+7 (499) 322-30-47  Москва

+7 (812) 385-59-71  Санкт-Петербург

8 (800) 222-34-18  Остальные регионы

Бесплатная консультация с юристом!

Система защиты информации в виртуальных инфраструктурах

Содержание

Вместо вступления

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды. И хотя средства, используемые в классических системах, можно применять в виртуальных средах, зачастую это ведет к потере преимуществ, которые дает виртуализация, а в некоторых случаях результатом использования классических решений может стать даже крах самой виртуальной системы. Не стоит забывать и о новых элементах виртуальной инфраструктуры, таких как гипервизор, системы управления средой виртуализации и т. д., которые влекут за собой появление новых угроз, от которых защититься традиционными средствами невозможно.

Все средства защиты в виртуальных системах (как и традиционные) можно разделить на ряд типовых классов: антивирусная защита, системы обнаружения вторжений и межсетевого экранирования, системы контроля доступа и т. д. Ниже мы рассмотрим решения – лидеры корпоративного уровня.

Антивирусная защита

Традиционные средства защиты, например, использование агентских антивирусов, одновременный запуск которых может вызвать так называемый «антивирусный шторм», не всегда применимы в условиях виртуализации. Производители находят решение этой проблемы разными способами. Стоит выделить три основных подхода: новаторский, консервативный и гибридный.

Новаторский подход состоит в том, что виртуальная среда предоставляет специальный программный интерфейс для контроля виртуальных машин (ВМ) через гипервизор, а антивирусное средство пользуется им, выводя всю защиту на специализированную ВМ. Это позволяет отказаться от использования антивирусных агентов на виртуальных машинах, но в силу выбранной архитектуры имеет ограничения по возможностям анализа работы оперативной памяти.

Классический подход заключается в недоверии к новому интерфейсу и работе по старой схеме с использованием антивирусных агентов, которые нужно обновлять и настраивать. Но вместе с тем вендоры в своих решениях стараются предоставить новые возможности для оптимизации исполнения агентов в виртуальной среде.

Гибридный подход состоит в том, чтобы не отказываться от агентов полностью, делать их максимально легковесными и простыми для исполнения, но в то же время большую часть аналитики реализовывать на «соседней» ВМ, выделенной для задач антивирусной защиты. Этот подход более универсален, но, как и всё универсальное, в частных задачах может уступать первым двум вариантам. В целом же его эффективность по сравнению с неадаптированными для виртуальной среды решениями вполне ощутима.

Решение компании Trend Micro – Deep Security – использует безагентский режим, т.е. реализует новаторский подход. В виртуальную среду внедряется виртуальное устройство – шлюз безопасности, который берет на себя функции антивируса для всех ВМ, отслеживая операции ввода-вывода в рамках дисковой подсистемы через программный интерфейс гипервизора. Решение дает возможность экономить ресурсы хоста и за счет этого добиваться большей консолидации ВМ. В случае, если платформа виртуализации не позволяет использовать безагентский антивирус, есть альтернатива – установить агенты. Особенностью работы антивируса в режиме агента является больший контроль операций за счет мониторинга памяти. Рекомендуемой платформой развертывания является среда виртуализации VMware, но с помощью агентов могут защищаться и ВМ в других инфраструктурах.

Продукт Symantec – Endpoint Protection – использует классический подход с применением агентов, но при этом в решении значительно улучшено сканирование ВМ за счет технологии InSight Cache и специально оптимизированного планировщика запуска сканирований, автоматически распределяющего их по времени. Сервер Shared Insight Cache, один из компонентов продукта, позволяет агентам на ВМ обмениваться результатами сканирования таким образом, что идентичные файлы проходят проверку только один раз. Благодаря этому общее время сканирования существенно уменьшается. Утилита Virtual Image Exception сокращает объём сканирования путём исключения файлов достоверно надёжного, базового образа виртуальной системы. При этом Symantec Endpoint Protection автоматически определяет наличие гипервизора, на котором работает клиент на виртуальной платформе, что позволяет создавать политики для групп таких клиентов. Это средство защиты не зависит от платформы виртуализации, так как не использует специальных программных интерфейсов гипервизора.

