Часто задаваемые вопросы

Данные, обрабатываемые в виртуальных средах, должны быть защищены также надежно, как и в физических.

Основная проблема обеспечения безопасности виртуальной среды связана с тем, что традиционные средства защиты информации не способны обеспечить защиту от новых угроз безопасности информации, специфичных для виртуальной инфраструктуры. С помощью гипервизора или средств управления виртуальной инфраструктурой злоумышленник может перехватить потоки данных, идущие с виртуальных машин на устройства (HDD, принтер, USB, сеть, дискеты), или получить непосредственный доступ к дискам хранилища с файлами виртуальных машин даже при использовании традиционных средств защиты информации. Причем злоумышленник может получить доступ к дискам хранилища, даже когда ВМ выключены или не работают, без участия программного обеспечения этих виртуальных машин.

Кроме того, привычные решения не всегда совместимы со средой виртуализации, так как изначально разрабатывались для использования в физической среде. Например, для обеспечения контроля целостности конфигурации и доверенной загрузки обычно используются программно-аппаратные платы доверенной загрузки, устанавливаемые в разъемы PCI или PCI-E материнской платы ПК. Если для серверов виртуализации такой способ вполне подходит, то для ВМ такие средства  не применимы.

Продукт vGate, разработанный специально для защиты виртуальных сред, обеспечивает сертифицированную защиту виртуальной инфраструктурой от утечки информации по каналам, специфичным для виртуальной среды.

Для защиты виртуальной среды с помощью vGate все защищаемые ESX-сервера и средства управления ВИ выделяются в отдельный сегмент сети. Доступ внутрь этого сегмента контролируется сервером авторизации vGate. На рабочих местах администраторов ВИ и иных компьютерах, которым необходим доступ внутрь защищаемого периметра, устанавливаются агенты аутентификации. Тем самым, достигается усиленная аутентификация, разделение ролей и делегирование полномочий. После аутентификации полномочия пользователей ограничены настройками, заданными на сервере авторизации. vGate обеспечивает разделение объектов виртуальной инфраструктуры на логические группы и сферы администрирования через мандатное и ролевое управление доступом.  Сервер авторизации посредством анализа команд управления обеспечивает управление доступом к ESX-серверам и vCenter, а также ограничивает перечень доступных операций с объектами виртуальной инфраструктуры.

На ESX-сервер устанавливается модуль защиты, который, гарантирует неизменность конфигурации и контроль целостности виртуальных машин.

Кроме того, vGate обеспечивает автоматическое приведение инфраструктуры в соответствие требованиям стандартов в области ИБ и постоянный контроль соответствия.

Нет, установка vGate не снижает производительность виртуальной платформы: продукт не оказывает влияния ни на нагрузку сети пользователей виртуальных машин, ни на производительность центрального процессора сервера виртуализации.

Рассмотрим подробнее. Предполагается, что vGate функционирует в сети, настроенной согласно рекомендациям VMware, то есть, например, сеть виртуальных машин отделена от сети администрирования. При этом компоненты vGate устанавливаются и функционируют только в сети администрирования виртуальной инфраструктуры, а, значит, никакого влияния на траффик в сети виртуальных машин, где работатют пользователи, они не оказывают.

В сети администрирования основная часть защитных механизмов строится на базе анализа команд управления (без их модификации). Исключением является только замена стандартного загрузчика ядра сервера виртуализации. Этот модифицированный загрузчик, используемый для контроля целостности, может только в какой-то мере повлиять на скорость запуска или останова виртуальных машин, что надо сказать не является критичной по быстродействию операцией.

Да, vGate позволяет обеспечить защиту от НСД к данным внутри виртуальной машины со стороны администратора ВИ. Благодаря функции разделение ролей, администратор ВИ имеет только те привилегии, которые ему необходимы для администрирования ВИ, без доступа к ВМ и данным внутри них. С другой стороны, администратор ИБ, ответственный за настройку этих прав доступа, доступ к ESX-серверам, ВМ и средствам управления ВИ не имеет, и изменить самостоятельно свои права он не может.

Для разграничения доступа к виртуальной инфраструктуре применяются механизмы дискреционного и полномочного (мандатного) управления доступом.

