25 сентября 2023
Знакомство с vGate 4.7
Статья 2. Соответствие требованиям регуляторов
Во второй статье цикла мы обсудим соответствие версии vGate 4.7 требованиям регуляторов и варианты применения решения для защиты различных типов систем.
К защите информационных систем государственных и финансовых организаций, особенно в последнее время, предъявляются повышенные требования. Это происходит из-за того, что в них обрабатываются данные, представляющие большую ценность для злоумышленников. Нарушение же законодательства в области защиты информации влечет за собой административную и уголовную ответственность.
В обеспечении защиты информации в организациях возникает ряд сложностей, среди которых можно отметить:
Конкретно для виртуальных инфраструктур таким решением является средство защиты жизненного цикла виртуальных машин и микросегментации сетей vGate.
vGate 4.7 – сертифицированное средство защиты информации по требованиям следующих руководящих документов:
К защите информационных систем государственных и финансовых организаций, особенно в последнее время, предъявляются повышенные требования. Это происходит из-за того, что в них обрабатываются данные, представляющие большую ценность для злоумышленников. Нарушение же законодательства в области защиты информации влечет за собой административную и уголовную ответственность.
В обеспечении защиты информации в организациях возникает ряд сложностей, среди которых можно отметить:
- Для государственных информационных систем необходимо закрытие множества требований в области мер защиты информации. При этом бюджет на создание, эксплуатацию и защиту ИТ-инфраструктуры ограничен;
- Для информационных систем персональных данных при разнообразии прикладных систем организациям необходимо совмещать выполнение требований двух регуляторов: ФСТЭК и ФСБ;
- Критическая информационная инфраструктура попадает под требования разнородных систем: требуется защищать не только офисные, но и автоматизированные системы управления технологическими процессами. А также не только реагировать на инциденты, но и предотвращать их;
- Для финансовых организаций необходимо быстро создавать защищенные сервисы, обрабатывающие финансовые транзакции. Требуется организация безопасной разработки и анализа уязвимостей в соответствии с ГОСТ Р ИСО/МЭК 15408-2002, профилем защиты, а также защита инфраструктуры
Конкретно для виртуальных инфраструктур таким решением является средство защиты жизненного цикла виртуальных машин и микросегментации сетей vGate.
vGate 4.7 – сертифицированное средство защиты информации по требованиям следующих руководящих документов:
- Требования доверия (4)
- Требования к МЭ, Профиль защиты МЭ (Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ)
- Руководящий документ. Средства вычислительной техники (5)
В том случае, если существующая инфраструктура должна соответствовать приказам по защите информации, межгосударственным стандартам или руководящим документам: в vGate 4.7 реализовано применение шаблонов политик безопасности.
Таким образом, осуществляется быстрая настройка защиты виртуальной среды с адаптацией существующих шаблонов под инфраструктуру заказчика. В зависимости от специфики предприятия наборы политик могут использоваться в любом сочетании.
Рассмотрим подробнее применение данного решения для защиты следующих информационных систем:
Таким образом, осуществляется быстрая настройка защиты виртуальной среды с адаптацией существующих шаблонов под инфраструктуру заказчика. В зависимости от специфики предприятия наборы политик могут использоваться в любом сочетании.
Рассмотрим подробнее применение данного решения для защиты следующих информационных систем:
- ИСПДн;
- ГИС;
- ЗОКИИ;
- Финансовые организации;
Информационные системы персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных определяет приказ ФСТЭК России № 21.
vGate 4.7 закрывает основную часть мер по:
Для защиты ИСПДн доступны шаблоны политик:
vGate 4.7 закрывает основную часть мер по:
- идентификации и аутентификации субъектов доступа и объектов доступа;
- управлению доступом субъектов доступа к объектам доступа;
- ограничению программной среды;
- защите машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрации событий безопасности;
- контролю (анализу) защищенности персональных данных;
- обеспечению целостности информационной системы и персональных данных;
- обеспечению доступности персональных данных;
- защите среды виртуализации;
- защите информационной системы, её средств, систем связи и передачи данных.