Решение, предлагаемое компанией McAfee, – Management for Optimized Virtual Environments (MOVE) AntiVirus – использует гибридную схему, оптимизированную под виртуальную среду: в ней может быть установлен offload-сервер, принимающий от агентов-коннекторов в виртуальных машинах данные на сканирование. McAfee VirusScan Enterprise for Offline Virtual Images позволяет проводить анализ выключенных машин на наличие вредоносного ПО. Решение функционирует на платформах виртуализации Citrix XenServer, VMware ESX/ESXi и HyperV благодаря выбранной гибридной архитектуре.

Системы обнаружения вторжений и межсетевого экранирования

С появлением виртуальных сред появилась новая проблема – неконтролируемое сетевое взаимодействие между ВМ. Трафик между ВМ обычно не покидает виртуальной среды, как следствие, отследить его традиционными средствами защиты не представляется возможным. Стоит отметить, что каждая компания имеет свой взгляд на решение этой задачи. Некоторые всё так же полагаются на программный интерфейс гипервизора, другие реализуют ВМ, встраиваемую между виртуальными коммутаторами, третьи заменяют сами коммутаторы, встраивая свою программную реализацию с возможностями по защите информации. Особенно интересны средства защиты с реализацией vNetwork Distributed Switch. В целом мы рекомендуем для контроля сетевых взаимодействий в виртуальной среде не полагаться целиком на программные решения, установленные в ней же, так как платформа Intel x86 имеет физические ограничения, устраняемые в аппаратных решениях специальными ASIC-процессорами. Итак, общая рекомендация: контролировать внешние подключения к среде виртуализации с помощью аппаратных решений, а внутренние – программных, реализуя таким образом комбинированный подход.

Теперь посмотрим на конкретные предложения на рынке. Продукт Deep Security, как и в случае с антивирусом, может работать в агентском, в безагентском, а также в смешанном режимах. Особенностью последнего является одновременный контроль трафика как между ВМ внутри хоста, так и со стороны каждой ВМ в отдельности (подробнее о продукте – в статье «Реальные проблемы виртуальных ЦОД»).

Обеспечить эффективную защиту от сетевых угроз позволяет семейство продуктов от Stonesoft – StoneGate Virtual Security, включающее в себя виртуальный межсетевой экран StoneGate Virtual Firewall/VPN и систему предотвращения вторжений StoneGate Virtual IPS. Решения отличаются тем, что реализуют координированный унифицированный подход к защите виртуальной и физической среды. При этом принимается во внимание, что реализация API с гипервизором не обеспечивает требуемую производительность решения по контролю сетевых взаимодействий. Контроль всех средств защиты осуществляется с помощью единого центра управления и мониторинга StoneGate Management Center. Дополнительным плюсом является тот факт, что продукты Virtual Firewall/VPN и Virtual IPS сертифицированы для платформ VMware ESX/vSphere и поддерживают технологию VMsafe.

Кроме того, на вопрос сетевой безопасности в виртуальных инфраструктурах ответила своими решениями компания Cisco Systems – один из лидеров рынка. Вендор предлагает виртуальную реализацию своих коммутаторов на базе Cisco Nexus 1000V, в том числе с возможностью создания распределенных коммутаторов на нескольких физических узлах. Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud добавляют возможности для расширенного контроля сетевого трафика. Эти виртуальные устройства интегрируются с коммутатором Cisco Nexus 1000V, который может поддерживать несколько гипервизоров и позволяет одному экземпляру ASA 1000V защищать несколько узлов ESX. Динамическое управление многопользовательской средой на основе политик возложено на центр управления виртуальными сетями Cisco Virtual Network Management Center. Таким образом, можно создать «бесконечно» большой коммутатор, объединяющий все хосты виртуальной инфраструктуры, с единым центром управления и контролем всего трафика в виртуальной среде. Эти решения позволяют на низком уровне интегрировать сетевую подсистему системы виртуализации в существующую корпоративную сеть, построенную на базе продуктов Cisco Systems.

