Современные средства виртуализации и защиты виртуализированных систем

Автор работы: Пользователь скрыл имя, 07 Мая 2012 в 20:30, реферат

Описание

Понятие виртуализации условно можно разделить на две категории:
виртуализация платформ (программная виртуализация). Продуктом этого вида виртуализации являются виртуальные машины – некие программные абстракции, запускаемые на платформе реальных аппаратно-программных систем.
виртуализация ресурсов (аппаратная виртуализация). Данный вид виртуализации преследует своей целью комбинирование или упрощение представления аппаратных ресурсов для пользователя и получение неких пользовательских абстракций оборудования, пространств имен, сетей и т.п.

Скачать (195.09 Кб) Сколько стоит заказать работу?
Работа состоит из  1 файл

виртуализация (доклад).docx

— 198.90 Кб (Скачать документ)

       Агент аутентификации включает в себя функцию  надежного сохранения учетных данных.

       Защита  средств управления виртуальной инфраструктурой  от НСД 

       К средствам управления виртуальной  инфраструктурой относятся:

  • ESX-серверы, предназначенные для запуска виртуальных машин;
  • серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой;
  • средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager;
  • сторонние средства мониторинга и управления инфраструктурой.

       Важно!!! Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры.

       Средства  управления виртуальной инфраструктурой  должны размещаться внутри защищаемого  периметра, доступ пользователей и  компьютеров к которым осуществляется по протоколам, нечувствительным к  попыткам перехвата паролей и  предотвращающим вмешательство  в передачу данных.

       Для обеспечения защиты средств управления виртуальной инфраструктурой применяется  функционал дискреционного разграничения  доступа к объектам, которые размещены  внутри защищаемого периметра. Правила  разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Также в vGate при разграничении прав доступа администраторов виртуальной инфраструктуры к объектам инфраструктуры используется мандатный принцип контроля доступа. Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.

       В vGate предусмотрен механизм блокирования любого сетевого трафика со стороны  виртуальных машин к средствам  управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной  инфраструктурой от НСД со стороны  скомпрометированной виртуальной  машины.

       Мандатное управление доступом

       В vGate реализован мандатный принцип  контроля доступа на основе меток  конфиденциальности. Есть возможность  использовать два вида меток конфиденциальности: иерархические (уровни доступа) и неиерархические (категории).

       Реализована возможность пометить метками следующие  субъекты, объекты, контейнеры:

  • администраторы ВИ;
  • ESX-серверы;
  • сетевые карты ESX-сервера или VLAN;
  • разделы хранилищ (Datastore);
  • ВМ.

       Права доступа администраторов ВИ и  объектов инфраструктуры проверяются  на основе уровней доступа и категорий  автоматически.

       Категории отличаются от меток следующими параметрами:

  • уровни доступа  иерархические, категории равноправные.
  • механизмы работы уровней доступа зависят не только от пользователя, но и от его уровня доступа его текущей сессии. Категории от сессии не зависят.
  • любой администратор, объект, контейнер может быть помечен несколькими категориями и только одним уровнем доступа.

       Защита ESX-серверов от НСД

       В vGate R2 в виде автоматизированных ИБ политик реализованы механизмы защиты от НСД серверов виртуализации ESX. Эти политики безопасности можно создавать из имеющихся в продукте шаблонов, и автоматически применять к серверам виртуализации. В процессе работы с инфраструктурой, продукт автоматически проверяет и поддерживает целостность назначенных политик безопасности.

       Контроль  целостности конфигурации виртуальных машин  и доверенная загрузка 

       Для обеспечения контроля целостности  программной среды и доверенной загрузки операционной системы (ОС) в  «физическом мире» традиционно  используются аппаратные электронные  замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.

       vGate содержит компоненты, устанавливаемые на каждый ESX-сервер и реализующие следующие механизмы защиты:

  • контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. При этом часть параметров, не влияющих на информационную безопасность, выведена из-под контроля.
  • контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины.
  • доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk.

       Контроль  доступа администраторов  ВИ к файлам виртуальных  машин

       При работе в незащищенной виртуальной  инфраструктуре на базе систем VMware, администратор  этой инфраструктуры обычно может получить доступ к файлам виртуальных машин. Администратор может прямо из VI клиента скачать файл виртуальной  машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализованы механизм, позволяющий этот доступ ограничить.

       Регистрация событий, связанных  с информационной безопасностью

       В vGate реализованы дискреционные механизмы  разграничения прав ESX-серверов на запуск виртуальных машин. Для каждой виртуальной  машины администратор информационной безопасности может задать перечень ESX-серверов, где она может выполняться.

       Механизм  разграничения прав ESX-серверов на запуск ВМ позволяет настроить запуск виртуальных  машин, обрабатывающих данные с различным  уровнем конфиденциальности, таким  образом, чтобы данные разных уровней  конфиденциальности обрабатывались на различных ESX-серверах.

       Контроль  целостности и  защита от НСД компонентов  СЗИ

       vGate содержит собственные механизмы  контроля целостности компонентов  СЗИ. Механизмы действуют на  всех компонентах СЗИ - агенте  аутентификации, сервере авторизации  и ESX-серверах.

