02 октября 2023
Знакомство с vGate 4.7
Статья 3. Концепция и преимущества продукта
В результате ухода из России лидеров рынка виртуализации зарубежных вендоров VMware и Microsoft российским компаниям потребовался ускоренный переход на отечественные платформы и техническую поддержку ПО.
Сложность перехода заключается в том, что виртуальная инфраструктура заказчика может располагаться на разных платформах виртуализации. Обеспечивать безопасность такой инфраструктуры сложно, так как отсутствует возможность осуществления централизованного мониторинга и аудита: возникает несогласованность настроек безопасности. В связи с этим возрастает нагрузка на администратора информационной безопасности.
Есть сложность и с внедрением средств защиты. Большинство СЗИ в настоящий момент не отличаются гибкостью настроек и могут влиять на работу компонентов виртуальной инфраструктуры. Зачастую существующие механизмы требуется переконфигурировать для того, чтобы система защиты работала эффективно.
Для решения этой проблемы нужен продукт, в котором предусмотрено использование единых настроек для зарубежных и отечественных платформ виртуализации с единым мониторингом и общим аудитом.
Выделим ключевые преимущества актуальной версии vGate 4.7, удовлетворяющие современным запросам рынка.
Сложность перехода заключается в том, что виртуальная инфраструктура заказчика может располагаться на разных платформах виртуализации. Обеспечивать безопасность такой инфраструктуры сложно, так как отсутствует возможность осуществления централизованного мониторинга и аудита: возникает несогласованность настроек безопасности. В связи с этим возрастает нагрузка на администратора информационной безопасности.
Есть сложность и с внедрением средств защиты. Большинство СЗИ в настоящий момент не отличаются гибкостью настроек и могут влиять на работу компонентов виртуальной инфраструктуры. Зачастую существующие механизмы требуется переконфигурировать для того, чтобы система защиты работала эффективно.
Для решения этой проблемы нужен продукт, в котором предусмотрено использование единых настроек для зарубежных и отечественных платформ виртуализации с единым мониторингом и общим аудитом.
Выделим ключевые преимущества актуальной версии vGate 4.7, удовлетворяющие современным запросам рынка.
Поддержка современных платформ виртуализации
vGate 4.7 поддерживает следующие платформы виртуализации и их компоненты:
- VMware
- vSphere 6.5, 6.7, 7.0
- VMware Tanzu
- vCenter HA и Linked Mode
- VMware vSAN
- KVM
- Ubuntu 18.04.6 LTS
- Ubuntu 20.04.3 LTS
- Astra Linux Common Edition «Орел» 2.12.22
- Альт Сервер Виртуализации 10
- Альт Сервер 8 СП
- Платформа P – виртуализация 7.0.13
Решение также осуществляет поддержку средств управления виртуализацией:
VMware
VMware
- vCenter
- VMware Cloud Director
KVM
- Proxmox 7.2, 7.0
- Open Nebula 5.10.15 в составе Альт Сервер Виртуализации 10
- СКАЛА-Р Управление 1.80, 1.90, 1.93
Для KVM доступен функционал:
- Контроль запуска ВМ
- Доверенная загрузка ВМ
- Затирание остаточной информации после удаления ВМ
- Разграничение доступа администраторов к гипервизорам
Возможность использования решения в гетерогенных инфраструктурах
vGate 4.7 позволяет одновременно использовать разные платформы и средства управления виртуализацией (vSphere, KVM, «Скала-Р», Proxmox и OpenNebula).
В настоящее время среди основных задач, поставленных перед российскими компаниями, стоит осуществление перехода с зарубежных платформ виртуализации на отечественные или open source решения.
Для решения таких задач использование продукта vGate 4.7 является наиболее оптимальным вариантом.
Для серверов виртуализации KVM доступен нижеперечисленный функционал:
В настоящее время среди основных задач, поставленных перед российскими компаниями, стоит осуществление перехода с зарубежных платформ виртуализации на отечественные или open source решения.