Это интересно:  Направление на медкомиссию от работодателя бланк 2019

Еще одним типом средств защиты, заслуживающим внимания, является комплексное решение компании Reflex – Reflex Virtual Management Center (VMC). VMC – это виртуальное устройство, поддерживающее работу с VMsafe. Оно позволяет разместить агенты Virtual Security Appliance на всех хостах VMware ESX и контролировать сетевой трафик по аналогии с решениями других производителей. Стоит отдельно отметить дополнительное преимущество продукта – возможность организации зон доверия и описания взаимодействия между зонами без создания сложных правил доступа для различных сетей и узлов. Когда вся наша виртуальная среда разбита на такие зоны, контроль становится более эффективным. При этом решение интегрируется с Cisco Nexus 1000V и обеспечивает гибкий подход по защите виртуальной среды с учетом других своих возможностей.

Решение от IBM – IBM Security Virtual Server Protection for VMware – представляет собой виртуальный аплайнс, внедряемый в виртуальную среду как отдельная ВМ. Интеграция с VMsafe позволяет анализировать трафик между ВМ и предотвращать вторжения, выполнять обнаружение руткитов и обеспечивать межсетевое экранирование. Достаточно полезной особенностью является автоматическое применение политик безопасности к вновь проявляемым машинам, это позволяет избежать появления незащищенных машин в виртуальной среде. Кроме того, решение IBM помогает ускорить и упростить аудит, а также обеспечить соблюдение требований PCI DSS к средствам защиты и ведение отчетности в виртуальной инфраструктуре.

Приверженцев решений CheckPoint может порадовать наличие у вендора продукта VPN-1 VE (Virtual Edition) – виртуального устройства, которое обеспечивает защиту виртуальных сред от внешних и внутренних угроз безопасности. VPN-1 VE создано с учетом отработанных технологий, которые используются для защиты физических систем. Продукт состоит из нескольких модулей: межсетевого экрана, системы предотвращения вторжений, средства VPN, антиспама, антивирусного сканера сетевых потоков, URL-фильтра, защиты web-трафика. VPN-1 VE управляется централизованно, вместе со своими физическими собратьями, с помощью SmartCenter или Provider-1 и обладает всеми преимуществами и недостатками решений, архитектурно завязанных на VMsafe API.

Системы управления состоянием защиты виртуальной среды

Виртуальная среда представляет собой динамическую и сложную инфраструктуру, контроль которой с точки зрения ИБ – непростая задача. Этот класс решений предназначен для управления конфигурацией виртуальной среды и мониторинга состояния информационной безопасности, что зачастую не реализуется обычными средствами управления, такими как VMware vCenter. К лидирующим продуктам здесь можно отнести Reflex VMC и Catbird vSecurity. Оба решения имеют центр правления и виртуальные устройства, размещаемые на серверах ESX/ESXi.

В Reflex VMC входят компоненты vCapacity Configuration – vTrust (Planning), vWatch (Security), vProfile (Monitoring), которые позволяют повышать эффективность эксплуатации ресурсов виртуальной среды, обеспечивать ее защиту, расширенный мониторинг с точки зрения как ИБ, так и ИТ-операций, и управление конфигурациями.

Catbird vSecurity реализует расширенные функции аудита, инвентаризацию объектов и программного обеспечения виртуальной инфраструктуры (включая установленное ПО на сами ВМ), сетевой контроль и защиту гипервизора от сетевых атак, управление конфигурациями. Решение также гарантирует применение заданных с точки зрения ИБ параметров и позволяет управлять изменениями и уязвимостями.

