8 Июля, 2013

Защищаем виртуальную инфраструктуру по требования 21 и 17 приказов ФСТЭК

Иван Бойцов
Важность защиты виртуальной инфраструктуры не вызывает вопросов, список новых угроз , возникающих при переходе от физических серверов к виртуальным, обширен, и ФСТЭК впервые в 21 и 17 приказах не обошел эту проблему стороной. Давайте разберемся, какие средства защиты информации способны выполнить базовые меры из требований приказов ФСТЭК.

11 июля 2013 в 11:00 пройдет вебинар "Выполнение новых требований законодательства по защите персональных данных при использовании технологий виртуализации", который проведет Яков Хамаганов , менеджер по продукту vGate.

Подробная информация и регистрация на вебинар
Рассмотрим базовые мерами по защите, указанные в 11 разделе "Защита среды виртуализации (ЗСВ)" таблицы из приложений к приказам ФСТЭК:


Следует обратить внимание, что требования по классам ГИС и уровням защищенности ПДн немного отличаются. Пройдемся по всем базовым мерам и рассмотрим какие средства защиты способны выполнить указанные меры:
  1. ЗСВ.1 "Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации" - эту функцию выполняет либо само средство управлению виртуальной инфраструктурой (СУ ВИ), либо СЗИ, специально предназначенное для защиты виртуализации (СЗИ ВИ).
  2. ЗСВ.2 "Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин" - эту функцию в части управления доступом к ВИ так же выполняет СУ ВИ или СЗИ ВИ. Но управление доступа внутри виртуальных машин эти средства выполнить не могут, тут необходимо использовать классические СЗИ от НСД, устанавливаемые на виртуальные машины.
  3. ЗСВ.3 "Регистрация событий безопасности в виртуальной инфраструктуре" - регистрацию событий так или иначе выполняют практически все СЗИ, используемые для реализации остальных базовых мер.
  4. ЗСВ.4 "Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры" - эту меру способны выполнить только некоторые СУ ВИ и СЗИ ВИ, устанавливающие свои механизмы защиты на все компоненты ВИ, дополнительно периметровую защиту можно реализовать с помощью классических межсетевых экранов.
  5. ЗСВ.5 "Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией" - данная мера делится на две - доверенная загрузка физических серверов (гипервизора, СУ ВИ и т.д.) и виртуальных машин. Первое выполняется с помощью классических средств доверенной загрузки (СДЗ), второе - с помощью СЗИ ВИ. Стоит отметить, что данная мера не является обязательной к реализации, поэтому от использования классических СДЗ можно отказаться в целях экономии.
  6. ЗСВ.6 "Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных" - функция выполняется СУ ВИ и СЗИ ВИ.
  7. ЗСВ.7 "Контроль целостности виртуальной инфраструктуры и ее конфигураций" - функция выполняется только СЗИ ВИ.
  8. ЗСВ.8 "Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры" - функция по резервному копированию данных выполняются специализированные средства резервного копирования, а резервирование технических средств, ПО и каналов связи выполняется организационными мерами в рамках процесса проектирования и внедрения ВИ.
  9. ЗСВ.9 "Реализация и управление антивирусной защитой в виртуальной инфраструктуре" - данные меры выполняются специализированными антивирусами для ВИ или классическими антивирусами, устанавливаемыми на все компоненты ВИ (кроме некоторых гипервизоров, ввиду отсутствия технической возможности установки).
  10. ЗСВ.10 "Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей" - функция выполняется СЗИ ВИ, дополнительно может быть использован распределенный межсетевой экран, агенты которого устанавливаются на виртуальные машины.
Под безликими "СУ ВИ", "СЗИ ВИ" и т.д. я подразумевал, конечно же, вполне конкретные программные продукты.