Механизм дискреционного управления доступом строго определяет правила доступа администратора ВИ к конкретному ESX-хосту по определенным протоколам и портам. Благодаря полномочному управлению доступом на базе меток безопасности можно гибко предоставить доступ только для какого-то определенного администратора только к определенным виртуальным ресурсам в соответствии с уровнем доступа или бизнес-категорией (организационной структурой или характером обрабатываемых данных). Метки безопасности назначаются всем объектам ВИ: учетным записям, ВМ, ESX-серверам, сетевым ресурсам и хранилищам. При выполнении любой операции с виртуальными ресурсами проверяются и сопоставляются метки безопасности пользователя и задействованных ресурсов с целью принятия решения о предоставлении/запрете доступа для выполнения операции.

Да, такая возможность существует благодаря функциям расширенного мониторинга событий и отчетности. В журнале vGate регистрируются события, связанные с управлением пользователями, настройкой прав и полномочий, авторизацией пользователей и другие действия в виртуальной среде. Кроме того, vGate позволяет подготовить различные отчеты на основе данных журнала событий или текущих настроек.

Следует отметить, что выход из строя сервера авторизации и иных компонентов vGate не влияет на работу виртуальных машин, т.е. пользователи, работающие с приложениями на них, не заметят произошедшего. Конечно, в случае выхода из строя сервера авторизации функции администрирования виртуальной инфраструктуры администраторам ВИ будут недоступны. Но с помощью резервной копии конфигурации сервера авторизации восстановить его работоспособность на другом сервере можно практически за несколько минут. И даже этой задержки можно избежать, если развернуть резервный сервер авторизации. В этом случае при выходе из строя основного сервера авторизации можно передать управление резервному серверу. Резервный сервер позволяет полностью заменить вышедший из строя сервер авторизации, т.е. выход из строя сервера авторизации проходит абсолютно незаметно для администраторов ВИ. Агенты аутентификации на рабочих местах администраторов ВИ и компьютерах сервисных служб переключатся на работу с новым сервером авторизации автоматически.

Да, vGate 2 поддерживает работу c VMware vSphere 4.1. Кроме того, vGate позволяет защищать виртуальные инфраструктуры на базе платформ VMware Infrastructure 3 и VMware vSphere 4.

Да, vGate 2 поддерживает работу с гипервизорами ESXi.

vGate 2 совместим с VMware View 4.5.

Да, в будущем планируется поддержка платформы Hyper-V с помощью продукта TrustAccess. Для получения дополнительной информации направляйте вопросы на e-mail info@securitycode.ru.

Для администраторов ВИ работа vGate практически незаметна. Единственное отличие заключается в необходимости ввода учетных данных (логин и пароль), настроенных в vGate, перед администрированием виртуальной среды.

Для администратора ИБ vGate также очень привлекателен. Например, для настройки нормативного соответствия PCI DSS или иному стандарту вместо ручной настройки более нескольких десятков различных параметров ESX-серверов достаточно связать необходимый шаблон политик с меткой безопасности и назначить ее нужным ESX-серверам.

Приобретение дополнительного оборудования для развертывания vGate не требуется, за исключением выделенного сервера под сервер авторизации vGate.

В случае отсутствия свободного сервера, сервер авторизации может быть развернут на любой виртуальной машине ESX-сервера или на сервере, где функционирует vCenter.

Лицензия «Право на использование vGate для защиты ESX-хостов» закупается в количестве, равном числу физических процессоров, установленных на защищаемых ESX-хостах. Например, если требуется защитить 4 двухпроцессорных ESX-хоста, то требуется приобрести 8 лицензий.

Помимо этого, необходимо приобрести лицензию «Право на использование Сервера авторизации vGate». Если планируется использование функции отказоустойчивости vGate, то также требуется приобрести лицензию «Право на использование резервного Сервера авторизации vGate».

Все клиенты, которые уже приобрели Security Code vGate for VMware Infrastructure, могут перейти на новую версию vGate 2 бесплатно. Для получения ключей или дополнительной информации по данному вопросу обращайтесь в коммерческий отдел компании «Код Безопасности»: sales@securitycode.ru
тел.: +7 (495) 980-2345 доб. 492

vGate обеспечивает только защиту непосредственно самой инфраструктуры от специфичных угроз. Для комплексной защиты следует обеспечить защиту самих ВМ с помощью традиционных средств защиты. Например, для этого можно использовать СЗИ от НСД Secret Net и межсетевой экран TrustAccess, который позволит обеспечить защиту ВМ как от сетевых угроз со стороны физической сети, так и со стороны других виртуальных машин. Для доверенной загрузки ESX-серверов рекомендуется использовать электронный замок "Соболь".