Можно констатировать, что это комплексные многокомпонентные продукты, отличающиеся быстрым развертыванием за счет использования virtual appliance и требующие кропотливой работы по их настройке, так как они регламентируют работу среды в целом. Решения в том числе полезны для автоматизации операций по настройке компонентов среды и контроля этого процесса с точки зрения ИБ. На текущий момент не каждая российская компания готова к применению подобных решений, но интерес к ним, несомненно, повысится с общим развитием отрасли.

Системы контроля доступа к виртуальной инфраструктуре

Один из лидеров этого рынка – решение HyTrust от одноименной компании. Как и многие средства защиты для виртуальных сред, оно представляет собой виртуальное устройство. Решение позволяет повысить безопасность виртуальной инфраструктуры за счет перехвата всех соединений пользователей с ней и разграничения доступа по ролям с применением меток безопасности. Продукт выгодно отличается стабильностью работы и невлиянием на работоспособность самой виртуальной инфраструктуры. HyTrust удобен для администраторов, так как при выполнении всех функций контроля доступа и журналирования действий, не зависимых от управляемой ими среды, они продолжают работать с теми же VMware vSphere Client и консолями SSH. Благодаря встроенным ролям и правилам доступа в решении реализована самозащита от выключения. Продукт интегрируется с Microsoft Active Directory (или с любым другим провайдером LDAP v3) и использует уже существующие списки пользователей, ролей и групп в унифицированной среде доступа HyTrust (подробнее – в статье «Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust», cтр. 22).

Классические системы защиты

И, конечно, не стоит забывать о классических средствах защиты, таких как контроль защищенности, мониторинг и управление событиями, система обнаружения вторжений и межсетевое экранирование на входе в среду виртуализации, защита систем хранения данных и организация доступа к интерфейсам управления аппаратными ресурсами серверов (iLO/ILOM/DRAC и другие). Большинство средств защиты для виртуальных сред интегрируется в единую систему управления и имеет коннекторы для подключения к SIEM, что позволяет интегрировать их с общей системой обеспечения ИБ, действующей в физической среде.

Заключение

Как мы видим, многие продукты совмещают в себе сразу несколько функций безопасности. Это позволяет упростить (путем автоматизации), удешевить систему защиты в виртуальных средах и построить ее как сервис, используя продукты одного вендора, а также не только не потерять все достоинства виртуализации, но и обеспечить ее защищенность, как минимум, на том же уровне, что и классических систем.

СЗИ ВИ Dallas Lock

В связи с тем что мы работаем напрямую с поставщиками в иностранной валюте, цена считается специально для вас с учётом объёмов и индивидуальных характеристик.

Узнать цену —> Узнать цену Узнать цену —>

СЗИ ВИ Dallas Lock – сертифицированная система защиты информации в виртуальных инфраструктурах, которая предназначена для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах на базе VMware vSphere.

Соответствие требованиям руководящих документов
(требования безопасности информации ФСТЭК России)

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля отсутствия НДВ.

Назначение

  • создание защищенных автоматизированных систем до класса защищенности 1Г включительно (Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992));
  • обеспечение 1 уровня защищенности персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»);
  • защита информации в государственных информационных системах 1 класса защищенности (Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).
  • защита информации в значимых объектах критической информационной инфраструктуры до 1 категории включительно (Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).
  • защита информации в значимых объектах критической информационной инфраструктуры до 1 категории включительно (Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).

Обеспечивает

  • идентификацию/аутентификацию администраторов и пользователей в виртуальной среде: на гипервизоре, средствах управления виртуальной средой;
  • разграничение доступа к объектам виртуальной инфраструктуры и файловой системы ОС Windows;
  • контроль целостности критичных объектов виртуальной среды;
  • регистрацию событий безопасности в виртуальной среде и гибкая настройка аудита гипервизора;
  • фильтрацию сетевого трафика в виртуальной среде по предустановленным правилам с возможностью их редактирования или гибкой настройки;
  • зачистку остаточной информации виртуальных машин.
Это интересно:  Знак не курить по госту

