ПАК СЗИ НСД «ГиперАккорд»

Программно-аппаратный комплекс средств защиты от несанкционированного доступа (ПАК СЗИ НСД) «ГиперАккорд» предназначен для защиты инфраструктур виртуализации, построенных на базе платформ виртуализации Hyper-V версии 2 и версии 3.

Особенности

Многие производители технических средств защиты инфраструктур виртуализации идут по пути универсализации, совмещая в своих продуктах механизмы защиты сразу нескольких инфраструктур, построенных на различных платформах виртуализации.

Однако данный подход не всегда удобен пользователям: когда в организации используются инфраструктуры виртуализации, построенные только на одном типе платформ, покупка так называемого «универсального» средства приводит, в частности, к следующим особенностям:

ПАК «ГиперАккорд» является специализированным средством для защиты инфраструктур виртуализации, построенных на платформе виртуализации Hyper-V, и, соответственно, лишен указанных недостатков.

Основные характеристики

Система защиты «ГиперАккорд» полностью интегрируется в инфраструктуру виртуализации, поэтому для ее функционирования не требуются дополнительные серверы. При этом «ГиперАккорд» не ограничивает в целях безопасности возможностей инфраструктуры виртуализации, оставляя доступными все ее преимущества и обеспечивая защищенность всех ее компонентов.

Управление системой защиты осуществляется централизованно с сервера управления виртуальной инфраструктурой. Доступ к инструментам управления системой защиты предоставляется только администраторам безопасности, от администраторов виртуальной инфраструктуры эти инструменты скрыты.

Комплекс представляет собой совокупность технических и программных средств, предназначенных для выполнения основных функций защиты от НСД на основе:

Возможности

В программно-аппаратном комплексе «ГиперАккорд» реализованы следующие механизмы защиты:

Защита элементов управления виртуальной инфраструктурой

Надежная защита сервера HV от НСД и разграничение доступа администраторов виртуальной инфраструктуры имеют абсолютно принципиальное значение при построении виртуальной инфраструктуры предприятия. Как правило, сервер HV представляет собой «физический» сервер, и для его защиты применяется ПАК для сервера управления HV, поддерживающий работу на терминальных серверах.

Во время старта сервера СЗИ НСД «Аккорд-АМДЗ» из состава ПАК для сервера управления HV проверяет целостность BIOS и физического оборудования сервера. После этого начинается проверка целостности файлов гипервизора и модулей защиты, предназначенных для контроля запуска ВМ. В случае успеха этих проверок гипервизор загружается в штатном режиме вместе с уже проверенными дополнительными модулями защиты.

СПО управления системой защиты «ГиперАккорд» устанавливается на сервере HV, что позволяет управлять всей системой защиты централизованно.

    Доверенная загрузка сервера HV

Перед загрузкой ОС, установленной на сервере HV, СЗИ НСД «Аккорд-АМДЗ» из состава ПАК для сервера управления HV выполняет:

    Разграничение доступа администраторов виртуальной инфраструктуры и администраторов безопасности

В ОС сервера HV производится дискреционное и/или мандатное разграничение доступа администраторов и процессов ко всем ресурсам. При этом для каждого администратора должна создаваться изолированная программная среда.

Защита виртуальных машин

Виртуальным машинам присущи все те же угрозы, что и их «реальным» аналогам. Для них точно так же необходимо обеспечивать доверенную загрузку, контроль целостности, разграничение доступа и надежную идентификацию/аутентификацию пользователей (далее – и/а).

Средства разграничения доступа для виртуальных машин «Аккорд-Win32 VE»/«Аккорд-Win64 VE»/«Аккорд-Х VE»/«Аккорд-XL VE» (в зависимости от установленной в ВМ ОС) устанавливаются в гостевую ОС ВМ (аналогично тому, как в «реальных» системах они устанавливаются в ОС), а СПО управления системой защиты «ГиперАккорд», осуществляющее процедуры загрузки и контроля целостности, находится вне контролируемой ВМ. Это СПО просто обязано быть независимым от подконтрольного объекта, иначе это не защита, а имитация.

Для доступа пользователей к виртуальным машинам могут использоваться протоколы RDP или ICA. В этом случае на клиентские устройства устанавливается дополнительное ПО (СПО «Аккорд-ТК», входящее в состав модулей «Аккорд-Win32 VE»/«Аккорд-Win64 VE»), позволяющее подключаться по этим протоколам к ВМ и проходить и/а с использованием аппаратных идентификаторов.