Как известно , при защите ИСПДн можно использовать только сертифицированные СЗИ, поэтому перечень доступных средств защиты сильно сокращается. Но, не смотря на это, существуют даже сертифицированные средства управления виртуализации, по имеющейся у меня информации, сертифицированными СУ ВИ являются VMware vSphere 4 (обратите внимание, что сертификат истекает 09.08.2013 г.) и Citrix XenDesktop 4 FP2 . Основная проблема данных СУ ВИ в том, что они сильно устарели, текущая версия vSphere - 5.1, XenDesktop - 7, и использование сертифицированных СУ ВИ не позволяет проводить их обновление, даже исправление критических ошибок. Поэтому современный рынок предлагает нишевой класс продуктов - средства защиты виртуальной инфраструктуры.

В первую очередь, говоря от СЗИ ВИ, я подразумеваю наш продукт vGate . Существуют и альтернативы, о которых я, по понятным причинам, умолчу, однако по функциональным возможностям, стабильности работы и частоты обновления нашему продукту нет равных.
Кроме выполнения большей части базовых мер, vGate обладает и другим существенным функционалом, который выходит за рамки данной публикации, ознакомится с подробной информацией вы можете на нашем сайте .

Что касается применения СЗИ на виртуальных машинах, в том числе СЗИ от НСД, распределенных межсетевых экранах, антивирусах, в дополнительной их адаптации, в общем случае, нет необходимости. Небольшим плюсом является протестированность разворачивания решения из шаблонов виртуальных машин, так, например, СЗИ от НСД SecretNet 7 , будучи добавленным в шаблонную виртуальную машину, при создании новой машины на базе шаблона, автоматически регистрируется на Сервере безопасности SecretNet, что ускоряет процесс разворачивания новых защищенных машин и сводит к минимуму угрозы развертывания новых плохо защищенных виртуальных машин.

Отдельно стоит рассмотреть средства антивирусной защиты и средства резервного копирования, "заточенные" под виртуализацию. На этом рынке достаточно много игроков, но мало кто из них сертифицирует свои продукты. Из известных мне сертифицированных средств антивирусной защиты - Trend Micro Deep Security 8.0 (САВЗ 4, СОВ 4, РД МЭ 4, НДВ 4 уровня контроля подразумевается ). Продукт Kaspersky Security for Virtualization, имеющий свежий сертификат по ТУ, к сожалению, использовать для реализации требований 21 и 17 приказов уже нельзя. Сертифицированных средств резервного копирования и того меньше, а специализированные средства бекапа для виртуализации вообще не имеют сертификатов - использовать не специализированное средство (например, Acronis Backup & Recovery 11 Advanced Server) или реализовывать требования меры ЗСВ.8 другим путем (организационные или компенсирующие меры) - выбирать оператору или интегратору.

Класс распределенных межсетевых экранов, с помощью которых можно провести дополнительную сегментацию виртуальных машин, на российском рынке представляет только один продукт - TrustAccess . Его использование больше обусловлено выполнением мер из раздела "ЗИС", но его применение возможно и для усиления защищенности виртуальных машин.

Подводя итог, для защиты виртуальной инфраструктуры в соответствии с 21 и 17 приказами ФСТЭК необходимо использовать следующие средства защиты:
  1. Сертифицированную систему управления виртуальной инфраструктурой или специализированное средство защиты виртуальной инфраструктуры;
  2. Средство защиты информации от несанкционированного доступа, установленное на виртуальных машинах;
  3. Средство антивирусной защиты - специализированное для виртуализации или классическое, установленное на все компоненты ВИ;
  4. Средство резервного копирования - специализированное (с обоснованием применения или закрытия орг.мерами) или классическое.
Дополнительно можно использовать:
  1. Периметровый межсетевой экран;
  2. Средство доверенной загрузки физических серверов;
  3. Распределенный межсетевой экран (внутри виртуальных машин).
В одной из следующих статей я рассмотрю возможность использования услуг "чужого" облака вместо создания своей виртуальной инфраструктуры, подписывайтесь на обновления блога по RSS , читайте меня в Twitter .

или введите имя

CAPTCHA