Апкш континент виртуальная машина

Быстрый старт¶

АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).

Инсталляция на аппаратную платформу¶

При инсталляции ПО на аппаратную платформу используются два источника инсталляции:

По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.

Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:

При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ», в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему», следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт «Время автоматического входа в систему» может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».

Инсталляция на виртуальную машину¶

Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.

Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:

Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.

Строка инициализации¶

Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.

При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.

Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).

Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.

Строка инициализации имеет простой и понятный формат, например:

Интерфейсы и режим работы:

Настройка VPN¶

Настройка L3 VPN между КШ¶

Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:

Создание сетевых объектов¶

Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.

Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом «Любой» криптошлюза, за которым этот сетевой объект находится.

После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).

Создание парных связей¶

Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.

При создании парной связи между криптошлюзами они строят между собой VPN по дефолтному порту UDP 10000 и начинают обмениваться keepalive-сообщениями. Если криптошлюз не получает данные сообщения от парного криптошлюза, то в ПУ ЦУС напротив него в колонке VPN будет отображаться восклицательный знак.

Создание правил фильтрации¶

После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.

Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).

Настройка L2 VPN между КК¶

L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:

Настройка интерфейсов коммутации¶

Конфигурация виртуального коммутатора¶

Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.

Настройка удаленного доступа VPN между СД и АП¶

Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).

Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.

Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.

На АРМ пользователя:

Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.

Источник

1. Континент 4 Getting Started. Введение

Приветствую всех читателей. Это первая статья из цикла Континент Getting Started, посвященных продукту компании «Код Безопасности» Континент 4.

Код Безопасности – отечественная компания, занимающаяся разработкой программных и аппаратных средств защиты информации. Центральный офис находится в Москве. Имеются офисы в Санкт-Петербурге и Пензе.

«Код безопасности» ранее входил в ГК «Информзащита» как отдел разработки. В 2008 году «Код Безопасности» стал самостоятельной компанией. Из продуктов, на тот момент уже были разработаны первые версии Secret Net Studio (защита АРМ от НСД), ПАК «Соболь» (средство доверенной загрузки) и АПКШ «Континент» (защита периметра сети). Основная задача состояла в дальнейшем развитии собственной линейки программно-аппаратных средств защиты.

История развития компании представлена на рисунке ниже:

На сегодняшний день Код безопасности является одним из лидеров отечественного ИТ рынка. У компании есть решения для защиты сетевой безопасности (защита веб-приложений, система обнаружения вторжений, создание VPN-сетей, UTM), защиты виртуальных сред, защиты конечных станций, защита мобильных устройств и защита электронного документооборота.

В настоящее время идет активное развитие продукта под названием Континент 4. Континент 4 – универсальное устройства корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов шифрования ГОСТ. UTM — продукт по формату «все включено», объединяющий в себе межсетевой экран, систему обнаружения и предотвращения вторжений, антивирус и т.д.

Континент 4 реализует следующие основные функции:

обнаружение и предотвращение вторжений в информационную систему;

обеспечение доступа пользователей к ресурсам VPN

поддержка сетевых возможностей, таких как коммутация и маршрутизация пакетов, преобразование сетевых адресов, организация VLAN и др.;

автоматическая регистрация событий, связанных с функционированием комплекса, в том числе событий НСД;

централизованное и локальное управление компонентами комплекса.

Если в прошлых версиях Континент механизмы безопасности были представлены на отдельных устройствах (Криптошлюз, криптокоммутатор, детектор атак и тд), то в 4 версии все эти механизмы содержатся в едином узле безопасности.

Архитектура Континент 3.9 Архитектура Континент 4

Для обеспечения отказоустойчивости устройство поддерживает кластеризацию в режиме Active/Passive.

Варианты внедрения

Континент 4 представляется в трех вариантах исполнения:

1.UTM – позволяет одновременное функционирование на УБ модулей:

Источник

Стенд в виртуальной среде¶

Проверка конфигурации на VM¶

Никто не хочет положить продуктивную среду при обновлении!

У обоих гипервизоров есть свои особенности и недостатки (TODO: перчислить).

Создание VM для ЦУС¶

Если для версии 3.7 выбрать 64-х битный профиль ничего страшного не произойдет.

Количество сетевых интерфейсов зависит от того сколько их на вашем реальном ЦУС, и сколько можно добавить в определенном гипервизоре.

