ПАК «СЕГМЕНТ-В.»

При проектировании системы безопасности виртуальной инфраструктуры архитектор сталкивается с рядом проблем, среди которых всегда присутствуют:

  • проблема «суперпользователя» — то есть сосредоточение максимальных привилегий в рамках одной роли (пользователя). Для большинства систем такое положение неприемлемо, АБИ должен иметь возможность ограничивать действия АВИ: запрещать критичные для безопасности действия и разрешать некоторые только по согласованию, например, удаление виртуальной машины (нарушение целостности и доступности) или экспорт ее на диск (нарушение конфиденциальности).
  • проблема сегментирования — то есть разбиения системы на сегменты и обеспечения их изоляции. Так как система может содержать различную информацию (иерархически категорируемую, то есть разного уровня секретности или неиерархически, то есть разного вида), может возникнуть ситуация, при которой она будет «перемешана». Например, случайное или умышленное переключение секретной ВМ в подсеть к несекретным или миграция ВМ разработчика на хранилище бухгалтерии.

К сожалению, данные проблемы не могут быть эффективно решены средствами самой виртуальной инфраструктуры. В итоге приходится подходить к вопросу «нестандартно», что ведет либо к дополнительным затратам, либо к снижению эффективности использования средств виртуализации, либо к введению дополнительных организационных мер усложняющих работу АБИ. По этой причине логичным шагом является перенимание опыта из смежных областей и использование наложенного средства защиты для ухода от описанных проблем.

Таким средством для виртуальных инфраструктур на базе VMware vSphere (версий 5.x и 6.x) является  программно-аппаратный комплекс «Сегмент-В.».

Возможности:

В программно-аппаратном комплексе «Сегмент-В.» реализованы следующие механизмы защиты*:

  • Идентификация/аутентификация пользователей управляющих виртуальной инфраструктурой
  • Разграничение доступа к объектам виртуальной инфраструктуры:
    • Мандатное (иерархические и неиерархические метки)
    • Дискреционное (Более 20 действий)
  • Запрет смешивания информации из различных сегментов

При этом система защиты:

  • работает «прозрачно» (т.е. не требуется дополнительное ПО для работы АВИ)
  • поддерживает отказоустойчивые кластерные конфигурации
  • позволяет работать с любым вариантом инфраструктуры VMware vSphere (VCSA / Windows vCenter / Linked режим / Standalone ESXi).

Поэтому можно быть уверенным в том, что «Сегмент-В.» не ограничивает в целях безопасности возможностей виртуальной инфраструктуры, оставляя доступными все ее преимущества.

*Приведен список основных возможностей, с полным списком можно ознакомиться в документации на комплекс.

Состав Сегмент-В.:

ПАК СЗИ НСД «Сегмент-В.» состоит из следующих компонентов (рис.1):

Прокси-сервер «Сегмент-В.» устанавливаемый в разрыв перед vCenter и осуществляющий разграничение доступа. Поставляется в двух вариантах:

  • программном (.iso, подходящий для установки в ВМ или на собственный сервер)
  • аппаратном (преднастроенный защищенный сервер, включающий Аккорд-АМДЗ и Аккорд-X, для которого достаточно провести первоначальную инициализацию).

СПО «Сегмент-В.» устанавливаемое на АРМ АБИ и включающее в себя ПО управления комплексом (сервис регистрации событий может быть установлен на отдельный АРМ).

Рис. 1.

ПАК  «Сегмент-В.» может использоваться как самостоятельный продукт или же в связке с ПАК «Аккорд-В.» (рис.2)

Рис. 2.

Выполнение требований регуляторов:

ПАК «Сегмент-В.» закрывает 5 из 10 требований (совместно с ПАК «Аккорд-В.» 7 из 10) по защите виртуальных инфраструктур (ВИ) приказов  ФСТЭК № 17 и № 21, а именно:

  • И/А в ВИ (ЗСВ.1)
  • Управление доступом (ЗСВ.2)
  • Регистрация событий (ЗСВ.3)
  • Управление миграцией (ЗСВ.6)
  • Сегментирование ВИ (ЗСВ.10)

Совместно с «Аккорд-В.»:

  • Доверенная загрузка (ЗСВ.5)
  • Контроль целостности (ЗСВ.7)

Исключения*:

  • Управление потоками (ЗСВ.4)
  • Резервирование (ЗСВ.8)
  • Антивирусная защита (ЗСВ.9)

*закрываются представленными  на рынке решениями

Законченное решение

ПАК «Сегмент-В.» — самодостаточное решение. Требуется лишь настроить приобретенный сервер или «развернуть» новую ВМ. Отсутствуют скрытые затраты (например, на ОС).

Отказоустойчивое решение

ПАК «Сегмент-В.» поддерживает кластерную конфигурацию, что обеспечивает автоматическое переключение на резервный сервер в случае непредвиденных ситуаций.

Универсальное решение

ПАК «Сегмент-В.» поддерживает любые исполнения виртуальной инфраструктуры:  VCSA / Linked Mode / Standalone ESXi. При этом решение не усложняет работу АВИ (отсутствуют какие-либо агенты).

Подробнее с комплексом можно ознакомиться, прочитав Документацию, задав вопросы с помощью любой из форм обратной связи, представленных на сайте, или договорившись с нами о проведении семинара — для этого напишите нам на okbsapr@okbsapr.ru.

Вы можете прочитать статьи об этом продукте в библиотеке.

Галерея скриншотов:

 

 

 

Скачать лицензионный продукт ОКБ САПР


Данный текст взят с сайта http://www.accord.ru