Для решения таких задач использование продукта vGate 4.7 является наиболее оптимальным вариантом.
Для серверов виртуализации KVM доступен нижеперечисленный функционал:
- сохранение учетных данных для подключения к KVM-серверам;
- добавление KVM-серверов в список защищаемых vGate;
- установка агентов vGate на KVM-серверы;
- контроль запуска виртуальных машин;
- контроль целостности ВМ в момент запуска;
- затирание остаточных данных после удаления ВМ;
- возможность назначения на KVM-серверы и виртуальные машины меток и политик безопасности;
- добавление и автодобавление KVM-серверов в группы;
- экспорт/импорт конфигурации KVM-серверов;
- синхронизация настроек vGate на KVM-серверах между серверами авторизации
В решении была реализована поддержка средств управления KVM-серверами Proxmox и OpenNebula.ПО vGate также поддерживает контроль операций VMware Cloud Director.
В рамках этой функции в веб-консоли vGate доступны следующие действия по управлению организациями Cloud Director:
Функция контроля операций сервера Cloud Director доступна только в vGate Enterprise и Enterprise Plus
В рамках этой функции в веб-консоли vGate доступны следующие действия по управлению организациями Cloud Director:
- просмотр свойств организации;
- назначение меток;
- добавление организации в группу объектов и исключение из группы;
- просмотр связанных событий;
- обновление списка организаций
Функция контроля операций сервера Cloud Director доступна только в vGate Enterprise и Enterprise Plus
Комплексный подход к защите виртуализации
Концепция продукта vGate заключается в том, что он выступает не только как средство защиты виртуальных сред для неоднородных инфраструктур, но также способен и защищать виртуальные машины на всем жизненном цикле виртуализации.
Рассмотрим этапы комплексного подхода к защите:
1 этап. Развертывание ВМ
Для защиты данных внутри виртуальных машин возможна совместная работа ПО vGate с Secret Net Studio 8.9.
В vGate 4.7 была добавлена возможность контроля целостности образов контейнеров, которые хранятся во встроенном в VMware vSphere реестре образов Harbor.
Данная функция реализуется в рамках политики «Контроль целостности образов контейнеров». Если целостность образа контейнера нарушена, то запуск самого контейнера из этого образа будет запрещен (будет считаться несанкционированным). Контроль целостности образов осуществляется путем проверки неизменности контрольных сумм.
Рассмотрим этапы комплексного подхода к защите:
1 этап. Развертывание ВМ
- Доверенная загрузка
- Контроль развертывания из шаблонов
- Управление контурами безопасности
- Управление доступом
- Встроенные шаблоны политик безопасности
- Контроль целостности компонентов и настроек
- Гарантированное уничтожение данных виртуальных машин
Для защиты данных внутри виртуальных машин возможна совместная работа ПО vGate с Secret Net Studio 8.9.
В vGate 4.7 была добавлена возможность контроля целостности образов контейнеров, которые хранятся во встроенном в VMware vSphere реестре образов Harbor.
Данная функция реализуется в рамках политики «Контроль целостности образов контейнеров». Если целостность образа контейнера нарушена, то запуск самого контейнера из этого образа будет запрещен (будет считаться несанкционированным). Контроль целостности образов осуществляется путем проверки неизменности контрольных сумм.
Автоматизация функций безопасности и соответствия требованиям регуляторов
- Горячее резервирование сервера авторизации
В случае выхода из строя основного сервера на резервный сервер автоматически возлагаются все функции по управлению vGate. В результате работа системы не блокируется надолго.
В редакциях vGate Enterprise и vGate Enterprise Plus доступно управление несколькими серверами авторизации.
- Автоматическое назначение меток безопасности
При назначении составных меток, содержащих категории и уровни конфиденциальности, на компоненты виртуальной инфраструктуры осуществляется автоматическая проверка возможности задания метки с сочетанием уровня и категорий конфиденциальности. Которые были указаны администратором виртуальной инфраструктуры.