Установка ПО на VM¶

В зависимости от версии существуют разные образы для установки на VM. Образы делятся на «vm_release» и «vm_debug», мы рекомендуем сразу устанавливать debug версию. Установка проходит в обычном режиме. В качестве ID (КШ №) необходимо указать ID вашего ЦУС.

Подготовка ЦУС¶

Для того чтобы можно было применить вашу конфигурацию на виртулаьный ЦУС необходимо отредактировать интерфейсы в соотвествии с тем как они есть на реальном ЦУС. Для этого можно воспользоваться специальным редактором интерфейсов БД ЦУС, распростарняемым в виде OVA-образа виртуальной машины, или внести изменения в ручном режиме при использовании скриптов, о них ниже.

Если гипервизор поддерживает необходимое количество интерфейсов, то это хорошо и вам необходимо минимум телодвижений. Для начала нужно включить «мягкий режим» на ЦУС, или настроить соотвествующие правила фильтрации для доступа на ЦУС по ssh (tcp/22). Реквизиты для доступа на ЦУС по умолчанию в debug версии:

После успешного подключения к ЦУС по протоколу SSH нужно перейти в директорию:

В ней создать пустой файл:

И записать в него скрипт который будет переименовывать интерфейсы до старта демона/сервиса ЦУС. Пример скрипта для переименовывания интерфейсов под IPC-3000F:

Далее нужно сделать скрипт исполняемым:

После чего перезагрузить КШ коммандой:

Если всё прошло гладко, то при выводе списка интерфейсов, через меню Alt+F2, у вас будут те названия, которые вы задавали в скрипте.

Если выбранный вами гипервизор не поддерживает нужное количество интерфейсов, их можно создать используя тот же скрипт переименовывания интерфейсов.

Интерфейсы tun являются не настоящими с точки зрения виртуальной машины.

Если на подобном tun интерфейсе будет назначен какой-либо IP адрес, он не будет доступен в виртуальной сетевой инфраструктуре. В этом случае в скрипте учитывать порядок создания и переименовая интерфейсов. Если невозможно закрыть все условные «пробелы» tun интерфейсами, нужно выбрать более подходящий гипервизор для этих целей.

После перезагрузки виртуальной машины необходимо переинизиализировать ЦУС. По этому можно сразу зайти в меню администратора («Для входа нажмите ENTER»), вход в которое доступен в течении 5 секунд.

В меню администратора нужно зайти в:

4: Переинизиализировать ЦУС

Загрузка конфига в ЦУС¶

После переинициализации ЦУС нужно подключиться к нему используя ключ который был создан при инициализации. Далее загрузить кофинг и после того как ЦУС перезагрузится и применит новую конфигурацию, нужно использовать ключ, который используется для подключения к реальному ЦУС или можно создать новый ключ в меню администратора:

4: Настройки безопасности

1: Зарегистрировать нового администратора

Источник

Виртуализация vSphere, Hyper-V, Xen и Red Hat

Более 5560 заметок о виртуализации, виртуальных машинах VMware, Microsoft и Xen, а также Kubernetes

Продукты компании «Код Безопасности» для безопасности инфраструктуры vSphere (vGate for VMware)

Теперь vGate R2 от компании Код Безопасности можно купить онлайн по кредитной карте.

Мы много пишем про продукт vGate R2, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Не так давно мы писали про то, что компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6.

А эта новость про то, что теперь vGate R2 можно купить онлайн в интернет-магазине Softline. Недавно компания «Код Безопасности» подписала соглашение о сотрудничестве с интернет-магазином Softline, в рамках которого он становится первым авторизованным центром онлайн-продаж продуктов российского разработчика.

Заказчики компании «Код Безопасности» получают возможность сделать заказ на сайте интернет-магазина, оплатить его банковской картой или банковским платежом и в кротчайшие сроки получить поставку (ссылку на дистрибутив, лицензионный ключ и документы). Для заказа и покупки в интернет-магазине Softline доступна также вся линейка продуктов Кода Безопасности.

Эта штука будет полезна всем тем, кто находится в регионах и не имеет прямой возможности быстро купить продукты Кода Безопасности. Подробнее о решении vGate можно узнать на этой странице.

Не так давно мы писали про то, что компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6. Напомним, что vGate R2 предназначен для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети. vGate – это сертифицированное ФСТЭК средство защиты информации для виртуальной инфраструктуры на базе систем VMware.

