18 сентября 2023

Знакомство с vGate 4.7

Статья 1. Обзор и варианты
применения vGate

Коллеги, приветствуем Вас в новом цикле статей на нашем образовательном портале!

В данном материале мы рассмотрим еще один продукт от известной отечественной компании, занимающейся разработкой программных и аппаратных средств защиты информации, — «Код Безопасности»: средство защиты виртуализации «vGate».

Различные издания сообщают о том, что с марта 2022 года международный разработчик ПО для виртуализации VMware прекратил поддержку клиентов в России. Также прекращена продажа и поддержка продуктов компании Microsoft и, соответственно, виртуализация Hyper-V более не поддерживается. Начался экстренный процесс переезда с проприетарных сред виртуализации на свободно распространяемые или open source решения: KVM, OpenNebula, Proxmox и т. д. Планомерно осуществляется и переезд на отечественные среды виртуализации:
zVirt, БРЕСТ, Альт, Базис и др.

Однако данный процесс занимает весьма продолжительное время, образуя тем самым гетерогенную среду средств виртуализации. В данном случае универсальным решением для компенсации рисков ИБ в новых решениях (особенно open source) и обеспечения должного уровня безопасности гетерогенных сред может являться средство защиты информации «vGate».

Основные функции vGate
vGate — это средство защиты информации для виртуальных инфраструктур, обладающее следующими функциональными возможностями:

Универсальная платформа безопасности облака

vGate формирует единый контур защиты виртуализации для сред VMware, Microsoft Hyper-V, KVM, OpenNebula, Proxmox и платформы Скала-Р. Это унифицирует политики безопасности и отчетности в гетерогенной среде;
Защита всех компонентов среды виртуализации

Контроль рабочего места администратора, сервера управления и хоста гипервизора обеспечивает целостную защиту приложений от атак со стороны виртуальной инфраструктуры;
Прозрачность и аудит

Корреляция событий vGate и среды виртуализации выявляет несанкционированную активность и позволяет обнаружить инцидент до того, как он приведет к разрушительным последствиям;
Быстрое выполнение требований

Встроенные шаблоны настроек безопасности обеспечивают требуемый регуляторами уровень защиты ИТ-инфраструктуры c минимальными усилиями со стороны обслуживающего персонала

Актуальная версия vGate 4.7 является сертифицированным средством защиты информации по требованиям руководящих документов:

Требования доверия (4);
Требования к МЭ, Профиль защиты МЭ (Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ);
Руководящий документ. Средства вычислительной техники (5);

Выполнение требований руководящих документов позволяет использовать vGate в следующих системах:

ГИС до К1 включительно;
ИСПДн до УЗ1 включительно;
АС до класса 1 Г включительно;
АСУ ТП до К1 включительно;
ЗОКИИ до 1 категории включительно

Лицензирование
В решении vGate 4.7 можно использовать нижеперечисленные варианты лицензирования:

Разграничение доступа (vAccess):

vCompliance

vNetwork

vMonitor

vReport

Отказоустойчивость:

Совместимость с компонентами виртуализации:

Лицензии приобретаются на определенное количество сокетов (физических процессоров) установленных на защищаемых серверах. Сервер авторизации включен в стоимость лицензии.

Варианты применения vGate

Кейс 1. Разграничение прав на управление виртуальной инфраструктурой

Учетным записям можно назначать следующие встроенные роли:

Администратор виртуальной инфраструктуры

(пользователи);
Администратор информационной безопасности

(администратор распределяющий права между пользователями vGate);
Аудитор безопасности

(просматривает данные в веб-консоли управления без возможности их изменения).

В настройках учетной записи также можно выбрать опцию «Оператор учетных записей» которая позволяет управлять списком пользователей, выдавая им права доступа. При выборе этой опции учетной записи автоматически присваивается роль «Администратор информационной безопасности».

Была добавлена и новая роль, позволяющая использовать СЗИ vGate в качестве межсетевого экрана: «Администратор сетей vGate»

После создания учетных записей пользователей необходимо настроить их доступ к компонентам виртуальной инфраструктуры. Осуществляется настройка с помощью правил разграничения доступа в веб-интерфейсе сервера авторизации. Права доступа можно назначать как на сам сервер авторизации vGate, так и на гипервизор, виртуальные машины, инструмент управления vCenter.

Кейс 2. Применение политик и механизма полномочного управления доступа к конфиденциальным ресурсам

После настройки правил разграничения доступа к защищаемым серверам необходимо назначить учетным записям и объектам виртуальной инфраструктуры метки безопасности.

