Обзор решения: средство защиты виртуальных сред vGate

Интенсивное импортозамещение и работы по созданию технологически независимых инфраструктурных платформ, выполняемые различными группами отечественных разработчиков, привели к необходимости ускоренного решения множества смежных задач в связанных областях.

Сегодня важным инфраструктурным сервисом, имеющим широчайшее распространение и практически повсеместное применение, является платформа серверной виртуализации и гипервизоры виртуальных сред для динамических инфраструктурных платформ. Для выполнения отдельных задач защиты сред виртуализации используются специализированные программные средства и инструменты, адаптированные к особенностям функционирования гипервизоров сред виртуализации.

Построение безопасных платформ виртуализации, реализация рекомендуемых мер защиты и применение требуемых политик безопасности традиционно решались на основе программных инструментов, ориентированных на гипервизоры корпоративного уровня VMware vSphere и Microsoft Hyper-V. В условиях формирования технологического суверенитета и появления множества вариантов реализации альтернативной инфраструктурной платформы возникла проблема предоставления эквивалентного уровня защиты используемой в них среды виртуализации.

Разработчикам программного продукта vGate, используемого как типовое средство для защиты сред виртуализации VMware vSphere и Microsoft Hyper-V с помощью инструментов информационной безопасности уровня гипервизора, в кратчайшие сроки были осуществлены адаптация и перенос механизмов и наложенных средств защиты информации для большинства отечественных корпоративных сред виртуализации. Актуальное поколение программного обеспечения vGate 5 от компании «Код Безопасности» предоставляет необходимый уровень защищенности для сред виртуализации инфраструктурных платформ российской разработки и позволяет соответствовать нормативным и регуляторным требованиям, а также отраслевым стандартам и практикам.

Кроме того, средство защиты виртуальных сред vGate 5 позволяет сохранить и использовать унаследованные платформы виртуализации VMware vSphere, закрывая повышенные риски информационной безопасности в переходном периоде и в процессе миграции на альтернативные импортозамещающие платформы.

Программное обеспечение vGate 5 представляет собой комплексное решение, включающее в себя набор инструментов для защиты жизненного цикла виртуальных машин, обеспечения безопасного сетевого взаимодействия (микросегментации сети) платформы виртуализации, тесно интегрируемые и функционирующие на уровне гипервизора. vGate защищает от специфических угроз, характерных для виртуальных сред, а также обеспечивает полный контроль с точки зрения ее доверенного состояния и санкционированного выполнения операций с объектами среды виртуализации.

В качестве комплексного средства информационной безопасности vGate предоставляет необходимые механизмы защиты в отношении компонентов и процессов платформ виртуализации:

• гипервизоров, серверов централизованного управления платформой виртуализации, а также иных средств контроля, мониторинга и управления;
• виртуальных серверов, системных операций с ними, виртуальных дисков и хранилищ, а также данных, обрабатываемых на виртуальных серверах;
• трафика виртуальной сети и обмена данными между виртуальными серверами.

Применение средства защиты vGate дает возможность защитить компоненты среды виртуализации от потенциальных угроз и возможных атак через платформу виртуализации, осуществлять постоянный аудит действий и выполнять обнаружение нежелательной активности на уровне виртуальной среды, а также применить в автоматизированном режиме типовые шаблоны защиты виртуальной инфраструктуры.

Рис. 1. Программное обеспечение vGate. Консоль управления

Актуальное поколение программного обеспечения vGate 5, сохраняя преемственность, предоставляет обратную совместимость для гипервизора в составе VMware vSphere, но прежде всего развивается и реализует требуемую функциональность защиты для импортозамещающих платформ виртуализации российской разработки. Программное обеспечение vGate 5 совместимо со следующими платформами виртуализации:

• zVirt;
• SpaceVM;
• РЕД Виртуализация;
• HostVM;
• ROSA Virtualization;
• ПК СВ «Брест» в составе Astra Linux;
• OpenNebula в составе Альт Сервер Виртуализации;
• ECP Veil.