В скором времени новая версия vGate R2 будет доступна для загрузки и покупки, а сейчас мы перечислим основные новые возможности продукта, появившиеся в версии 2.6:

Кроме этого появились новые административные функции vGate R2 2.6:

Начиная с версии vGate R2 2.5 появилась поддержка защиты инфраструктур, где серверы vCenter объединены в режиме Linked Mode.

Если в компании эксплуатируются несколько серверов vCenter, объединенных при помощи режима VMware vCenter Linked Mode, то необходимо добавить один из серверов в список защищаемых объектов. После этого все связанные с ним серверы будут отображаться в списке доступных серверов виртуализации.

Если же все серверы vCenter в инфраструктуре работают в режиме Standalone, то для защиты периметра каждого vCenter необходимо развернуть отдельный сервер авторизации, соответствующим образом его настроить и добавить этот vCenter в список защищаемых серверов. То есть каждый периметр в этом случае потребуется защищать отдельно.

Компонент защиты, установленный на vCenter будет учитывать соединения, необходимые для поддержания режима Linked Mode (порт 636).

Процедура обновления компонентов решения vGate R2 от Кода Безопасности.

Продолжаем вас знакомить с продуктом vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанкционированного доступа, а также имеет все необходимые сертификаты ФСТЭК (включая сертификаты на vSphere 5.1).

7 ноября 2013 года компания Код Безопасности проводит вебинар «Виртуализация: доступ к данным под контролем», посвященный угрозам, существующим в виртуальной инфраструктуре, и путям защиты виртуальных машин и инфраструктуры виртуализации.

Вебинар будет интересен всем специалистам, которые работают с виртуальными инфраструктурами или планируют перейти на их использование, а также специалистам по информационной безопасности, занимающимся обеспечением их защиты.

На мероприятии можно будет узнать об угрозах безопасности виртуализации и о том, какие компоненты виртуальной инфраструктуры требуют особого внимания. Также будет затронут вопрос выполнения требований законодательства по защите конфиденциальной информации при использовании технологии виртуализации. На вебинаре вы сможете получить ответ, какие вопросы защиты виртуальной среды можно решить, используя СЗИ vGate R2.

В конце вебинара в режиме чата участники получат ответы на вопросы, смогут оставить заявки на получение дополнительных материалов и демо-версии.

Как бесплатно проверить виртуальную инфраструктуру VMware vSphere 5.1 на предмет соответствия стандартам и лучшим практикам в сфере ИБ.

Многие из вас знают, что компания Код Безопасности недавно анонсировала выпуск продукта vGate R2 версии 2.6 с поддержкой платформы VMware vSphere 5.5 (появится в четвертом квартале 2013). Кроме того, у Кода Безопасности есть совершенно бесплатная утилита vGate Compliance Checker, которая поддерживает не только хост-серверы ESXi 5.1, но и, что важно, серверы ESXi 5.0/4.x, которые сейчас все еще установлены у большого числа пользователей.

vGate Compliance Checker позволяет проверить инфраструктуру VMware vSphere 5.1/5.0/4.1 на предмет соответствия следующим стандартам и лучшим практикам:

Для версии 4.0/3.x это следующие документы:

Результатом проверки, которую специалисты смогут провести с помощью vGate Compliance Checker, станет структурированный отчет (возможно экспортировать в HTML), представляющий информацию о положениях стандартов и о соответствии протестированной системы этим положениям. Проверять систему можно выборочно на соответствие только интересующим стандартам и лучшим практикам.

Средняя скорость проверки соответствия систем, в которых присутствует до 3 серверов виртуализации, занимает около 1 минуты.

Скачать vGate Compliance Checker можно по этой ссылке.

Вышел технический релиз новой версии vGate R2 от компании Код Безопасности.

Не так давно компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6, предназначенного для защиты виртуальных инфраструктур VMware.

В новой версии vGate R2 реализована интеграция со службами Active Directory, что обеспечивает возможность аутентификации в системе vGate под доменной учетной записью.

Кроме того, новая версия vGate R2 позволяет развертывать систему без реконфигурации топологии сети. В данном режиме развертывания фильтрация трафика к защищаемым серверам осуществляется имеющимся межсетевым экраном (маршрутизатором), а не сервером vGate. Таким образом, для внедрения системы не требуется перестраивать топологию сети и устанавливать два сетевых адаптера на сервере vGate.

