Журнал "Information Security/ Информационная безопасность" #1, 2019

Безопасники обычно утверждают, что использование публичных облаков для работы с корпоративными данными не подходит: информация выходит за пре- делы компании, безопасностью занима- ется провайдер (остается лишь верить в его благонадежность). Впрочем, когда технология виртуализации только зани- мала свое место на арене ИТ, опасений было не меньше. Новая технология – новые вызовы безопасности. Сегмент-В. Сегодня уже созданы свои средства защиты информации (СЗИ) для многих задач: для антивирусной защиты, дове- ренной загрузки виртуальных машин [1–4], разграничения доступа к объектам виртуальной инфраструктуры (ВИ) [5]. Так, разработанный ОКБ САПР про- граммно-аппаратный комплекс (ПАК) "Сегмент-В." предназначен для разгра- ничения доступа к функциям управления ВИ на базе VMware vSphere. В состав комплекса входят прокси-сервер, специ- альное программное обеспечение для настройки разграничения доступа к ВИ и сервис регистрации событий. Используя ПАК "Сегмент-В.", админи- стратор безопасности получает возмож- ность на основе иерархических мандатных меток задавать правила доступа пользо- вателей (администраторов ВИ) к объ- ектам, а через назначение списка дей- ствий определять перечень операций, которые пользователь может совершать. Прокси-сервер обрабатывает в соот- ветствии с заданными правилами раз- граничения доступа все запросы, посту- пающие с рабочего места администра- тора ВИ на сервер управления vCenter (или на ESXi). "Сегмент-В." пропускает только разрешенные действия. Правила разграничения доступа задаются адми- нистратором безопасности через графи- ческую утилиту из состава "Сегмент-В.". Сервис регистрации событий, устанав- ливаемый на рабочем месте админи- стратора безопасности, собирает инфор- мацию обо всех действиях в системе, как разрешенных, так и запрещенных для исполнения. Через назначение меток также обес- печивается сегментирование ВИ – прокси-сервер "Сегмент-В." не допускает выполнение действий, в которых уча- ствуют объекты различных уровней досту- па или с непересекающимися множе- ствами категорий. Дополнительный СЗИ – решение или проблема? При использовании для разграничения доступа лишь встроенных механизмов VMware vSphere возникает проблема сосредоточения максимальных приви- легий в рамках одной роли главного администратора ВИ, т.е. проблема "суперпользователя". Такой администра- тор может назначить любые права любо- му пользователю, дать доступ к любому объекту, являясь при этом администра- тором ВИ, а не безопасности; в рамках одного пользователя сосредоточены права двух администраторов, каждый из которых должен решать свои задачи и преследовать свои интересы. Хотя решить данную проблему зача- стую возможно организационными мера- ми, это не всегда удобно. "Сегмент-В." позволяет администратору безопасности самому разрешать пользователям выпол- нение только определенных действий, не являясь при этом администратором ВИ. Такое разделение полномочий админи- стратора безопасности и администратора ВИ позволяет решить проблему "супер- пользователя". Несмотря на то что "Сегмент-В." позво- ляет разграничивать полномочия адми- нистраторов ВИ, после его установки в работе этих пользователей ничего не меняется, разве что настройки сети: теперь трафик проходит через прокси- сервер. На рабочем же месте не появляет- ся дополнительных утилит, нет необхо- димости проходить аутентификацию в каких-либо дополнительных защитных сервисах, а для доступа к ВИ админи- стратор может продолжать использовать привычные ему средства: vSphere Client (HTML5) для работы с последними вер- сиями ВИ или Windows- клиент vClient для плат- форм vSphere 6.0 и ранее. Использование резер- вирования прокси-сервера "Сегмент-В." позволяет обезопасить себя от создания точки отказа всей системы: работая в кла- стерном режиме, два прокси-сервера хранят одинаковые настройки правил разграничения доступа, а при выходе из строя одного из них автоматически происходит перенаправление трафика на второй. Когда-то задачи разграничения дей- ствий пользователей в ВИ и обеспече- ние сегментирования были вызовом специалистам по защите информации, сегодня у нас есть решение. Наверняка завтра такой же обыденной задачей станет и защита данных в публичном облаке. Литература 1. Мозолина Н. В. Необходимо и доста- точно, или контроль целостности вирту- альных машин с помощью Аккорд-KVM // Information Security/Информационная без- опасность. – 2018. – № 5. – С. 33. 2. Рябов А. С., Угаров Д. В., Постоев Д. А. Безопасность виртуальных инфраструк- тур. Сложности и нюансы выполнения требований регулятора // Комплексная защита информации: материалы XXI научно-практической конференции, Смоленск, 17–19 мая 2016 г. М., 2016. – С. 217–220. 3. Конявская С. В. Инновации в тради- ционных решениях для ЦОДов // Нацио- нальный банковский журнал. – 2018. – № 3 (169). – С. 94. 4. Конявская С. В., Шамардина (Чепа- нова) Е. Г. Выводы о средствах защиты виртуализации // Национальный банков- ский журнал. – 2017. – № 9 (сентябрь). – С. 104. 5. Конявская С. В., Угаров Д. В., Постоев Д. А. Инструмент контроля доступа к средствам управления вирту- альной инфраструктурой // Information Security/Информационная безопасность. – 2016.– № 2. – С. 9. l • 29 ЗАЩИТА СЕТЕЙ www.itsec.ru Защита виртуализации "в эпоху бурного развития" ребования пользователей к их компьютерам, рабочим или домашним, постоянно растут: 640 Кбайт оперативной памяти уже не хватает, невозможно обойтись без поддержки многозадачности и выхода в Интернет, и даже тогда многим мало одного рабочего места. Информационная система эволюционирует от физической к виртуальной, от виртуальной – к центру обработки данных, от ЦОДа через частное облако – к облаку гибридному или публичному. Т Надежда Мозолина, ОКБ САПР, преподаватель кафедры “Защита информации” ФРТК МФТИ АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48 NM

RkJQdWJsaXNoZXIy Mzk4NzYw