Для защиты ИСПДн доступны шаблоны политик:
- «ИСПДн уровень 4»
- «ИСПДн уровень 3»
- «ИСПДн уровни 1 и 2»
Рассмотрим шаблон для ИСПДн 1 и 2 уровней защищенности.
В рамках набора политик можно настроить синхронизацию времени, контроль целостности конфигурации виртуальных машин, их логирование и очистку памяти. Реализуется запрет клонирования виртуальных машин и выполнения операций с буфером обмена для каждой виртуальной машины, а также ограничение доступа к конфигурационным файлам служб.
Шаблон позволяет использовать протокол CHAP для проверки подлинности при подключении iSCSI-устройств, разделить сети управления и активные сети виртуальных машин, настроить требования сложности пароля и задать тайм-аут сессии в веб-консоли.
В рамках политики «Предотвращение шпионажа других пользователей на удаленных консолях администратора» можно разрешить соединение консоли только с одной виртуальной машиной.
Другие запросы будут отклоняться до окончания первой сессии. Администратор информационной безопасности может адаптировать шаблон, удалив из него неиспользуемые политики. Кроме того, типовой шаблон можно сделать пользовательским, сочетая политики из разных шаблонов между собой.
В рамках набора политик можно настроить синхронизацию времени, контроль целостности конфигурации виртуальных машин, их логирование и очистку памяти. Реализуется запрет клонирования виртуальных машин и выполнения операций с буфером обмена для каждой виртуальной машины, а также ограничение доступа к конфигурационным файлам служб.
Шаблон позволяет использовать протокол CHAP для проверки подлинности при подключении iSCSI-устройств, разделить сети управления и активные сети виртуальных машин, настроить требования сложности пароля и задать тайм-аут сессии в веб-консоли.
В рамках политики «Предотвращение шпионажа других пользователей на удаленных консолях администратора» можно разрешить соединение консоли только с одной виртуальной машиной.
Другие запросы будут отклоняться до окончания первой сессии. Администратор информационной безопасности может адаптировать шаблон, удалив из него неиспользуемые политики. Кроме того, типовой шаблон можно сделать пользовательским, сочетая политики из разных шаблонов между собой.
Государственные информационные системы
Требования к обеспечению защиты информации ограниченного доступа, не составляющей государственную тайну, содержащуюся в государственных информационных системах, регламентирует приказ ФСТЭК России № 17.
Помимо закрытия мер по обеспечению безопасности персональных данных в государственных информационных системах, vGate 4.7 также осуществляет:
Помимо закрытия мер по обеспечению безопасности персональных данных в государственных информационных системах, vGate 4.7 также осуществляет:
Для ГИС доступны следующие шаблоны политик:
- «ГИС К3»
- «ГИС К1 и К2»
В набор политик для ГИС входят все политики, составляющие набор для защиты ИСПДн, а также добавлены новые.
Среди них: политики настройки брандмауэра ESXi-сервера, ограничения числа одновременных сеансов администратора виртуальной инфраструктуры.
В рамках шаблона можно запретить использование Managed Object Browser, Direct Console Interface, интерпретатора командной строки ESXi Shell, а также отключить протокол IPv6. Осуществляется настройка ограничения доступа по SSH, к VMsafe Network API.
В рамках политики «Контроль за доступом через VMSafe CPU/Mem API» можно проверять (применять) параметры vmsafe.enable, vmsafe.agentAddress, vmsafe.agentPort при указании IP-адреса и порта для доступа к VMSafe CPU/Mem API.
Среди них: политики настройки брандмауэра ESXi-сервера, ограничения числа одновременных сеансов администратора виртуальной инфраструктуры.
В рамках шаблона можно запретить использование Managed Object Browser, Direct Console Interface, интерпретатора командной строки ESXi Shell, а также отключить протокол IPv6. Осуществляется настройка ограничения доступа по SSH, к VMsafe Network API.