В новой версии vGate R2 будет доступен контроль целостности виртуальных машин в среде VMware View.

Также новые возможности, реализованные в версии vGate 2.6, предоставляют администратору дополнительные инструменты для управления системой защиты. В новую версию vGate R2 добавлены следующие функции администрирования:

Новая версия vGate R2 передана на инспекционный контроль в ФСТЭК России для подтверждения выданных ранее сертификатов соответствия.

Сравнение возможностей для защиты от несанкционированного доступа: vGate R2 и VMware vSphere 5.1.

(0 Comment) Продолжаем вас знакомить с продуктом vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. 18 июля 2013 г. компания «Сертифицированные информационные системы» объявила о получении сертификата ФСТЭК России на VMware vSphere 5.1 и программное обеспечение для виртуализации рабочих мест VMware View 5.1. vGate
Events
Security Code

Приглашаем посетить стенд компании Код Безопасности на конференции InfoSecurity Russia 2013.

Там вы сможете узнать о решении vGate для защиты виртуальной инфраструктуры VMware vSphere. vGate – это сертифицированное средство защиты информации для виртуальной инфраструктуры на базе систем VMware vSphere 4, 5, 5.1.

На стенде также можно будет узнать о новой версии АПКШ «Континент» 3.7, комплексного решения для организации защиты сетевого периметра и обеспечения конфиденциальности данных при передаче по общедоступным каналам связи. В состав АПКШ «Континент» 3.7 вошла система обнаружения вторжений (СОВ), соответствующая требованиям ФСТЭК России к СОВ 3-го класса.

И снова мы возобновили сотрудничество с компанией Код Безопасности и будем рассказывать о продукте vGate для защиты виртуальных инфраструктур!

Мы продолжаем сотрудничество с компанией Код Безопасности, которая выпускает продукт vGate R2, предназначенный для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети.

vGate R2 – это сертифицированное средство защиты информации от несанкционированного доступа и контроля выполнения ИБ-политик для виртуальной инфраструктуры на базе платформ VMware vSphere 4 и vSphere 5. vGate R2 облегчает приведение виртуальной инфраструктуры в соответствие законодательству, отраслевым стандартам и лучшим мировым практикам.

Решение vGate R2 имеет все необходимые сертификаты ФСТЭК, так необходимые в государственных организациях, а также в компаниях, оперирующих с персональными данными. Сертификат ФСТЭК России по уровню СВТ 5 и НДВ 4 дает возможность использовать продукт для защиты автоматизированных систем (АС) до класса 1Г включительно и информационных систем персональных данных (ИСПДн) до класса К1 включительно.

Более подробную информацию о продукте vGate R2 можно получить на этой странице.

В ближайшее время мы расскажем о следующих интересных моментах, касающихся vGate R2:

Возможности vGate R2 для защиты инфраструктуры VMware vSphere 5.

Новая версия флагманского продукта «Кода Безопасности» – СЗИ от НСД Secret Net 7 – поступила в продажу.

На прошлой неделе мы писали о средстве защиты информации от несанкционированного доступа Secret Net 7, которое удобно использовать совместно с vGate R2 для защиты виртуальной инфраструктуры от НСД.

На днях компания «Код Безопасности» – российский разработчик средств защиты информации – объявила о старте продаж новой версии решения Secret Net 7, предназначенного для защиты от несанкционированного доступа к информационным ресурсам рабочих станций и серверов. Средство защиты информации от НСД Secret Net 7 получило сертификат ФСТЭК России, подтверждающий возможность использования решения для защиты конфиденциальной информации, персональных данных, а также сведений, составляющих государственную тайну.

Среди ключевых изменений и новых функциональных возможностей разработчики компании «Код Безопасности» отмечают:

Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа (НСД). Недавно мы писали о совместном использовании продукта vGate R2 со средством Secred Net для создания комплексной инфраструктуры защиты от НСД.

Совсем недавно компания «Код Безопасности» анонсировала новую версию своего флагманского решения, которая получила название Secret Net 7. Решение дает заказчикам новый уровень защищенности и удобства эксплуатации системы защиты.