Они бывают следующих типов:

Иерархические:

уровни конфиденциальности;
Неиерархические:

категории конфиденциальности;
Составные:

содержит в себе иерархические и неиерархические метки

Выбор меток зависит от состава информации, которая обрабатывается в виртуальной инфраструктуре:

Если в ней есть сведения, составляющие государственную тайну или относящиеся к персональным данным: следует применять иерархические метки;
В иных случаях: неиерархические

Составные метки используются на основе матрицы допустимых сочетаний уровней и категорий конфиденциальности. Их можно использовать тогда, когда сведения, составляющие государственную тайну или относящиеся к персональным данным, обрабатываются в разных отделах.

Составные метки применимы к:

Учетным записям;
Защищаемым серверам виртуальной инфраструктуры;
Физическим сетевым адаптерам;
Виртуальным сетям (VLAN);
Хранилищам виртуальных машин;
Виртуальным машинам

Уровни конфиденциальности определяют уровень допуска к ресурсу. Пользователь может выполнять операции с ресурсами, уровень конфиденциальности которых меньше или равен его собственному.

По умолчанию в vGate 4.7 используются два уровня конфиденциальности: «Для служебного пользования» и «Неконфиденциально».

Пользователь с меткой «Для служебного пользования» при включенном контроле уровня сессий на клиенте vGate может подключаться к виртуальным машинам с метками «ДСП» и «Неконфиденциально» выбрав соответствующий уровень сессии. При этом другой пользователь с меткой «Неконфиденциально» не может подключаться к виртуальным машинам уровнем конфиденциальности выше.

Категории конфиденциальности определяют принадлежность ресурса или доступ пользователя к определенной группе (подразделению).

Метка может состоять из нескольких категорий конфиденциальности, что позволяет совместно использовать компоненты виртуальной инфраструктуры между отделами.
По умолчанию в системе есть 5 категорий конфиденциальности, каждая из которых имеет определенный цвет. Если пользователю назначена метка определенного цвета, то он может запускать виртуальные машины только с точно такой же меткой.

Далее нужно назначить наборы политик безопасности защищаемым объектам. Политики безопасности содержат в себе настройки, необходимые для защиты компонентов виртуальной инфраструктуры.

Они назначаются на:

Сервера виртуализации;
Виртуальные машины;
Сетевые адаптеры;
Группы объектов;
Образы контейнеров

Политики безопасности объединены в типовые наборы — шаблоны, которые предназначены для защиты определенных компонентов (например, серверов и виртуальных машин KVM) и информационных систем с определенным уровнем/классом защищенности (например, политики для ГИС К1 и К2). Помимо встроенных шаблонов, можно создавать и пользовательские.

Кейс 3. Защита виртуальных машин и гипервизора

Помимо назначения меток безопасности, защита виртуальных машин осуществляется с помощью применения механизма контроля целостности, который сравнивает текущие значения параметров с эталонными.

При несоответствии контрольных сумм администратору информационной безопасности генерируется предупреждение об изменении конфигурации. Он может как отклонить, так и принять изменения.

Контроль целостности осуществляется только для виртуальных машин с включенной политикой безопасности «Доверенная загрузка виртуальных машин».

В рамках этой политики можно:

Запретить запуск виртуальных машин при нарушении целостности;
Выбрать файлы конфигурации, для которых будет осуществляться проверка целостности

(целостность BIOS: файлы NVRAM; перечень снимков: файлы VMSD; контроль конфигурации: VMX-файлы);
Для VMX-файла можно более детально выбрать параметры контроля конфигурации

По такому же принципу можно настроить контроль целостности для шаблонов виртуальных машин, применив политику безопасности «Контроль целостности шаблонов виртуальных машин». И для файлов конфигурации ESXi-сервера (политика «Контроль целостности конфигурации ESXi-сервера»).

Доступна настройка целостности образов контейнеров (политика «Контроль целостности образов контейнеров» запрещающая запуск контейнеров с нарушением целостности).

Поддерживается защита и на уровне гипервизора. В политиках безопасности можно применить lockdown mode, запрещающий прямое подключение к ESXi-серверу. В этом случае управление сервером осуществляется через VMware vCenter. Доступны также специальные шаблоны политик, которые могут назначаться ESXi-серверам (например, CIS for ESXi 6.5, 6.7, 7.0). Они позволяют исключить подключение USB-носителей, разделить сети управления и активные сети виртуальных машин, запретить удаленный доступ к серверу по SSH и т.д.