Разработчик vGate, компания «Код Безопасности», ведет постоянную работу для обеспечения поддержки последних актуальных версий отечественных платформ виртуализации.

Функциональность

В составе функциональных возможностей и преимущественных особенностей vGate 5 следует отметить:

• возможность фильтрации сетевого трафика, включая обработку широковещательного трафика и применение правил фильтрации для виртуальных серверов;
• интеграцию с межсетевым экраном класса NGFW «Континент 4» в виртуальном исполнении;
• интеграцию с системой централизованного управления Security Code Orchestrator для продуктов экосистемы «Код Безопасности»;
• ролевую модель в соответствии с требованиями по безопасности информации к средам виртуализации, утвержденными приказом ФСТЭК России от 27.10.2022 № 187;
• подсистему формирования отчетов;
• механизм обновления инсталляции средства vGate;
• поддержку работы с сертификатами SSL, SSL-сертификатами НУЦ (Национального удостоверяющего центра) и сторонними сертификатами SSL.

Программное обеспечение vGate 5 защищает как собственно компоненты платформы виртуализации, помещая средства ее управления в безопасный периметр с контролем и разграничением доступа, так и предоставляет механизмы защиты для развернутых в ней виртуальных машин.

Механизмы защиты виртуальных машин и предотвращения утечки обрабатываемых данных включают в себя следующие функции:

• контроля целостности виртуальных машин и аудита изменений в конфигурационном файле;
• согласования изменения конфигурации виртуальных машин;
• очистки памяти виртуальных машин;
• затирания остаточных данных на виртуальных дисках и хранилищах при удалении виртуальных серверов;
• ограничения скачивания файлов виртуальных машин;
• функционал межсетевого экрана.

Межсетевой экран для платформ виртуализации поддерживается для гипервизоров VMware ESXi и гипервизоров на основе KVM (zVirt, SpaceVM, OpenNebula и т.д.).

Рис. 2. Программное обеспечение vGate. Правила фильтрации МСЭ

Программное обеспечение vGate обеспечивает защиту виртуальных серверов для всего жизненного цикла, на этапах создания, эксплуатации и поддержки, а также вывода из эксплуатации, удаления и гарантированной очистки данных.

Для адаптации развертывания к условиям используемой платформы виртуализации и кастомизации конфигурации в соответствии с необходимыми задачами, программное обеспечение vGate предоставляется в нескольких редакциях, отличающихся своей функциональностью:

• vGate Enterprise;
• vGate Enterprise Plus;
• vGate Premium.

Архитектура программного обеспечения vGate 5 основана на использовании специализированного агента, дополнительно устанавливаемого в гипервизоре для каждого хоста виртуализации в защищенном периметре и управляемого выделенным сервером авторизации.

Состав компонентов типового развертывания vGate 5 включает:

• сервер авторизации;
• агенты гипервизоров KVM и VMware vSphere;
• сервер анализа;
• клиент vGate;
• приложение «Обновление vGate» для Linux и Windows.

Сервер авторизации отвечает за функции централизованного управления средством защиты, развертывания и конфигурирования агентов, разграничения доступа, аутентификацию и авторизацию пользователей, а также настройку политик безопасности, регистрацию событий безопасности и создание отчетов.

Агенты гипервизоров KVM и VMware vSphere отвечают за непосредственное выполнение функций защиты среды виртуализации, обеспечение работы политик безопасности и межсетевого экрана для виртуальных серверов.

Сервер анализа выполняет анализ сетевого трафика виртуальных серверов в рамках функции контроля прикладных протоколов.

Клиент vGate используется на рабочих местах администраторов виртуальной инфраструктуры и администраторов информационной безопасности для управления и контроля защищенной платформой виртуализации.

Средство защиты виртуальных сред vGate 5 использует политики безопасности для конфигурирования настроек, критичных для обеспечения защиты платформы виртуализации. Они могут применяться для гипервизоров, виртуальных машин и шаблонов виртуальных серверов.

vGate 5 предоставляет готовые наборы типовых политик для обеспечения соответствия нормативам и стандартам, в том числе Федеральному закону «О персональных данных» 152-ФЗ, стандартам ГОСТ Р 56938-2016 и ИСПДн, или рекомендациям разработчиков программного обеспечения платформ виртуализации.

