометированной, если
нарушитель получает доступ к средствам управления средой виртуализации. Так,
нарушитель может перехватывать весь поток данных ввода/вывода виртуальных машин и
даже читать и изменять данные на дисках виртуальных машин, когда они выключены и не
работают. Поэтому традиционные программные СЗИ, разработанные без учета
особенностей эксплуатации в виртуальной среде, зачастую не обеспечивают должный
уровень защиты.
Компания «Код Безопасности» анонсирует новый программный продукт Security Code
vGate for VMware Infrastructure (далее vGate), предназначенный для обеспечения
безопасности виртуальной инфраструктуры с использованием систем VMware
Infrastructure 3 и VMware vSphere 4. Продукт поступит в продажу в 4 квартале 2009
года.
Сертификаты ФСТЭК России обеспечат возможность использования данного СЗИ для
защиты от несанкционированного доступа (НСД) конфиденциальной информации и
персональных данных.
Возможности продукта
Аутентификация администраторов виртуальной инфраструктуры и администраторов
безопасности.
Защита средств управления виртуальной инфраструктурой от НСД.
Контроль целостности конфигурации виртуальных машин и доверенная загрузка.
Дискреционный механизм разграничения прав ESX-хостов на виртуальные машины.
Регистрация событий, связанных с информационной безопасностью.
Контроль целостности и доверенная загрузка ESX-хостов.
Контроль целостности и защита от НСД компонентов СЗИ.
Централизованное управление и мониторинг.
2
Рассмотрим более подробно функционал защиты.
Аутентификация администраторов виртуальной инфраструктуры и
администраторов безопасности
В vGate реализована модель разделения прав на управление виртуальной инфраструктурой
и на управление безопасностью. Таким образом, выделяются 2 основные роли — это
администратор виртуальной инфраструктуры и администратор безопасности.
Администратор безопасности
ESX-хост
Контроль
целостности ВМ
Проверка прав
на ВМ
Сервер авторизации
Аутентификация АвторизацияУправление ESX-хостом
Администратор виртуальной
инфраструктуры
Реализация принципа разделения ролей
Доступ на управление виртуальной инфраструктурой или параметрами безопасности
должен предоставляться только для аутентифицированных пользователей. Для этого в СЗИ
предусмотрена процедура аутентификации пользователей и компьютеров (рабочих мест
администраторов), которая осуществляется по протоколам, нечувствительным к попыткам
перехвата паролей и атакам типа Man in the Middle.
Процедура аутентификации осуществляется с помощью отдельной программы, которую
требуется запустить и ввести учетные данные до того, как осуществляется соединение с
виртуальной инфраструктурой.
Диалог аутентификации (на переднем плане) и средство управления виртуальной инфраструктурой (на фоне)
3
Функционал аутентификации на рабочем месте администратора предоставляет
возможность надежно сохранить учетные данные. Эта функция избавляет от многократного
ввода пароля и особенно полезна, когда на рабочем месте администратора установлены
несколько систем защиты, каждая из которых запрашивает данные для аутентификации.
Защита средств управления виртуальной инфраструктурой от НСД
К средствам управления виртуальной инфраструктурой относятся:
ESX-хосты, предназначенные для запуска виртуальных машин;
серверы vCenter, предназначенные для централизованного управления виртуальной
инфраструктурой;
средства, предназначенные для обслуживания инфраструктуры, например, VMware
Consolidated Backup, VMware Update Manager;
сторонние средства мониторинга и управления инфраструктурой.
Компрометация любого из этих средств приводит к компрометации группы виртуальных
машин или всей виртуальной инфраструктуры. Ценность всех вышеперечисленных
элементов с точки зрения информационной безопасности очень велика.
Для обеспечения защиты средств управления виртуальной инфраструктурой применяется
функционал дискреционного разграничения доступа к объектам, которые размещены внутри
защищаемого периметра. Правила разграничения доступа работают на основе заданных
ACL и параметров соединения (протоколов, портов). Сетевой трафик между
аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым
обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.
Отдельно стоит упомянуть присутствующий в vGate механизм блокирования любого
сетевого трафика со стороны виртуальных машин к средствам управления виртуальной
инфраструктуры. Тем самым обеспечивается защита средств управления виртуальной
инфраструктурой от НСД со стороны скомпрометированной виртуальной машины.
Контроль целостности конфигурации виртуальных машин и доверенная
загрузка
Для обеспечения контроля целостности программной среды и обеспечения доверенной
загрузки операционной системы (ОС) в «физическом мире» традиционно используются
аппаратные электронные замки для шин PCI или PCI-E. К сожалению, подобные аппаратные
СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам.
Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.
vGate содержит компоненты, устанавливаемые на каждый ESX-хост и реализующие
следующие механизмы защиты:
Контроль целостности настроек виртуальной машины перед ее загрузкой.
Контролируется файл *.vmx, в котором содержится перечень устройств, доступных
виртуальной машине, и ряд других критических параметров. При этом часть
параметров, не влияющих на информационную безопасность, выведена из-под
контроля.
4
Контроль образа BIOS виртуальной машины. Поскольку несанкционированная
подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла
*.nvram, в котором содержится образ BIOS виртуальной машины.
Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного
сектора виртуального диска *.vmdk.
Для обеспечения полноценной защиты виртуальных машин от НСД компания «Код
Безопасности» рекомендует использовать СЗИ семейства Secret Net версии 6.0 или выше. В
этом случае СЗИ Secret Net развертывается на виртуальных машинах.
Дискреционный механизм разграничения прав ESX-хостов
на виртуальные машины
В vGate реализованы механизмы разграничения прав ESX-хостов на виртуальные машины в
двух следующих аспектах:
разграничение прав ESX-хостов на доступ к системе хранения данных, где
расположены диски виртуальных машин. Механизм работает на уровне отдельных
LUN СХД на технологиях iSCSI и Fiber Chanel и позволяет ограничивать доступ к
данным виртуальных машин для администратора виртуальной инфраструктуры;
механизм разграничения запуска виртуальных машин позволяет для каждой
конкретной виртуальной машины обозначить список ESX-хостов, где она может быть
запущена.
Функционал разграничения прав ESX-хостов на виртуальные машины востребован, когда в
виртуальных машинах обрабатываются данные разного уровня конфиденциальности. В этих
случаях зачастую инфраструктуру требуется разделить на ряд независимых сегментов.
Регистрация событий, связанных с информационной безопасностью
В vGate реализован механизм регистрации следующих групп событий:
События аутентификации и разграничения доступа;
События контроля целостности СЗИ, контроля целостности и доверенной загрузки
виртуальных машин;
События, связанные с установкой, удалением, включением, остановом и сбоем
компонентов СЗИ, а также с изменением настроек СЗИ.
Регистрация событий на всех компонентах СЗИ осуществляется в едином журнале. Для
всех групп событий регистрируются как факты НСД, так и правомочные действия.
5
Контроль целостности и доверенная загрузка ESX-хостов
Для обеспечения контроля целостности и доверенной загрузки ОС ESX Server в vGate на
каждом ESX-хосте рекомендуется применять сертифицированный электронный замок
«Соболь» версии 3.
Механизм контроля целостности электронного замка позволяет контролировать
неизменность физических секторов HDD и ключевых файлов до загрузки ОС. При этом
поддерживаются файловые системы ext2 и ext3, которые используются в ОС ESX Server (в
настоящий момент только для ESX Server v3.5).
Контроль целостности и защита от НСД компонентов СЗИ
vGate содержит собственные механизмы контроля целостности компонентов СЗИ.
Механизмы действуют на всех компонентах СЗИ — рабочем месте администратора,
сервере авторизации и ESX-хостах. Для обеспечения дополнительной защиты сервера
авторизации vGate от несанкционированного доступа рекомендуется использовать
традиционное сертифицированное СЗИ Secret Net в комплекте с электронным замком
«Соболь».
Централизованное управление и мониторинг
Консоль управления, входящая в состав СЗИ, устанавливается на рабочее место
администратора безопасности и имеет следующий функционал:
управление пользователями и компьютерами (пользователями в данном случае
являются администраторы виртуальной инфраструктуры и администраторы
безопасности, а компьютеры — это их рабочие места);
назначение прав на доступ к защищаемым объектам;
развертывание и настройка компонентов защиты ESX-хостов;
настройка правил разграничения запуска виртуальных машин и утверждение
изменений параметров виртуальных машин, произведенных администраторами
безопасности;
просмотр журнала регистрации событий.
Все изменения, произведенные администратором безопасности, сохраняются
централизованно.
6
Раздел управления правилами разграничения доступа (ПРД) к защищаемым элементам управления виртуальной
инфраструктуры. ПРД задаются на уровне субъекта (пользователь и/или рабочее место пользователя), защищаемого
объекта в периметре администрирования виртуальной инфраструктуры и параметров соединения (исходящий/входящий
порт и протокол соединения).
Раздел просмотра журнала регистрации событий. Есть возможность фильтрации по типу события, промежутку времени,
субъекту — инициатору события и компоненту СЗИ, где произошло событие.
7
Архитектура СЗИ
Большинство компонентов vGate развертываются на существующих компьютерах (рабочие
места администраторов и ESX-хосты), и только один компонент требует выделенного
сервера. В состав СЗИ входят следующие компоненты:
Сервер авторизации предназначен для аутентификации, разграничения доступа к
средствам управления виртуальной инфраструктуры, регистрации событий
безопасности и хранения журналов и конфигурации СЗИ. Устанавливается на
выделенный сервер.
Рабочее место администратора требуется для осуществления процедуры
аутентификации и устанавливается на рабочие места администраторов виртуальной
инфраструктуры и администратора безопасности.
Модули защиты ESX требуются для контроля целостности и доверенной загрузки
виртуальной машины, реализации дискреционного механизма разграничения запуска
виртуальных машин и регистрации событий безопасности. Устанавливаются на ESX-
хосты.
Консоль управления обеспечивает централизованное управление СЗИ и
устанавливается на рабочее место администратора безопасности.
Подробная иллюстрация архитектуры компонентов vGate дана в Приложении 1 данного
документа.
