ігурації та експлуатації системи безпеки.
Сприяє протидії помилкам і зловживанням при управлінні віртуальною інфраструктурою.
Дозволяє привести віртуальну інфраструктуру у відповідність із законодавством, галузевим стандартам і кращим світовим практикам.
lt; # justify height= 58 src= doc_zip17.jpg / gt; lt; # justify height= 40 src= doc_zip18.jpg / gt; lt; # justify height= 48 src= doc_zip19.jpg / gt; lt; # justify gt; Можливості vGate
· Посилена аутентифікація адміністраторів віртуальної інфраструктури та адміністраторів інформаційної безпеки.
· Захист засобів управління віртуальною інфраструктурою від НСД.
· Захист ESX-серверів від НСД.
· мандатної управління доступом.
· Контроль цілісності конфігурації віртуальних машин і довірена завантаження.
· Контроль доступу адміністраторів ВІ до даних віртуальних машин.
· Реєстрація подій, пов'язаних з інформаційною безпекою.
· Контроль цілісності і захист від НСД компонентів СЗІ.
· Централізоване управління і моніторинг.
Сертифікати vGate
Сертифікат ФСТЕК Росії lt; # justify gt;
Рис. 13 Заявлені можливості vGate R2
Таким чином, підводячи підсумок, наведемо основні засоби, якими володіє vGate R2 для захисту датацентру сервіс-провайдера від внутрішніх загроз, що виходять з боку власних адміністраторів:
· Організаційне та технічне розподіл повноважень адміністраторів vSphere
· Виділення окремої ролі адміністратора ІБ, який управлятиме безпекою ресурсів датацентру на базі vSphere
· Поділ хмари на зони безпеки, в рамках яких діють адміністратори з відповідним рівнем повноважень
· Контроль цілісності віртуальних машин
· Можливість у будь-який момент отримати звіт про захищеність інфраструктури vSphere, а також провести аудит подій ІБ
В принципі, це практично все що потрібно, щоб захистити інфраструктуру віртуального датацентру від внутрішніх загроз з точки зору саме віртуальної інфраструктури. Безумовно, вам також буде потрібно захист на рівні обладнання, додатків і гостьових ОС, але це вже інша проблема, яка також вирішувана засобами продуктів компанії Код Безпеки lt; # center gt; 14. Практична частина
У практичній частині я спробую реалізувати систему безпеки для хмарного сервера, що виконує обслуговування клієнтів по моделі PaaS в режимі громадського хмари.
Припустимо Провайдер володіє обладнанням, що складається з:
· Серверна платформа: 4 процесорів (2 або 4 ядра), 6 SATA дисків в RAID1 + 0, 16 Гб пам'яті
o Серверна платформа: 1U Intel SR1690WB
o Процесор: 4 Intel® Xeon® +5500
oОператівная пам'ять: 16 Gb DDR3 lt; # justify gt; · Сервер доступу середнього підприємства (файрвол, проксі-сервер): 2 процесора (2 або 4 ядра), 12 Гб пам'яті, 2 SATA диска в RAID1, 2 інтегрованих Gigabit Ethernet
o Серверна платформа: 1U Intel SR1600UR
o Процесор: 2 Intel® Xeon® +5500
o Оперативна пам'ять: 12 Gb DDR3 (96 Gb максимум)
o Жорсткий диск: 2 SATA (3 SATA максимум)
o Мережа: 2 порту Gigabit Ethernet
o Блок живлення: 600 Вт
Серверні платформи в кількості 6 штук розташовані в машинному залі і об'єднані в топологію зірка raquo ;. Для об'єднання серверів використовується маршрутизатор CISCO2911/K9 (Конфігурація: Cisco 2911 w/3 GE, 4 EHWIC, 2 DSP, 1 SM, 256MB CF, 512MB DRAM, IPB). Перед з'єднанням марщрутізатора з мережею встановлений сервер доступу Intel SR1600UR ( 30430 рублів). Маршрутизатор і сервер доступу дублюються.
На серверному обладнанні встановлений гіпервізор VMware ESX, що дозволяє об'єднати сервера в загальний пул ресурсів. Так як це гіпервізор типу 1 (автономний), то він дозволяє значно підвищити продуктивність обладнання. На кожен сервер потрібно по одній ліцензії. Так само для зберігання інформації використовується сервер баз даних 1U Intel SR1690WB (Процесор: 2 Intel® Xeon® 5500, Оперативна пам'ять: 16 Gb DDR3 (64 Gb максимум), Жорсткий диск: 4 SATA, Мережа: 2 порту Gigabit Ethernet, блок живлення: 650 Вт) який так само дублюється для надійності.
Рис. 14. Структура сервера.
Для забезпечення безпеки на поді...