Во-первых, добавился новый вариант внедрения – это более удобная схема установки сетевой версии Secret Net в организациях с филиальной структурой. В новой версии реализована поддержка ADAM/LDS, при этом решается проблема делегирования полномочий администраторам на установку и эксплуатацию СЗИ в рамках организационного подразделения или филиала. Важным изменением является возможность защиты терминальных сессий с использованием технологии «тонкий клиент» ввиду все более широкого ее распространения. Поддержка терминального режима доступа для платформ Citrix и Microsoft. Помимо прочего, в Secret Net 7 расширены возможности по контролю утечек конфиденциальной информации – теперь СЗИ обеспечивает возможность теневого копирования до операции записи информации на устройство. Кроме того, стал доступен универсальный контроль печати, позволяющий выводить гриф конфиденциальности на документы, распечатываемые из любого приложения, а также реализовано разграничение доступа к принтерам – печать конфиденциальных документов только на специально выделенных для этих целей принтерах.

В Secret Net 7 реализованы новые возможности средства централизованного управления и мониторинга. В их числе.

Продлен сертификат ФСТЭК России на ПАК «Соболь» версии 3.0 (электронный замок).

На днях компания Код Безопасности объявила о том, что сертификат ФСТЭК России на ПАК «Соболь» версии 3.0 был продлен до 07 декабря 2015 года. Сертификат подтверждает, что ПАК «Соболь версии 3.0 соответствует 2-му уровню контроля на отсутствие НДВ (в соответствии с требованиями РД Гостехкомиссии России) и может использоваться в автоматизированных системах до класса 1Б и в ИСПДн до класса К1 включительно.

ПАК «Соболь» версии 3.0 предназначен для реализации следующих защитных механизмов:

Более подробно о комплексе ПАК «Соболь» можно узнать по этой ссылке.

Авторизация пользователей vGate R2 по персональному идентификатору (e-token).

Кроме того, если на рабочем месте администратора VMware vSphere установлена система Secret Net 5.1 или выше, то для аутентификации пользователя возможно использование персонального идентификатора (e-token).

Перед его использованием на рабочем месте необходимо выполнить предварительные настройки:

1. Выполните инициализацию персонального идентификатора в Secret Net согласно документации на него.

2. Подключите персональный идентификатор к ПК.

3. Запустите агент аутентификации (см. стр. 8).

4. Введите имя и пароль пользователя, отметьте поле «Входить в систему автоматически» и нажмите кнопку «Подключиться».

После этого пароль будет сохранен в персональный идентификатор (e-token) и для администрирования VMware vSphere при последующих запусках vSphere Client больше вводить никаких дополнительных паролей не придется (при условии подключенного токена).

Использование сертифицированного средства Secret Net от компании Код Безопасности для защиты виртуальных машин от несанкционированного доступа (совместно с vGate R2).

Однако vGate R2 (как, во многом, и сама платформа vSphere) рассматривает виртуальные машины как «черные ящики», внутри которых установлены различные операционные системы, которые, между тем, нуждаются в защите. Поэтому для этих целей требуются дополнительные средства защиты от НСД в корпоративной инфраструктуре, которые помогут обеспечить безопасность на уровне ОС Windows для рабочих станций, а также виртуальных и физических серверов.

Здесь вам может оказаться полезным продукт Secret Net, который является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

Возможности Secret Net 6 для гостевых ОС виртуальных машин:

Варианты развертывания Secret Net 6

Запись вебинара «Изменения в законодательстве по защите персональных данных: как реализовать новые требования?».

Для тех же, кого интересуют все самые последние новинки российского законодательства, касающиеся защиты персональных данных и донесенные очень грамотным и понятным языком, рекомендуем запись вебинара М.Ю. Емельянникова «Изменения в законодательстве по защите персональных данных: как реализовать новые требования?».

На вебинаре были представлены требования к защите персональных данных при их обработке в информационных системах, установленные только что принятым Постановлением Правительства РФ от 01.11.2012 № 1119, чем они отличаются от тех, что содержались в утратившем силу Постановлении 2007 г. № 781, что ждать дальше и что надо делать уже сегодня.

Процедура переключения на резервный сервер авторизации vGate R2 в случае выхода из строя основного + Failback.

Действующие сертификаты ФСТЭК на vGate R2 для защиты VMware vSphere.