    Контроль целостности файлов в виртуальных машинах

Перед запуском ВМ осуществляется проверка целостности файлов внутри виртуальных машин. Список контролируемых файлов должен определяться администратором безопасности и назначаться в программе управления виртуальной инфраструктурой.

    Разграничение доступа пользователей ОС виртуальной машины

В гостевых ОС осуществляется мандатное и/или дискреционное разграничение доступа пользователей и процессов ко всем ресурсам. При этом для каждого пользователя внутри ВМ создается изолированная программная среда. И/а пользователей при доступе к приложениям и виртуальным рабочим столам осуществляется с помощью аппаратных идентификаторов, кроме случаев, когда администратор безопасности снял ту или иную ВМ с контроля, но такой режим работы не следует включать в перечень рекомендованных.

Состав ПАК «ГиперАккорд»

ПАК «ГиперАккорд» состоит из следующих компонентов:

  1. СПО управления системой защиты «ГиперАккорд», устанавливаемое в ОС сервера HV, – является основным компонентом управления ПАК «ГиперАккорд», контролирует включение ВМ и обеспечивает контроль целостности файлов внутри ВМ до ее запуска. Данный модуль предоставляет также графический интерфейс, реализующий функции управления ПАК «ГиперАккорд»;
  2. ПАК для сервера управления (ПАК СЗИ НСД «Аккорд-Win64 TSE»), устанавливаемый на сервере HV, в составе:
    • контроллер СЗИ НСД «Аккорд-АМДЗ», предназначенный для обеспечения доверенной загрузки ОС, установленной на сервере HV. Контроллер «Аккорд-АМДЗ» является универсальным, не требует замены при смене используемого типа операционной системы (ОС);
    • персональный идентификатор пользователя микропроцессорное устройство DS 199х («Touch memory») или USB-устройство ПСКЗИ ШИПКА. Используется для идентификации/аутентификации АБИ и АВИ на сервере HV;
    • съемник информации с контактным устройством, подключаемый в штатный USB-порт сервера HV сервера HV, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя. По умолчанию в комплекте предлагается считыватель без фиксатора, если требуется с фиксатором – при заказе это нужно указать;
    • СПО разграничения доступа «Аккорд-Win64 TSE» (СПО «АккордTC64» и СПО «Аккорд ТК), предназначенное для разграничения доступа к ресурсам сервера HV со стороны АБИ и АВИ;
  3. СПО разграничения доступа для виртуальных машин «Аккорд-Win32 VE»/«Аккорд-Win64 VE»/«Аккорд-Х VE»/«Аккорд-XL VE» (в зависимости от установленной в ВМ ОС), предназначенное для разграничения доступа пользователей к ресурсам ВМ, а также, в случае необходимости, для удаленного подключения к ВМ с клиентских рабочих мест. Включает в себя:
    • СПО «Аккорд TC» (VE), устанавливаемое в ОС ВМ;
    • СПО «Аккорд ТК», устанавливаемое в ОС клиентских рабочих мест.

По умолчанию в качестве идентификаторов в процессе работы с ПАК «ГиперАккорд» предлагается использовать TM-идентификаторы.

Если в дальнейшем планируется использовать в качестве идентификатора не TM, а ПСКЗИ ШИПКА (на базе ШИПКА-лайт или других моделей), то никаких дополнительных кабелей для этого не потребуется, ШИПКУ можно будет подключать напрямую в USB-порт, или через USB-удлинитель, если свободный USB-порт расположен неудобно.

Количество и тип идентификаторов, модификация контроллера и контактного устройства съемника информации оговариваются при заказе комплекса.

Защита клиентских рабочих мест

Для защиты клиентских рабочих мест требуется обеспечивать:

Компания ОКБ САПР рада предложить средства защиты клиентских рабочих мест по дополнительному заказу:

  1. для ПЭВМ:
    • ПАК СЗИ НСД «Аккорд-Win32» в составе:
      • контроллер СЗИ НСД «Аккорд-АМДЗ;
      • СПО разграничения доступа «Аккорд-Win32»;
    • ПАК СЗИ НСД «Аккорд-Win64» в составе:
      • контроллер СЗИ НСД «Аккорд-АМДЗ;
      • СПО разграничения доступа «Аккорд-Win64»;
  2. для тонких клиентов:
    • Центр-Т;
    • МАРШ!;
    • комплект «идентификатор и считыватель для Тонкого клиента Horizon VIEW».

Галерея скриншотов