       Централизованное  управление и мониторинг

       Консоль управления, входящая в состав СЗИ, устанавливается на рабочее место  администратора информационной безопасности и позволяет:

  • управлять учетными записями пользователей и компьютеров (пользователями в данном случае являются администраторы виртуальной инфраструктуры, а компьютеры - это их рабочие места);
  • управлять правами доступа к защищаемым объектам;
  • развертывать и настраивать компоненты защиты ESX-серверов;
  • управлять параметрами виртуальных машин (политикой запуска, подключаемыми устройствами);
  • просматривать журнал регистрации событий.

       Все изменения, произведенные администратором  информационной безопасности, сохраняются  централизованно на сервере авторизации. 

       
    1. Системные требования

       К компьютерам, на которые устанавливаются  компоненты vGate, предъявляются следующие  минимальные системные требования:

  • Для сервера авторизации:
  • Windows Server 2008 x86 SP2;
  • Windows Server 2003 x86 R2/SP2;
  • PostgreSQL Server 8.4 (входит в комплект поставки).
  • Для резервного сервера авторизации:
  • Windows Server 2008 x86 SP2;
  • Windows Server 2003 x86 R2/SP2;
  • PostgreSQL Server 8.4 (входит в комплект поставки).
  • Для агента аутентификации:
  • Windows 2000 SP4 Rollup 2;
  • Windows XP SP3 x86/x64;
  • Windows Vista SP2 x86/x64;
  • Windows 7 x86/x64;
  • Windows Server 2003 x86/x64 R2/SP2;
  • Windows Server 2008 x86/x64 SP2.
  • Для консоли управления:
  • Windows 2000 SP4 Rollup 2;
  • Windows XP SP3 x86/x64;
  • Windows Vista SP2 x86/x64;
  • Windows 7 x86/x64;
  • Windows Server 2003 x86/x64 R2/SP2;
  • Windows Server 2008 x86/x64 SP2.
  • Для модулей защиты ESX:
  • VMware Infrastructure 3 (VMware ESX Server 3.5, Update 5);
  • VMware vSphere 4 (VMware ESX Server 4.0, Update 1);
  • VMware vSphere 4.1 (VMware ESX Server 4.1, VMware ESXi Server 4.1);
  • Хранение дисков виртуальных машин может осуществляться локально или с использованием SAN iSCSI или Fibre channel.
  • Для компонент защиты vCenter:
  • VMware Infrastructure 3 (VMware vCenter 2.5, Update 5);
  • VMware vSphere 4 (VMware vCenter 4.0, Update 1);
  • VMware vSphere 4.1 (VMware vCenter 4.1).
  • Для серверов отчетов: 
  • MS SQL Server 2005 SP3 with Reporting Services и ОС, совместимая с ним.
 

       Требования  к аппаратному  обеспечению

       Требования  к конфигурации компьютера, на который  устанавливаются компоненты vGate, совпадают  с требованиями к операционной системе, установленной на нем.

       ESX-серверы  должны быть оборудованы необходимым  числом независимых Ethernet-интерфейсов  для реализации конфигурирования  локальной сети.

       На  компьютере, предназначенном для  сервера авторизации, должно быть не менее двух Ethernet-интерфейсов, один из которых будет подключен к  сети администрирования виртуальной  инфраструктуры, а другой — к  внешнему периметру сети администрирования, в котором находятся рабочие  места АВИ, АИБ и сетевые службы (например, DNS, AD).

    1. Сведения о сертификате соответствия

       ПО  vGate R2 имеет сертификат соответствия № 2308, выданный 28 марта 2011 года и действителен по 28 марта 2014 года, подтверждающий соответствие требованиям руководящих документов в части защиты от несанкционированного доступа -по 5 классу защищенности (СВТ5) и контроля отсутствия недекларированных возможностей- по 4 уровню контроля (НДВ4), а также может использоваться в АС до классу защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно. 

 

  1. McAfee Total Protection for Endpoint — Enterprise Edition
    1. Назначение

       McAfee Total Protection for Endpoint — Enterprise Edition — это  защита для всех конечных точек,  в том числе для работающих  под управлением таких систем  как Windows, Mac и Linux, а также для  мобильных устройств. Total Protection for Endpoint — Enterprise Edition — это единое интегрированное  решение, защищающее системы и  данные от вредоносных программ, атак «нулевого дня», систем, не  отвечающих требованиям, и от  несанкционированных устройств.  Оно также защищает утерянные  или украденные устройства путем  блокировки неразрешенного доступа  к критически важным системам  и конфиденциальным данным.

    1.   Функциональные возможности

       Основные  функциональные возможности:

  • Защита от вредоносных программ;
  • Отражение атак нулевого дня и защита уязвимостей;
  • Межсетевой экран для рабочих станций;
  • Защита электронной почты и веб-приложений;
  • Строгий контроль за сетью и устройствами;
  • Шифрование всего диска;
  • Поддержка нескольких платформ;
  • Централизованное управление.
      1. Защита от вредоносных программ в реальном времени.

             Решение блокирует  вирусы, трояны, червей, рекламные, шпионские  и другие потенциально нежелательные  программы.

      1. Упреждающая защита электронной почты и веб-безопасность.

             Перехват вредоносных  программ и нежелательных сообщений  до того, как они попадут в электронный  почтовый ящик пользователей. Встроенная программа McAfee SiteAdvisor Enterprise Plus предупреждает пользователей о вредоносных веб-сайтах и позволяет администраторам санкционировать или блокировать доступ к сайтам, обеспечивая соответствие нормативно-правовым требованиям.

Информация о работе Современные средства виртуализации и защиты виртуализированных систем