Многие компании для защиты своей виртуальной инфраструктуры VMware vSphere используют продукт vGate R2 (с поддержкой vSphere 5). Мы уже много писали о способах защиты и функциональности продукта для серверов виртуализации и виртуальных машин, исполняющих серверные нагрузки. В этой заметке, мы хотим рассказать о том, какие сертификаты ФСТЭК имеет решение vGate R2, что поможет вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Кроме того сертификаты на vGate R2 позволят также подтвердить, что вы правильно защищаете персональные данные, обрабатываемые в виртуальных машинах (до 1 класса ПДн включительно).

Действующие сертификаты на vGate R2 представлены в таблице ниже:

В отличие от стандартных средств защиты, которые есть в платформе VMware vSphere, продукт vGate R2 позволяет применять системы виртуализации в государственных и частных компаниях с высокими требованиями к безопасности и защите персональных данных. Кроме того, как известно, сертификат ФСТЭК имеет только версия VMware vSphere 4, которая на сегодняшний день уже является устаревшей, а vGate R2 уже давно имеет сертификаты ФСТЭК на vSphere 5.0 (поддержка и сертификация 5.1 на подходе).

Все это нам дает следующую табличку:

VMware vSphere 4	vGate R2	vGate-S R2
Защита персональных данных
К1	Нет	Да	Да
К2	Да	Да	Да
K3	Да	Да	Да
Применение в информационных системах государственного сектора
1Г	Нет	Да	Да
1В	Нет	Нет	Да
1Б	Нет	Нет	Да
Сертифицированные платформы
Только vSphere 4.0 Update 1 (3)	Virtual Infrastructure 3.5, vSphere 4/4.1/5	Virtual Infrastructure 3.5, vSphere 4/4.1/5

Security Code
Security
Hardware

Код Безопасности выпустил технический релиз планшета (ПАК) «Континент Т-10» для защищенной работы с сервисами ИТ-инфраструктуры предприятия.

Программно-аппаратный комплекс (ПАК) «Континент Т-10» представляет собой планшетный компьютер на базе процессора микроархитектуры ARM под управлением мобильной ОС Android 4.0.3 и позволяет организовать безопасный доступ мобильных пользователей через сеть Интернет (или другие сети общего доступа) к защищенным ресурсам корпоративной сети с помощью организации VPN-туннеля, данные в котором шифруются в соответствии с ГОСТ 28147-89.

ПАК «Континент Т-10» содержит VPN-клиент «Континент-АП», интегрированный на системном уровне в операционную систему мобильного компьютера. Встроенный VPN-клиент «Континент-АП» обеспечивает возможность установки защищенного VPN-туннеля с сервером доступа АПКШ «Континент» с возможностью централизованного управления правами доступа мобильных пользователей. Благодаря глубокой интеграции достигается высокая скорость VPN-соединения и прозрачность для любых приложений, работающих с сетевыми протоколами семейства TCP/IP.

Функции безопасности обеспечиваются строгой двухфакторной аутентификацией пользователя по цифровому сертификату открытого ключа, хранимого на отчуждаемом носителе MicroSD. Также поддерживается возможность запрета всех незащищенных соединений: в этом случае весь трафик мобильного устройства может маршрутизироваться на корпоративный шлюз безопасности (прокси) для приведения в соответствие с корпоративными требованиями безопасности, например, антивирусной или URL-фильтрации.

ПАК «Континент Т-10» обладает хорошей мобильностью и широкими коммуникационными возможностями. Возможно подключение к беспроводным сетям Wi-Fi (802.11 b/g/n) и сотовым сетям GPRS, 3G, 4G (LTE).Протестирована работа с сетями таких провайдеров как МТС, Билайн, Мегафон. Встроенная Li-Ion батарея емкостью 7600 мАч обеспечивает длительное время автономной работы.

Одновременно с техническим релизом продукта ПАК «Континент Т-10» компания «Код Безопасности» объявляет о старте открытой программы тестирования.

В ней могут принять участие все желающие, как партнеры, так и заказчики. В рамках программы тестирования предоставляется возможность получить для тестирования ПАК «Континент Т-10» (количество устройств, участвующих в программе, и сроки действия программы ограничены).

Более подробно о ПАК «Континент Т-10» можно узнать по этой ссылке, а также на странице продукта.

Новая версия межсетевого экрана TrustAccess 1.3 и защита серверов Microsoft Hyper-V.