Конфигурация сетей виртуальной инфраструктуры
Для обеспечения надежного уровня защиты, перед установкой vGate рекомендуется
выполнить следующие условия конфигурирования локальной сети инфраструктуры
виртуализации:
Сеть администрирования виртуальной инфраструктуры должна быть отделена от
остальных сетей виртуальной инфраструктуры. При этом сама сеть
администрирования может быть разделена на несколько сегментов. Фрагментация
сети администрирования может быть востребована по причинам безопасности.
Функции разграничения доступа к защищаемым объектам одного или нескольких
сегментов сети администрирования берет на себя данное СЗИ.
Сеть виртуальных машин также должна быть отделена от остальных сетей
виртуальной инфраструктуры. В зависимости от архитектуры конкретной
инфраструктуры сеть виртуальных машин может быть единой, иметь несколько
полностью изолированных сегментов или сегментов, разделенных межсетевыми
экранами. Входящий в данное СЗИ механизм разграничения прав на запуск
виртуальных машин может оказаться очень востребованным, если сеть виртуальных
машин имеет несколько сегментов.
Если в виртуальной инфраструктуре используются функции vMotion и Fault Tolerance,
то требуется организовать отдельную сеть репликации виртуальных машин. По сети
репликации виртуальных машин время от времени или постоянно будут
передаваться фрагменты оперативной памяти виртуальных машин. Возможность
8
перехвата этой информации — прямая угроза безопасности. Как следствие, данная
сеть должна быть отделена от сетей администрирования и сетей виртуальных
машин.
Если данные виртуальных машин хранятся за пределами ESX-хостов в отдельной
системе хранения, то требуется создание сети передачи данных на основе
технологии Ethernet (iSCSI) или Fiber Chanel. В случае с iSCSI сеть передачи данных
может быть совмещена с сетью репликации виртуальных машин.
Таким образом, в минимальной конфигурации, если используются функции vMotion и Fault
Tolerance, ESX-хосты должны иметь по 3 независимых Ethernet-интерфейса.
Системные требования
Сервер авторизации
Windows Server 2003 x86 SP2/R2
Рабочее место администратора
Windows XP Professional x86, x64;
SP2, SP3 RUS
Windows Vista x86, x64 SP1
Модули защиты ESX
VMware Infrastructure 3 (VMware ESX
Server 3.5, Update 3 и 4)
VMware vSphere 4 (VMware ESX
Server 4.0)
Хранение дисков виртуальных
машин может осуществляться
локально или с использованием SAN
iSCSI или Fiber Chanel
Консоль управления
Устанавливается на рабочее место
администратора безопасности.
Требуются установленные
компоненты рабочего места
администратора
Пример виртуальной инфраструктуры с развернутым СЗИ
Security Code vGate for VMware Infrastructure (зеленым на
схеме выделены элементы инфраструктуры, содержащие
компоненты СЗИ).
9
Соответствие государственным требованиям
Сертификация во ФСТЭК СЗИ Security Code vGate for VMware Infrastructure будет происходить
по уровню СВТ 5 и НДВ 4, что даст возможность использовать продукт для защиты
автоматизированных систем (АС) до класса 1Г включительно и информационных систем
персональных данных (ИСПДн) до класса К2 включительно.
Сертификат СВТ 5 подразумевает прохождение сертификационных испытаний в соответствии
с руководящим документом «Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели защищенности от НСД к
информации» по уровню 5.
Сертификат НДВ 4 подразумевает прохождение сертификационных испытаний на отсутствие в
СЗИ недекларированных возможностей по уровню 4.
Сертификаты ФСТЭК СВТ 5, НДВ 4 ИСПДн ФСТЭК К2, К3
АС ФСТЭК 1Д, 1Г Государственная тайна –
Дополнительная информация
Информацию о продуктах компании «Код Безопасности» можно найти на сайте
www.securitycode.ru. Задать дополнительные вопросы по этому и другим продуктам, можно по
адресу [email protected].
10
Приложение 1
ESX-хост
VM
Console OS (Linux)
Гипервизор (VMKernel)
NIC HBA FC NIC
Kernel
BIOS
Соболь NIC
КЦ настроек ВМ
Проверка прав
на запуск ВМ
Загрузчик ВМ
(VMware)
Локальные
настройки СЗИ
КЦ модулей и настроек СЗИ
Локальный
Firewall
VM
VM VM
VM VM
Сеть администрирования SAN
Сеть репликации ВМ
Сеть ВМ
Сервер авторизации
BIOS
Соболь NICNIC
Windows
Windows kernel
NDIS драйвер
Реестр
пользователей и
компьютеров
Аутентификация
Реестр сетевых
ПРД
Реестр ВМ
(хеши и ПРД)
Журнал аудитаНастройки СЗИ
Авторизация
Sec
ret
Net
6.0
fo
r W
ind
ow
s
Управление СЗИ
Внешний периметр сети администрирования
Администратор
виртуальной
инфраструктуры
Администратор
безопасности
Модули СЗИУсловные обозначения: Данные Модули сторонних производителей
Архитектура компонентов СЗИ Security Code vGate for VMware Infrastructure