Регистрация событий безопасности в защищаемой среде осуществляется централизованно с сохранением в журнале событий. Имеется возможность построения требуемых отчетов и просмотра необходимых выборок событий безопасности из журнала. Отчеты позволяют представить актуальную информацию о правилах доступа к защищаемым виртуальным машинам, настройках межсетевого экрана vGate и работе правил фильтрации межсетевого экрана.

Рис. 3. Программное обеспечение vGate. Журнал событий

Централизованное управление и аудит защищаемой среды виртуализации выполняется с помощью веб-консоли vGate. В ней доступны основные задачи, такие как:

• централизованное управление настройками vGate;
• управление настройками межсетевого экрана;
• управление учетными записями пользователей;
• настройка политик безопасности;
• экспорт и импорт конфигурации vGate;
• настройка резервирования сервера;
• настройка и просмотр журналов регистрации событий.

Средство защиты виртуальных сред vGate 5 может быть интегрировано с системой централизованного управления продуктами «Код Безопасности» Security Code Orchestrator. В данном случае возможно общее управление группами развернутых комплексов защиты vGate.

Межсетевой экран в составе vGate 5 выполняет фильтрацию сетевого трафика в сетях виртуальных серверов, развернутых на хостах гипервизоров платформ KVM и VMware vSphere. Фильтрация сетевого трафика осуществляется по правилам, настроенным в веб-консоли vGate. Правила фильтрации могут создаваться для конкретного объекта или для нескольких объектов, объединенных в сегменты. В состав сегмента могут входить виртуальные серверы, IP-адреса и MAC-адреса. Для межсетевого экрана доступны контроль состояний соединений Stateful Packet Inspection (SPI) и контроль прикладных протоколов Deep Packet Inspection (DPI).

Актуальная версия vGate 5 расширяет возможности защиты и контроля сетевого трафика платформы виртуализации за счет интеграции с межсетевым экраном класса NGFW/UTM – «Континент 4» (поддерживается межсетевой экран только в виртуальном исполнении). Такой подход позволяет осуществлять более глубокий анализ и фильтрацию за счет перенаправления сетевого трафика виртуальных серверов в межсетевой экран «Континент 4». При этом дополнительно возможны:

• блокировка трафика с нежелательных и вредоносных сайтов;
• идентификация приложений в сетевом трафике;
• защита от вредоносного программного обеспечения в сетевом трафике;
• фильтрация трафика по географической привязке;
• обнаружение вторжений уровня сети.

Перенаправление трафика на межсетевой экран «Континент 4» позволяет также выполнять защиту на уровне L7, включая контроль приложений, защиту от DDoS-атак, URL-фильтрацию и т.д.

Фильтрация трафика с помощью межсетевого экрана «Континент 4» поддерживается только для виртуальных серверов на платформах виртуализации zVirt и РЕД Виртуализация. Одновременная фильтрация трафика виртуального сервера с помощью МСЭ «Континент 4» и собственного межсетевого экрана vGate не поддерживается. Управление распределенным межсетевым экраном NGFW/UTM «Континент 4» осуществляется с помощью центра управления сетью «Континент 4».

Средство защиты виртуальных сред vGate 5 ориентировано на использование в средах на основе операционных систем Linux, поэтому компонент «Сервер авторизации vGate 5» может быть установлен в следующих ОС:

• Astra Linux Special Edition;
• Альт СП (ОС со встроенными средствами защиты информации);
• РЕД ОС;
• Oracle Linux Server.

Сервер анализа поставляется в виде образа для развертывания виртуального сервера.

аза данных, используемая сервером авторизации, реализована на основе системы управления базами данных с открытой (свободной) лицензией PostgreSQL.