В рамках политики «Контроль за доступом через VMSafe CPU/Mem API» можно проверять (применять) параметры vmsafe.enable, vmsafe.agentAddress, vmsafe.agentPort при указании IP-адреса и порта для доступа к VMSafe CPU/Mem API.
Критическая информационная инфраструктура
Требования и состав мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры определяются Приказом ФСТЭК России № 239.
vGate 4.7 осуществляет часть мер по:
vGate 4.7 осуществляет часть мер по:
- идентификации и аутентификации;
- управлению доступом;
- ограничению программной среды;
- защите машинных носителей информации;
- аудиту безопасности;
- обеспечению целостности;
- обеспечению доступности;
- защиту информационной (автоматизированной) системы и ее компонентов;
- реагированию на инциденты информационной безопасности;
- управлению конфигурацией;
- обеспечению действий в нештатных ситуациях
Для ГИС доступны следующие шаблоны политик:
- «КИИ К2 и К3»
- «КИИ К1»
В рамках данного шаблона можно задать ограничения простоя сессий и работы служб ESXi Shell и SSH, установить автоматическое затирание файлов жестких дисков при удалении виртуальной машины.
Также можно запретить операции со снимками виртуальных машин и подключение USB-носителей к ESXi-серверу. Если в виртуальной инфраструктуре используется технология Transparent Page Sharing, позволяющая использовать идентичные страницы памяти несколькими виртуальными машинами, то использование политики «Настройка безопасности Transparent Page Sharing» позволяет включить дополнительную проверку параметра sched.mem.pshare.salt в vmx-файле для предотвращения несанкционированного доступа к страницам памяти.
Для разных виртуальных машин доступ к идентичным страницам будет запрещен. Для использования страниц разными машинами требуется отредактировать параметр с помощью политики «Установка значения sched.mem.pshare.salt».
Также можно запретить операции со снимками виртуальных машин и подключение USB-носителей к ESXi-серверу. Если в виртуальной инфраструктуре используется технология Transparent Page Sharing, позволяющая использовать идентичные страницы памяти несколькими виртуальными машинами, то использование политики «Настройка безопасности Transparent Page Sharing» позволяет включить дополнительную проверку параметра sched.mem.pshare.salt в vmx-файле для предотвращения несанкционированного доступа к страницам памяти.
Для разных виртуальных машин доступ к идентичным страницам будет запрещен. Для использования страниц разными машинами требуется отредактировать параметр с помощью политики «Установка значения sched.mem.pshare.salt».
Финансовые организации
Уровни защиты информации и требования к содержанию базового состава мер защиты информации, применяемых финансовыми организациями, регламентируются ГОСТ Р 57580.1-2017.
vGate 4.7 закрывает часть мер по:
vGate 4.7 закрывает часть мер по:
- управлению учетными записями и правами субъектов логического доступа;
- идентификации, аутентификации, авторизации (разграничении доступа), при осуществлении логического доступа;
- защиту информации при осуществлении физического доступа;
- идентификации и учет ресурсов и объектов доступа;
- сегментации и межсетевого экранирования вычислительных сетей;
- защиту информации, передаваемой по вычислительным сетям;
- контролю целостности и защищенности информационной инфраструктуры;
- предотвращению утечек информации;
- мониторингу и анализу событий защиты информации;
- обнаружению инцидентов защиты информации и реагированию на них;
- защите среды виртуализации;
- реализации процесса системы защиты информации;
- контролю процесса системы защиты информации;
- требованиям к защите информации на этапах жизненного цикла автоматизированных систем и приложений
Для защиты финансовых организаций используются следующие шаблоны политик:
- ГОСТ Р 57580.1-2017 УЗ 2 и УЗ 3
- ГОСТ Р 57580.1-2017 УЗ 1
В рамках шаблона «ГОСТ Р 57580.1-2017 УЗ 1» можно ограничить время простоя сессии DCUI, а также неуспешные попытки входа в систему на ESXi-сервер.