Да, vGate уже успешно внедрен, например, в МИСИС и АМТ Банке. В настоящий момент ведется еще несколько проектов по внедрению vGate. Информация о результатах внедрения vGate обязательно будут опубликована на сайте компании по завершении этих проектов.

Да, по развертыванию и администрированию продукта можно пройти курс дистанционного обучения. Все вопросы по учебному курсу Вы можете задать по e-mail sdo@securitycode.ru.

ООО «Код Безопасности» считает:

• нецелесообразным получение санитарно эпидемиологического заключения МСанПин 001-96 "Санитарные нормы допустимых уровней физических факторов при применении товаров народного потребления в бытовых условиях" для ПАК «Соболь», в связи с тем, что продукт не является товаром народного потребления, а является составляющей ПЭВМ;
• нецелесообразным получение сертификата ГОСТ Р МЭК 60950-2002 «Безопасность оборудования информационных технологий» для ПАК «Соболь», в связи с тем, что продукт не имеет собственного блока питания или подключения к сети.

• Продукты Secret Net и Security Studio предназначены для разных классов АС - Secret Net предназначен для защиты информационных систем более высокого класса защищенности (до 1Б).
• Security Studio не имеет автономного варианта, в отличие от Secret Net

Смотрите документ - Особенности установки СЗИ Secret Net 5.1/Security Studio при использовании СУБД Oracle 10g Express Edition

• протокол AH (Authentication Header) — позволяет гарантировать аутентичность и целостность передаваемых данных каждого IP-пакета и, как следствие, обеспечивает защиту от атак типа "Man in the Middle";
• протокол ISAKMP — предназначен для обмена ключами и согласования параметров соединения.

Сервер управления TrustAccess функционирует на сервере под управлением любой ОС семейства Windows (от Windows 2000 до Windows Server 2008 x64 R2). Следует отметить, что продукт TrustAccess обладает логотипами совместимости Microsoft: Works with Windows Server 2008 R2 и Works with Windows 7.

Для функционирования сервера управления установка СУБД не требуется

Нет, разграничить права доступа внутри БД TrustAccess не позволяет, поскольку в текущей версии не реализованы соответствующие правила фильтрации прикладного уровня. Тем не менее, TrustAccess позволит разграничить сетевой доступ к серверу с БД на уровне пользователей, групп пользователей, сетевых соединений (сетевых протоколов и портов) и т.д., а также обеспечить защиту сетевых соединений при обращениях клиентских приложений к серверу БД.

Да, можно. Например, таким образом можно защитить сервер управления TrustAccess.

Установка агента межсетевого экрана на компьютер (сервер или рабочую станцию) необходима в следующих случаях:

• для сетевой защиты компьютера;
• для аутентифицированных (неанонимных) сетевых подключений к серверам и рабочим станциям, защищаемым с помощью TrustAccess.

Таким образом, если с ПК не предполагается получать аутентифицированный доступ к защищаемым с помощью TrustAccess объектам, или же обеспечивать сетевую защиту этого ПК, агент межсетевого экрана устанавливать на него не требуется. Также агент межсетевого экрана не нужно устанавливать на АРМ администратора или сервер управления (за исключением случаев, когда требуется обеспечить их сетевую защиту).

Средства TrustAccess позволяют устанавливать и обновлять ПО агента межсетевого экрана автоматически, с помощью механизма групповых политик Active Directory.

В данный момент IPv6 не поддерживается, но можно целиком запретить его использование (т.е. сервер будет блокировать IPv6-подключения).

Да, возможна. В TrustAccess применяются средства аппаратной поддержки — персональные идентификаторы eToken и iButton.

Подробно основные отличия продуктов освещены в статье «TrustAccess и SSEP. Выбираем межсетевой экран, который позволит наиболее оптимально решить задачи организации», которую Вы можете загрузить с нашего сайта по ссылке http://www.securitycode.ru/documents/upload/74.

Основная редакция продукта TrustAccess сертифицирована на соответствие уровням МЭ 2 и НДВ 4, что позволяет использовать продукт для защиты конфиденциальной информации в АС до класса 1Г включительно и всех классов ИСПДн. В отличие от обычной редакции, усиленная редакция TrustAccess-S сертифицирована уже по уровням МЭ 2 и НДВ 2, что разрешает использовать продукт для защиты государственной тайны в АС до класса 1Б включительно (до уровня "совершенно секретно"). Обе редакции продукта обладают одинаковым функционалом, средствами и механизмами защиты.