- Автоматизация развертывания агентов vGate
Для VMware доступна поддержка Auto-Deploy, предназначенная для автоматического развертывания агентов vGate на ESXi-серверах.
- Автоматизация compliance и best practice
Шаблоны политик могут использоваться в любом сочетании. Предусмотрена возможность применения только необходимых политик в шаблонах. Неиспользуемые политики можно отключить. Доступна функция проверки ESXi-серверов на соответствие политикам безопасности.
Гибкость архитектуры. Безагентный межсетевой экран уровня гипервизора
Изменения есть и в архитектуре vGate. Использование агента на рабочих местах администраторов безопасности и виртуальной инфраструктуры, а также на vCenter является опциональным. Для управления следует использовать веб-консоль
Технология микросегментации в vGate реализована межсетевым экраном на уровне гипервизора, который обеспечивает безагентную фильтрацию трафика в сети виртуальных машин.
Данный подход имеет ряд преимуществ:
Данный подход имеет ряд преимуществ:
- Компонент не влияет на существующую топологию сети. Не требуется развертывание агентов и дополнительных виртуальных межсетевых экранов на каждой виртуальной машине;
- Обеспечивается микросегментация сети. Компрометация одной виртуальной машины не ведет к компрометации других;
- При миграции виртуальных машин все правила фильтрации для компонента сохраняются;
- В рамках сегментирования доступны функции контроля состояния соединений (SPI — Stateful packet inspection) и контроля прикладных протоколов (DPI — Deep packet inspection)
Централизованное управление, мониторинг и аудит
В vGate 4.7 осуществлен полный переход на веб-консоль, что обеспечивает централизованное управление решающее проблемы с совместимостью разных платформ виртуализации.
В панели мониторинга в реальном времени осуществляется сбор и анализ данных о событиях, происходящих в виртуальной инфраструктуре.
Через виджеты состояния безопасности можно отслеживать проблемы в работе vGate, нарушения целостности виртуальных машин, фильтрации сетевых подключений и т. д.
В панели мониторинга можно контролировать операции в виртуальной инфраструктуре, которые совершаются в обход vGate, распределенные по степени критичности. Централизованно реализован аудит событий, назначение политик на компоненты виртуальной инфраструктуры.
Таким образом, мы можем утверждать, что решение российского разработчика Код Безопасности позволяет упростить управление разными платформами виртуализации.
С помощью решения vGate можно осуществить постепенный переход с зарубежных платформ на отечественные.
При этом большинство функций централизованно выполняются в едином инструменте, что значительно снижает нагрузку на администраторов информационной безопасности и виртуальной инфраструктуры, а также упрощает настройку компонентов.
Спасибо, что оставались с нами! И до встречи в новом цикле статей.
Автор статьи: Влада Нестеренко, Инженер отдела интеграции TS Solution
В панели мониторинга в реальном времени осуществляется сбор и анализ данных о событиях, происходящих в виртуальной инфраструктуре.
Через виджеты состояния безопасности можно отслеживать проблемы в работе vGate, нарушения целостности виртуальных машин, фильтрации сетевых подключений и т. д.
В панели мониторинга можно контролировать операции в виртуальной инфраструктуре, которые совершаются в обход vGate, распределенные по степени критичности. Централизованно реализован аудит событий, назначение политик на компоненты виртуальной инфраструктуры.
Таким образом, мы можем утверждать, что решение российского разработчика Код Безопасности позволяет упростить управление разными платформами виртуализации.
С помощью решения vGate можно осуществить постепенный переход с зарубежных платформ на отечественные.
При этом большинство функций централизованно выполняются в едином инструменте, что значительно снижает нагрузку на администраторов информационной безопасности и виртуальной инфраструктуры, а также упрощает настройку компонентов.
Спасибо, что оставались с нами! И до встречи в новом цикле статей.
Автор статьи: Влада Нестеренко, Инженер отдела интеграции TS Solution