Реализован запрет смешивания разных типов сетевого трафика, который позволяет блокировать возможность подключения к виртуальному коммутатору группы сетевых портов с типом VMKernel.
Шаблон также позволяет настроить политику сложности паролей, добавить список программ, разрешенных на ESXi-хосте, отключить использование ненужных устройств (IDE, Floppy, Parallel, Serial, USB), установить время автоматического разблокирования учетной записи ESXi-сервера.
Реализован запрет смешивания разных типов сетевого трафика, который позволяет блокировать возможность подключения к виртуальному коммутатору группы сетевых портов с типом VMKernel.
Шаблон также позволяет настроить политику сложности паролей, добавить список программ, разрешенных на ESXi-хосте, отключить использование ненужных устройств (IDE, Floppy, Parallel, Serial, USB), установить время автоматического разблокирования учетной записи ESXi-сервера.
Соответствие политикам
Политики безопасности могут назначаться на следующие компоненты виртуальной инфраструктуры:
- Сервера виртуализации;
- Виртуальные машины;
- Сетевые адаптеры;
- Группы объектов;
- Образы контейнеров
После применения набора политик в vGate 4.7 доступна функция «Соответствие политикам» (только в редакции vGate Enterprise Plus).
С помощью нее можно проверить, соответствуют ли ESXi-серверы назначенным политикам безопасности. В приведенном примере на ESXi-сервер был назначен шаблон «КИИ К1». Для выполнения проверки нужно создать проект сканирования, выбрать необходимые ESXi-серверы и запустить сканирование.
С помощью нее можно проверить, соответствуют ли ESXi-серверы назначенным политикам безопасности. В приведенном примере на ESXi-сервер был назначен шаблон «КИИ К1». Для выполнения проверки нужно создать проект сканирования, выбрать необходимые ESXi-серверы и запустить сканирование.
Из результатов сканирования видно, что часть политик, назначенных на ESXi-сервер, соответствует шаблону. Некоторые политики не предназначены для ESXi-сервера, так как назначаются на другие компоненты виртуальной инфраструктуры. После результатов сканирования при необходимости нужно корректно настроить несоответствующие шаблону политики.
Помимо применения политик безопасности, закрытие мер защиты информации обеспечивается с помощью применения механизмов идентификации и аутентификации пользователей на сервере авторизации и в клиенте vGate. А также благодаря гибкой настройке полномочий учетных записей пользователей виртуальной инфраструктуры.
Реализован метод полномочного разграничения доступа к конфиденциальным ресурсам, регистрация и аудит событий, резервирование конфигурации, сегментирование виртуальной сети.
Подходя к общему итогу материала, мы с уверенностью можем сказать, что vGate 4.7 позволяет быстро настроить существующую виртуальную инфраструктуру под требования руководящих документов.
Оставайтесь с нами! В следующей статье вы узнаете о ключевых преимуществах актуальной версии vGate 4.7, удовлетворяющих современные запросы рынка.
Автор статьи: Влада Нестеренко, Инженер отдела интеграции TS Solution
Помимо применения политик безопасности, закрытие мер защиты информации обеспечивается с помощью применения механизмов идентификации и аутентификации пользователей на сервере авторизации и в клиенте vGate. А также благодаря гибкой настройке полномочий учетных записей пользователей виртуальной инфраструктуры.
Реализован метод полномочного разграничения доступа к конфиденциальным ресурсам, регистрация и аудит событий, резервирование конфигурации, сегментирование виртуальной сети.
Подходя к общему итогу материала, мы с уверенностью можем сказать, что vGate 4.7 позволяет быстро настроить существующую виртуальную инфраструктуру под требования руководящих документов.
Оставайтесь с нами! В следующей статье вы узнаете о ключевых преимуществах актуальной версии vGate 4.7, удовлетворяющих современные запросы рынка.
Автор статьи: Влада Нестеренко, Инженер отдела интеграции TS Solution