Стоимость продукта зависит от количества ключевых ресурсов, защиту которых требуется обеспечить. При этом существует два типа лицензий (лицензия на защиту сервера и лицензия на защиту рабочей станции), отличающихся друг от друга только версией установленной на компьютере операционной системы.

Отдельная лицензия на сервер управления или рабочее место администратора безопасности не требуется (за исключением случаев, когда они считаются ключевыми ресурсами и требуется обеспечить их сетевую защиту).

Обратите внимание, что лицензии необходимы именно для сетевой защиты рабочей станции или сервера. Для ПК, где агент межсетевого экрана установлен только для аутентифицированного подключения к защищаемым ресурсам, лицензия не требуется.

При изменении количества защищаемых серверов или рабочих станций требуется приобрести новую лицензию. По всем вопросам, связанным с лицензионной политикой и приобретением TrustAccess обращайтесь в коммерческий отдел компании «Код Безопасности» по адресу: sales@securitycode.ru.

Компанией "Код Безопасности" разработаны программы дистанционного обучения по всем производимым продуктам. По вопросам, связанным с дистанционным обучением, обращайтесь по адресу: sdo@securitycode.ru.

В ряде случаев выход из строя сервера управления TrustAccess может вообще остаться незамеченным участниками защищенного взаимодействия. При выходе из строя сервера управления уже установленные защищенные сетевые соединения между аутентифицированными абонентами разорваны не будут. Поскольку копия основных настроек (в том числе и правил фильтрации) хранится на защищаемом объекте, помимо уже аутентифицированных соединений, возможна установка новых соединений на базе анонимных правил доступа.

Следует отметить, что TrustAccess позволяет задать специальные правила (например, разрешить соединения с DHCP-сервером), которые будут работать в случае недоступности сервера управления наряду с вышеперечисленными. Кроме того, при необходимости, можно заблокировать доступ всем пользователям или же разрешить доступ всем пользователям к защищаемому объекту на период недоступности сервера управления.

Конечно, в случае выхода из строя сервера управления функции аутентификации или настройки защитных механизмов будут недоступны. Однако с помощью резервной копии конфигурации сервера управления восстановить его работоспособность на другом сервере можно практически за несколько минут.

Возможна установка ПУ ЦУС на следующие операционные системы:

• Windows 2000 Professional SP4
• Windows 2000 Server SP4
• Windows Server 2003 SP2
• Windows Server 2003 R2
• Windows XP Professional SP3
• Windows Vista SP1 (Business / Enterprise / Ultimate Edition)

• АПКШ "Континент" обладает одним из лучшим соотношений цена/производительность среди устройств своего класса.
• Способность осуществлять конфигурацию сети криптошлюзов без перезагрузки системы позволяет применять его в сетях, критичных к разрывам соединений.
• АПКШ "Континент" обладает возможностями межсетевого экрана и крипто-маршрутизатора.
• Модельный ряд Континент представлен моделями, удовлетворяющих потребностям от малого офиса, до магистральных каналов.
• Полнофункциональное централизованное управление и сбор статистики.

Да, в соответствии с требованиями регуляторов, программа управления ЦУС должна располагаться в защищаемой сети. Тем не менее, существует техническая возможность настроить "Континент" для работы ПУ ЦУС вне защищаемой сети. Производитель не рекомендует использовать такую схему из-за снижения общего уровня защищенности сети.

Да, высокая эффективность работы "Континент" при передаче VoIP трафика подтверждена испытаниями.

В зависимости от аппаратной платформы ЦУС, до 500 криптошлюзов на один ЦУС. (В одной сети криптошлюзов может быть только один ЦУС).

ГОСТ 28147-89 режиме гаммирования с обратной связью. Длина ключа - 256 бит.

Да, в режиме имитовставки согласно ГОСТ 28147-89.

Да, система позволяет создать до 12 физических, изолированных внутренних сегментов, разделять доступ и обеспечивать контролируемое взаимодействие между ними.

Да, по номерам протоколов в заголовке IP-пакета.

Да.

Достаточно установить один экземпляр ПУ ЦУС на АРМ администратора, но ограничений на количество устанавливаемых ПУ ЦУС нет. Обратите внимание, что ЦУС одновременно поддерживает работу только с одной ПУ ЦУС.