Совсем недавно компания Код Безопасности объявила о том, что вышла и поступила в продажу новая версия распределенного межсетевого экрана TrustAccess 1.3, предназначенного для сертифицированной защиты ключевых ресурсов сети от несанкционированного доступа.

В новую версию межсетевого экрана TrustAccess 1.3 добавлены функциональные возможности, которые позволяют повысить уровень защищенности серверов и рабочих станций в локальной сети. Так, в новой версии TrustAccess 1.3 появилась возможность централизованного сбора и просмотра событий информационной безопасности, а также построения отчетов по этим событиям и по конфигурации.
Кроме того, в список других ключевых нововведений вошли:

Кроме того, интересно, что есть кейсы, когда продукт TrustAccess может испоьзоваться для защиты инфраструктуры виртуализации Microsoft Hyper-V. В статье «Защита сервера Microsoft Hyper-V от несанкционированного сетевого доступа» на Хабре можно почитать о том, как этот межсетевой экран позволяет эффективно организовать логическую изоляцию сетей, нуждающихся в защите, с помощью протоколов семейства IPSec (AH и ESP).

TrustAccess легок в развертывании и настройке, имеет официальный статус совместимости с платформой, на которой работает Hyper-V (Works with Server 2008 R2) и статус совместимости рабочих мест пользователей (Compatible with Windows 7). Подробнее о продукте можно почитать тут.

Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Сегодня мы поговорим о системных требованиях продукта. Напомним, что решение vGate R2 состоит из следующих компонентов.

Приглашаем посетить стенд компании «Код Безопасности» на выставке INFOBEZ-EXPO 2012.

С 3 по 5 октября в Экспоцентре пройдет отраслевая конференция по информационной безопасности INFOBEZ-EXPO 2012, где, конечно же, будут представлены решения российского производителя «Код Безопасности», выпускающего продукт vGate R2 для защиты инфраструктур виртуализации VMware vSphere средствами политик и механизма защиты от НСД.

Компания «Код Безопасности» представит на выставке новые версии своих продуктов, предназначенных для защиты государственной и коммерческой тайны, персональных данных. Также на выставке будет презентован первый на российском рынке защищенный планшетный компьютер «Континент Т-10», предназначенный для организации безопасного доступа мобильных сотрудников к защищенным ресурсам корпоративной сети.

Ежедневно на стенде компании «Код Безопасности» в оборудованной презентационной зоне ведущие эксперты компании будут проводить презентации новых продуктов и отвечать на вопросы посетителей выставки об особенностях их применения. Авторы самых интересных вопросов на каждой презентации получат сувениры с фирменной символикой компании «Код Безопасности».

Расписание презентаций:

Список политик безопасности для серверов VMware ESX/ESXi в vGate R2 и рекомендации по их применению.

Многие из вас уже знакомы с сертфицированным средством vGate R2, которое предназначено для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также за счет механизма защиты от несанкционированного доступа. Сегодня мы детально рассмотрим существующие в vGate R2 политики безопасности и опишем некоторые рекомендации по их применению.

Предоставление доступа к защищенному периметру vGate R2 службам, работающим не под системной учетной записью.

Не так давно мы рассказывали о настройке взаимодействия инфраструктурных серверов с защищенным периметром vGate R2, которая необходима для того, чтобы виртуальные машины и хост-серверы могли работать с сервисами AD и DNS инфраструктуры компании. А сегодня мы покажем, как можно добавить доступ сервиса стороннего приложения, исполняемого на рабочей станции администратора, который работает через vSphere Client.

На компьютере администратора vSphere могут быть службы Windows, работающие не под системной (LocalSystem, LocalService или NetworkService) учетной записью. Чтобы предоставить доступ к защищаемому периметру таким службам, необходимо создать специальную учетную запись vGate-пользователя и связать ее с учетной записью, создаваемой при установке агента аутентификации.

Для предоставления службам доступа к защищаемому периметру:

1. Создайте с помощью утилиты clacl, входящей в комплект поставки vGate R2, специальную учетную запись vGate-пользователя (в примере это «service_xp») на сервере аутентификации. Для этого откройте редактор командной строки и выполните следующую команду:

2. Для созданной учетной записи настройте правила доступа к защищаемым серверам (см. тут).