Ключевые особенности

  • Возможность построения комплексного решения по защите информации в виртуализованной и физической ИТ-инфраструктуре с использованием всего спектра интегрированных между собой решений из продуктовой линейки СЗИ Dallas Lock.
  • Возможность управления из единой консоли несколькими серверами виртуализации (vCenter и Hyper-V*).
  • Универсальная лицензия на ПО для защиты гипервизоров ESXi и Hyper-V*.
  • Удобное внедрение и последующее администрирование.
  • Возможность гибкого управления квотами на количество физических процессоров (с помощью Сервера лицензий Dallas Lock).
  • Продвинутый механизм контроля целостности (в том числе контроль целостности образа BIOS ВМ, настроек и конфигураций ВМ до загрузки гостевой ОС).
  • Механизм контроля целостности.
  • Не требуется использование 2 сетевых карт для разделения сетевых контуров.
  • *Реализация возможности заложена в рамках планового обновления.

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4820 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Выполнение требований приказов ФСТЭК по защите информации и персональных данных в государственных информационных системах с помощью vGate R2.

Автор: Александр Самойленко
Дата: 25/08/2015

Многим из вас знакомо средство vGate R2, которое позволяет защитить виртуальную инфраструктуру предприятия от несанкционированного доступа, а также правильно настроить ее на базе политик. Недавно мы писали о возможностях vGate R2 версии 2.8, а в этой заметке вкратце расскажем о защите данных в государственных информационных системах.

Как некоторые из вас знают, государство предъявляет требования к защите информации (как составляющей государственную тайну, так и не составляющей), содержащуюся в государственных информационных системах.

Российское законодательство также устанавливает ряд обязательных требований по защите информации в среде виртуализации, соблюдение которых регулируется тремя нормативными актами:

  • Приказ ФСТЭК России от 11.02.2013 № 17 – требования по защите информации в ГИС.
  • Приказ ФСТЭК России от 18.02.2013 № 21 – требования по защите персональных данных в ИСПДн.
  • Приказ ФСТЭК России от 14.03.2014 № 31 – требования по защите информации в АСУ ТП на критически важных объектах.

Вы можете убедиться в этом самостоятельно, открыв любой из этих документов и поискав по слову «виртуализации»:

Все 3 руководящих документа требуют защиты среды виртуализации, не только в средах обработки персональных данных или критически важных объектах, но и в любой государственной организации.

Приведем выдержки из документа об основных мерах, которые государственная организация обязана предпринять для защиты информации в виртуальной среде:

Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

В приказах ФСТЭК России регламентировано выполнение организационно-технических мер защиты среды виртуализации, используемой при обработке информации в автоматизированных системах управления производственными и технологическими процессами, государственных информационных системах и системах персональных данных. В связи с этим все организации, являющиеся операторами этих информационных систем и применяющие технологии виртуализации, обязаны выполнить перечисленные меры защиты и привести свою вычислительную инфраструктуру в соответствие требованиям регулирующих органов.

Применение средств комплексной защиты платформ виртуализации компании «Код Безопасности» позволит вам выполнить самые жесткие требования законодательства для ИСПДн, ГИС и АСУ ТП, а также провести обязательную аттестацию государственных информационных систем и систем управления производством.

Ведь компания Код Безопасности работает непосредственно со ФСТЭК (см. сертификаты продукта vGate R2) и постоянно поддерживает актуальность исполнения требований организации как на уровне политик по конфигурации виртуальной среды, так и на уровне средств защиты от несанкционированного доступа и защиты от внутренних и внешних угроз.

Давайте подробно рассмотрим, что, исходя из текстов приказов, требует сделать ФСТЭК. Во-первых, от нас требуют обеспечить защиту от несанкционированного доступа для следующих компонентов:

  • К информации, обрабатываемой в ВМ
  • К гостевым ОС
  • К хост-серверам (гипервизору)
  • К средствам управления платформой виртуализации
  • К системам хранения
  • К сети виртуальных машин и сети репликации
  • К виртуальным устройствам
  • К резервным копиям

Во-вторых, есть следующая таблица требований к информационной системе (ИС) в зависимости от класса ее защищенности (в колонках слева-направо идут классы защищенности от К4 до К1):

XI. Защита среды виртуализации (ЗСВ)

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

Защита виртуальной инфраструктуры одновременно с физическими компонентами системы

Задача

Технология виртуализации позволяет более эффективно и рационально использовать вычислительные ресурсы. При этом сохраняется привычная функциональность устройств и появляются преимущества по сравнению с традиционной физической средой.