Для обеспечения необходимого уровня надежности и отказоустойчивости средство защиты виртуальных сред vGate 5 предусматривает резервирование компонента сервера авторизации. Резервирование позволяет обеспечить репликацию данных между двумя серверами авторизации – основным и резервным, с возможностью автоматического переключения на резервный сервер в случае сбоя основного. Кроме того, корпоративный уровень надежности функционирования средства vGate 5 обеспечивается созданием резервной копии конфигурации и архивированием журналов.

Программное обеспечение vGate 5 может быть интегрировано в общую систему информационной безопасности для совместной работы со смежными системами защиты инфраструктуры. Оно, в частности, рекомендовано для совместного использования со следующими системами:

• средство защиты информации от несанкционированного доступа Secret Net LSP для операционных систем семейства Linux;
• решения для обеспечения безопасности виртуализации Kaspersky Security для виртуальных сред.

Программное обеспечение vGate 5 поддерживает совместную работу с платформой терминального доступа Termit, включая ее компоненты и серверы терминального доступа в защищенном контуре.

Преимущества и применение

Преимущество программного обеспечения vGate 5 заключается в приоритетном развитии функциональных возможностей по обеспечению безопасности и защиты данных для сред виртуализации инфраструктурных платформ российской разработки. При этом большое внимание уделяется соответствию нормативным и регуляторным требованиям, принятым в Российской Федерации, а также потребностям различных категорий информационных систем, критической инфраструктуры и проблемам безопасного предоставления «цифровых» сервисов.

Средство защиты виртуальных сред vGate 5 включено в Единый реестр российских программ для электронных вычислительных машин и баз данных (реестровая запись № 113 от 18.03.2016). Сертификат ФСТЭК России № 2308 подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа по 5 классу защищенности, а также к 4 уровню доверия средств обеспечения безопасности информационных технологий и по профилю защиты межсетевых экранов типа Б четвертого класса защиты.

Программное обеспечение vGate 5 значительно упрощает выполнение процедур обязательной защиты среды виртуализации на основе централизованного управления, предопределенных политик безопасности и автоматизации типовых задач администрирования.

Комплекс мер защиты платформ виртуализации и обеспечения безопасности жизненного цикла виртуальных машин, выполняемый программным обеспечением vGate 5, в общем случае может включать в себя:

• контроль жизненного цикла и обеспечение целостности виртуальных машин;
• защиту виртуальных машин от несанкционированных операций (копирование, клонирование и удаление);
• защиту гипервизоров (KVM);
• применение типовых шаблонов настроек информационной безопасности и конфигурирование защиты платформы виртуализации (ФСТЭК, ГОСТ 57580.1-2017, PCI DSS, CIS Benchmarks, практики и рекомендации вендоров);
• микросегментацию виртуальной сети платформы виртуализации;
• контроль действий администраторов платформы виртуализации и разграничение доступа;
• прозрачный аудит событий безопасности для платформы виртуализации, журналирование и формирование отчетов;
• передачу событий безопасности во внешние системы, в том числе интеграцию с SIEM-системами.

Программное обеспечение vGate 5 может быть рекомендовано для защиты и обеспечения информационной безопасности:

• государственных информационных систем до первого класса включительно К1.
• автоматизированных систем до класса защищенности 1Г включительно.
• информационных систем персональных данных до первого уровня защищенности включительно УЗ1.
• автоматизированных систем управления технологическими процессами до первого класса защищенности включительно К1.
• значимых объектов критической информационной инфраструктуры до 1 категории включительно.

Средство защиты виртуальных сред vGate 5 постоянно развивается. Предполагается поддержка платформы виртуализации VMmanager и средства управления Proxmox Virtual Environment (PVE) для виртуальных окружений KVM и LXC. Кроме того, планируется реализовать поддержку VMware vSphere 8.0. Развитие возможностей средства защиты vGate 5 будет также связано с внедрением функции формирования правил фильтрации по шаблону, многофакторной аутентификации, а также механизмов контроля использования правил доступа. Предполагается также реализация поддержки служб каталогов российской разработки.

На базе технического центра дистрибьютора Merlion в виртуальной среде развернут демостенд средства защиты информации. С возможностями и особенностями решения vGate можно познакомиться и офлайн, и онлайн по предварительной записи.