Кейс 4. Сегментирование виртуальной сети

Сегментирование осуществляет фильтрацию сетевого трафика в сети виртуальных машин. Компонент фильтрации представляет собой межсетевой экран на сервере гипервизора (доступен только для VMware) позволяющий создавать правила фильтрации для виртуальных машин, сегментов, IP-адресов и их диапазонов.

По умолчанию он устанавливается вместе с агентом vGate для ESXi-сервера (функция доступна только в vGate Enterprise Plus). Для осуществления сегментирования необходимо включить компонент фильтрации трафика на защищаемых ESXi-серверах, затем выбрать необходимые виртуальные машины (их также можно объединить в сегменты) и создать для них правила фильтрации.

Таким образом можно осуществить фильтрацию сетевого трафика в сети виртуальных машин, в том числе и расположенных на разных серверах виртуализации. При этом не требуется изменять топологию существующей сети или создавать отдельный виртуальный межсетевой экран, что безусловно является преимуществом сегментирования.

Кейс 5. Осуществление мониторинга виртуальной инфраструктуры

С помощью мониторинга можно отслеживать конкретные события и осуществлять анализ на основе собранных данных. Функция мониторинга доступна только в редакции Enterprise Plus. Для его работы необходимо установить и выполнить подключение к серверу мониторинга vGate.

В веб-консоли сервера авторизации структура мониторинга состоит из следующих компонентов:

Панель мониторинга

Она состоит из виджетов, которые можно настроить по различным событиям и инцидентам;

Правила корреляции

С их помощью можно отслеживать конкретные события, происходящие в виртуальной инфраструктуре, в том числе и в самом СЗИ vGate. В системе доступно создание как новых правил, так и правил по заданным шаблонам. Можно создать правила в обход vGate: в этом случае они сработают, если события зафиксированы, но на сервере авторизации vGate в журнале событий не были отображены;
Инциденты

Если правила корреляции срабатывают, возникают инциденты. В данном разделе можно подробнее посмотреть информацию о событии, а также отфильтровать инциденты и скачать их. В случае решения проблемы можно пометить инцидент как обработанный.

Кейс 6. Организация централизованного аудита, отчетности

События безопасности хранятся централизованно на сервере управления vGate и отображаются в веб-консоли. Перед этим они регистрируются на всех серверах виртуализации с установленными агентами vGate.

Во внешнем периметре сети события хранятся локально в журнале приложений Windows. В веб-консоли аудит представлен вкладкой «Журнал событий». В нем можно осуществлять фильтрацию событий по типу, компонентам, категориям, источникам и периоду времени.

По умолчанию в журнале событий регистрируются все возможные события в виртуальной инфраструктуре. При необходимости администратор информационной безопасности может настроить журнал на вывод только заданных событий.

Поддерживается интеграция и с SIEM-системами: отправление событий осуществляется по протоколу Syslog.

В веб-консоли также можно просматривать отчеты о событиях безопасности. В системе присутствует 28 встроенных типов отчетов по группам: топ-листы (статистическая группа, отображающая наиболее часто встречаемые события), настройки, аудит, соответствие стандартам безопасности (насколько текущая инфраструктура соответствует стандартам). Функция подготовки отчетов доступна только в редакции Enterprise Plus.

Кейс 7. Обеспечение отказоустойчивости

Для обеспечения отказоустойчивости основного сервера авторизации vGate используется функция резервирования.

В случае сбоя основного сервера произойдет автоматическое (горячее резервирование) или ручное переключение на резервный сервер (функция доступна в редакциях Enterprise и Enterprise Plus).

Заключение

На основе вышеизложенного обзора можно сделать общий вывод: с помощью решения vGate возможно централизованно объединить управление разными инфраструктурами (хосты на базе VMware, KVM). При этом будет организован единый мониторинг и аудит системы.

Продукт поддерживает современные платформы виртуализации. В нём также есть безагентный межсетевой экран уровня гипервизора, который позволит не менять существующую топологию виртуальной сети. Данное решение соответствует требованиям регуляторов, имеет сертификат ФСТЭК России.
До встречи в следующей статье цикла, в которой вы узнаете всё о соответствии vGate 4.7 современным требованиям регуляторов.

Автор статьи: Влада Нестеренко, Инженер отдела интеграции TS Solution