Нет, ПУ ЦУС поставляется на диске с дистрибутивом ПО Континент, который входит в комплект поставки ЦУС.

Нет, криптошлюзы могут управляются только одним ЦУС.

Да, АПКШ "Континент" сертифицирован имеет сертификаты ФСТЭК / ФСБ.

Приобретая АПКШ Континент, заказчик получает право на один год технической поддержки "Базового" уровня. По истечении одного года, заказчик может приобрести продление технической поддержки. Так же для заказчиков предусмотрена возможность приобретения права на техническую поддержку "Расширенного" уровня, которая предусматривает дополнительные преимущества, такие как возможность обновления версии ПО.

На аппаратные платформы АПКШ Континент распространяется гарантия 24 месяца с момента приобретения, при соблюдении пользователем условий эксплуатации и хранения.

Плановая смена ключей шифрования осуществляется администратором ИБ, на внешних носителях.

Да, это возможно сделать созданием двух типов правил:

1. Посредством создания правила с контролем состояния соединений
   Для соответствующего криптошлюза в меню "Правило фильтрации" создается правило, разрешающее прохождение пакетов согласно требованиям пользователя.
2. Посредством создания правила без контроля состояния соединений
   Для соответствующего криптошлюза в меню "Правило фильтрации" создается два правила, пропускающие пакеты как в прямом, так и в обратном направлении согласно требованиям пользователя,.

Да, Вы можете сделать экспорт информации о попытках НСД в текстовой файл. Также экспорт в текстовой файл может быть осуществлен для системного журнала и правил фильтрации.

Да, такая конфигурация возможна, настройка криптошлюзов осуществляется через локальное управление.

Нет, версия ЦУС должна быть такой же, как у криптошлюза, или выше.

Обновление необходимо проводить последовательно, начиная с ЦУС, затем ПУ ЦУС, далее все криптошлюзы и сервера доступа.

Да, для этого необходимо предварительно приобрести и установить «Комплект для модернизации платформы G478 АПКШ «Континент»», для каждой платформы G478.

СЗИ Security Studio может применяться как средство защиты информации от несанкционированного доступа (СЗИ от НСД) в системах класса К3 и К2:

• Агент конфиденциальности – до К2 включительно
• Агент контроля целостности – до К3 включительно

Защита ИСПДн в общем случае требует использования следующих сертифицированных защитных систем: СЗИ от НСД, межсетевые экраны, антивирусные средства, системы защиты от программно-математического воздействия (обычно входящие в состав антивирусных пакетов) и средства криптографической защиты (в типовой системе фактически требуется только в тех случаях, когда разграничение доступа невозможно обеспечить средствами СЗИ от НСД). Конкретные набор необходимых средств защиты определяется классом ИСПДн и ее характеристиками, такими как структура ИСПДн, наличие подключения к сетям общего пользования и режим разграничения прав доступа пользователей ИСПДн.

Security Studio является сертифицированным СЗИ от НСД и в общем случае ее одной недостаточно для защиты ИСПДн. Что нужно еще определяется для каждой ИСПДн индивидуально. Серди продуктов компании Информазащита для защиты ИСПДн также можно использовать: 

• СЗИ Secret Net – СЗИ от НСД с возможностью использования в ИСПДн до класса К1 включительно. 
  
• СКЗИ M-506A-XP – сертифицированное средство криптографической защиты. Также может применять в системах обработки ПД до класса К1 включительно.
• АПКШ Континент – аппаратно-программный комплекс сочетающий в себе сертифицированный межсетевой экран и средство организации VPN.

Систему защиты информации Security Studio можно использовать для мобильных компьютеров (ноутбуков) в случае, если они входят в корпоративную сеть (в домен AD).

Security Studio разворачивается в корпоративной сети (средства управления и мониторинга) и устанавливается на ноутбуки, подключенные к ней. После установки Security Studio ноутбуки можно отключать от сети и работать с ними автономно (удаленно), при этом Security Studio продолжает выполнять свои защитные функции. Но управление защитными механизмами и мониторинг событий безопасности осуществляется централизованно через сеть, т.е. только когда ноутбуки подключены к сети.

Смотрите документ - Особенности установки СЗИ Secret Net 5.1/Security Studio при использовании СУБД Oracle 10g Express Edition