3. Создайте ассоциацию между специальной учетной записью («service_xp») и записью, созданной агентом аутентификации на компьютере администратора vSphere (с учетной записью «xp») автоматически («xp$@VGATE», где VGATE — имя сферы сервера авторизации, заданное при установке). Для этого откройте редактор командной строки и выполните следующую команду:

где S-1-5-21-4110767259-1205561585-4075794586-500 — SID (Security Identifier) — идентификатор безопасности учетной записи Windows на компьютере администратора vSphere, под которой требуется обеспечить работу службы (в примере это «xp»).

В результате выполнения команды будет создана учетная запись «service_xp@VGATE», связанная с идентификатором SID сервиса. Служба аутентификации vGate Client будет автоматически аутентифицировать vGate-пользователя «service_xp@VGATE», поэтому процесс, запущенный под этой учетной записью, сможет проходить в защищаемый периметр в соответствии с настроенными ранее правилами доступа.

Определить SID учетной записи можно при помощи утилиты psgetsid.

Совместимость vGate R2 с продуктами VMware и другими продуктами Кода Безопасности.

Версия vSphere 5.1 продуктом vGate R2 пока не поддерживается, однако скоро ожидается выход версии продукта с ее поддержкой.

Версия VMware View 5.0 будет поддерживаться в ближайшем будущем.

Что касается совместимости с другими продуктами Кода Безопасности для защиты виртуальных и физических сред, vGate R2 поддерживает следующие продукты:

О совместном применении этих продуктов с vGate R2 мы уже писали тут. Кроме того, средство vGate R2 удобно использовать с электронным замком ПАК «Соболь» для физической защиты хост-серверов ESXi.

Надежное удаление дисков виртуальных машин VMware vSphere с помощью vGate R2.

Мы уже немало писали о сертифицированном ФСТЭК продукте vGate R2 от компании Код Безопасности, который позволяет защитить виртуальную инфраструктуру VMware vSphere 5 с помощью политик безопасности, а также средствами защиты от несанкционированного доступа.

Одной из таких политик для хост-серверов ESXi в vGate R2 является политика безопасного удаления виртуальных машин, что подразумевает очистку виртуальных дисков VMDK на системе хранения при их удалении с тома VMFS. Это позволяет убедиться в том, что конфиденциальные данные, находившиеся на диске, будут недоступны для восстановления потенциальным злоумышленником, который, например, может находиться внутри компании и иметь доступ к содержимому томов VMFS через систему хранения данных или средства управления виртуальной инфраструктурой VMware vSphere.

Для выполнения операции надежного удаления ВМ администратор должен иметь доступ к ESXi-серверу (а именно к TCP-портам 902, 903, 443), на котором выполняется удаляемая ВМ, а также иметь привилегию «разрешено скачивать файлы виртуальных машин».

Если для удаляемой ВМ задана соответствующая политика безопасности, очистка дисков виртуальных машин выполняется автоматически. Если политика не задана, для этого может использоваться специальная утилита командной строки vmdktool.exe. Утилита также может быть полезна в том случае, если была удалена не ВМ полностью, а только какой-то ее диск.

Перед очисткой диска ВМ необходимо убедиться в отсутствии у виртуальной машины снапшотов, после чего необходимо остановить ВМ.

Далее выполняем следующую команду:

>vmdktool.exe –s esx1.local –u root –p password –v «[storage1] vm4/vm4.vmx» –d «[storage1] vm1/vm1.vmdk» –t 55

Более подробно об утилите vmdktool можно прочитать в документации по vGate R2.

Настройка взаимодействия инфраструктурных серверов с защищенным периметром vGate R2 в инфраструктуре VMware vSphere.

Мы уже немало рассказывали о развертывании и администрировании средства vGate R2, которое предназначено для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности и механизма защиты от несанционированного доступа. На данный момент на рынке это единственное сертифицированное средство защиты инфраструктуры виртуализации, позволяющее обеспечить комплексную защиту серверов ESXi и виртуальных машин. Сегодня мы расскажем о том, как добавить инфраструктурные серверы (AD, DNS и т.п.) в защищенный периметр vGate R2.

Мы уже писали о продукте ПАК «Соболь», который представляет собой специальную плату с соответствующим программным обеспечением, позволяющую физически защищать хост-серверы VMware ESXi от несанкционированного доступа. Совместно с сертифицированным средством vGate R2, которое автоматически настраивает безопасную конфигурацию хостов и виртуальных машин, данный продукт позволяет построить комплексную инфраструктуру защиты виртуальной среды.