vgate r2_Конкурс продуктов портала virtualizationsecuritygroup.ru
TRANSCRIPT
vGate R2
Конкурс продуктов Virtualiza tionSec u r i tyGr ou p. Ru
Лысенко Александр
24 июня 2011 года
Ведущий эксперт по информационной безопасности
Содержание
• О компании «Код Безопасности»
• Виртуализация и риски информационной безопасности
• О продукте vGate R2
2
3
О компании «Код Безопасности»
О компании «Код Безопасности»
• Российский разработчик программных и аппаратных средств для защиты информации
• Входит в группу компаний «Информзащита», крупнейший специализированный холдинг российского рынка информационной безопасности
• Лицензии ФСТЭК, ФСБ, Минобороны России• Более 2500 заказчиков среди которых Администрация
Президента РФ, Центральный Банк, ГАС «Выборы», Министерство финансов, ОАО «Вымпелком»
4
5
Виртуализация и риски информационной безопасности
От физической среды к виртуальной
6
Гипервизор
Сервер виртуализации
Ядро ОС Ядро ОС
Приложе-ния
Приложе-ния
Аппаратное обеспечение
Упр
авл
ение
вир
туал
ьной
ин
фра
стру
ктур
ой
Обычный компьютер
Ядро ОС
Приложения
Аппаратное обеспечение
Виртуализация и риски
7
Специалисты по ИБ часто не участвует в проекте по виртуализации
Взлом слоя виртуализации может привести к взлому всех ВМ
Виртуальные ВМ-ВМ сети плохо контролируемы
ВМ с разным уровнем ИБ размещены на одном физическом хосте
Отсутствие контроля за действиями администратора
Потеря разделения ответственности за сеть и ИБ
Источник: Gartner, 2010
Потеря данных через администратора – самый дорогой тип инцидента в ИБ
• В виртуальной среде нет проактивных средств контроля действий администратора
• Зловредное ПО с правами администратора может получить контроль над ВМ в обход гипервизора
8
The Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
Разделение полномочий
9
Разделить полномочия и ответственность
администраторов ВИ и ИБ, один назначает права, второй пользуется
(зачастую невозможно при помощи встроенных средств)
Разделение полномочий
• При возникновении инцидентов, в случае отсутствия разделения обвинен в потере данных будет только администратор ВИ
• При разделении полномочий, он может показать, что его доступ был ограничен администратором безопасности, т.е. приобретает частичное алиби ограниченное предоставленным доступом (причем при помощи vGate, средства эффективность которого проверена регуляторами)
10
Лучшие практики ИБ для виртуальных сред
• В каждом документе более 100 страниц настроек параметров безопасности
11
Как использовать лучшие практики ИБ?
12
Ручная настройка и поддержка
• или
Автоматизация и контроль настроек, например с vGate (поставляется с шаблонами настройки для соответствия лучшим практикам ИБ, а также стандартам как мировым так и российским)
13
О продукте vGate R2
14
vGate R2: о продукте
• Защита информации от утечек через специфические каналы среды виртуализации
• Усиленная аутентификация и контроль доступа администраторов
• Контроль изменений• Облегчает приведение в соответствие
Сертификаты vGate R2
15
vGate R2
ФСТЭК СВТ 5 и НДВ 4• для АС до 1Г включительно• ИСПДн до К1 включительно
vGate 2-S(в процессе)
ФСТЭК НДВ 2 и ТУ• для АС до 1Б включительно• ИСПДн до К1 включительно
Защита от утечек информации через специфические каналы среды виртуализации
• Контроль виртуальных устройств
• Контроль целостности и доверенная загрузка виртуальных машин
• Контроль доступа к элементам инфраструктуры
• Запрет доступа администратораВИ к данным виртуальных машин
Разделение ролей и делегирование полномочий
• Разделение ролей для исключения «суперпользователя»
• Делегирование административных полномочий
• Усиленная аутентификация администраторов
Мандатное управление доступом
• Создание логических групп и сфер администрированиячерез бизнес-категоризацию Бухгалтерия Коммерческий отдел Отдел маркетинга и
рекламы Отдел управления
персоналом Отдел развития Технический отдел И так далее…
Метки конфиденциальности
19
Метки конфиденциальности
20
ESX-host
VM
NIC NIC
VM
Administrator
Administrator
Storage
LUN 1
LUN 2
LUN 3
LUN N
VM
Security Officer
VM
!
Управление и контроль над конфигурацией системы безопасности • Создание корпоративной
политики ИБ на основе готовых шаблонов
• Автоматическое приведение виртуальной инфраструктуры в соответствие к политике ИБ
• Контроль конфигурации• Получение отчетов о
соответствии отраслевым стандартам и лучшим мировым практикам
Соответствие требованиям• Приведение инфраструктуры в соответствие с
требованиями и постоянный контроль соответствия– VMware Security Hardening Best Practice– CIS VMware ESX Server 3.5 Benchmark– PCI DSS– СТО БР ИББС– ФЗ 152– ФСТЭК (для АС)
Мониторинг событий и создание структурированных отчетов
• Отчеты– Изменение конфигурации политик безопасности– Использование учётных записей VMware – Мониторинг учётных записей vGate – Проблемы с доверенной загрузкой ВМ – Настройка правил сетевой безопасности– Настройки доступа к защищаемым
объектам – Соответствие стандартам безопасности
• Мониторинг событий– Регистрация попыток доступа к
инфраструктуре– Интеграция с SIEM-системами
24
• Сервер авторизации • Модули защиты
ESX-серверов• Модуль защиты
vCenter• Агент аутентификации
администратора ВИ• Консоль управления
администратора ИБvCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGate
vGatevGate
Архитектура
25
Схема развертывания
Сеть ВМ
vCenter
Сервер авторизации
Внешний периметр сети администрирования
Администратор ИБ
Администратор ВИ
Система хранения данных
Сеть передачи данных
ВМ ВМ ВМ ВМ
Рабочие места пользователей виртуальных машин
ESX-хост ESX-хост
Сеть репликации ВМ
Сеть администрирования инфраструктуры
26
• Право на использование Сервера авторизации vGate
• Право на использование vGate для защиты ESX-серверов
Модель лицензирования
vCenter
ВМ ВМ ВМ ВМ
Администратор Администратор
ESX-хост ESX-хост
vGateшт.
сокеты сокеты
Техническая поддержка
27
Истории успеха
28
Дополнительные материалы
29
vGate ROI Calculator
30
СПАСИБО ЗА ВНИМАНИЕ!ВОПРОСЫ?