  • Сокращение капитальных и эксплуатационных расходов
  • Быстрое и удобное масштабирование
  • Экономия места в стойке
  • Экономия электропитания и охлаждения
  • Дополнительные инструменты отказоустойчивости

Современные технологии виртуализации в своем составе содержат компоненты защиты, но они неспособны нейтрализовать весь спектр современных угроз, в частности, несанкционированный доступ к информации при ее передаче по недоверенным каналам связи, а также не могут полностью выполнить требования законодательства в области обеспечения информационной безопасности.

Решить задачу защиты виртуальной инфраструктуры компании и безопасного доступа к ней можно одним из следующих способов:

Использовать традиционные программно-аппаратные комплексы (ПАК)

Это проверенное временем аппаратное решение, подходящее для защиты физических компонентов, применимо и к обеспечению безопасности виртуальных систем. Оно используется для защиты филиальной сети и удаленного доступа сотрудников компании. Предложений сертифицированных продуктов на рынке более чем достаточно, но построение систем защиты на их основе имеет ряд недостатков. Во-первых, возможности ПАК ограничены характеристиками платформ и имеют сложность с масштабированием и отказоустойчивостью. Во-вторых, выделение под каждый сервис отдельного сервера влечет за собой увеличение места в стойках, расходов на электропитание, охлаждение и т.д. В-третьих, большое количество разнообразных серверов увеличивает расходы на сервисное обслуживание. Все это приводит к возникновению некоторых неудобств при организации защиты виртуальной инфраструктуры программно-аппаратными комплексами.

Использовать специальные средства защиты, предназначенные для работы в виртуальной среде

Непосредственное встраивание в виртуальную среду позволяет в полной мере использовать основные преимущества технологии виртуализации: экономичность, масштабируемость, отказоустойчивость, а также позволяет избежать неудобств, возникающих при эксплуатации программно-аппаратных комплексов. Средства защиты, выполненные в виде виртуальных программных комплексов, имеют аналогичную функциональность, не уступающую традиционным программно-аппаратным решениям, при этом повышая удобство пользования сетевыми сервисами и упрощая администрирование средств защиты информации.

Решение с использованием специализированных средств защиты для виртуальной среды

Уникальный продукт для защиты сетевой инфраструктуры, в том числе виртуальной среды. Решения на его основе легко интегрируются в инфраструктуру популярных систем виртуализации – VMware, Citrix XenServer, Huawei Fusion, Microsoft Hyper-V и KVM.

  • Выполнение требований регуляторов
  • Высокая производительность
  • Высокая экономическая эффективность
  • Быстрая доставка и установка

Применение данного решения позволяет:

  • выполнить требования российского законодательства в отношении защиты конфиденциальной информации и персональных данных
  • организовать предоставление услуг в области защиты информации, таких как Security-as-a-Service или VPN-as-a-Service.

Для безопасного удаленного доступа на конечные устройства пользователей устанавливаются программные средства защиты: С-Терра Клиент (если сотрудник использует устройство под управлением ОС Windows) или С-Терра Клиент-М (для ОС Android).

Для защиты филиальной сети и/или ЦОД может также использоваться С-Терра Виртуальный Шлюз, а при отсутствии виртуальной инфраструктуры – традиционный ПАК С-Терра Шлюз.

Все компоненты сертифицированы ФСБ России и ФСТЭК России для защиты конфиденциальной информации и персональных данных (см. таблицу 1).

С-Терра Виртуальный Шлюз встраивается непосредственно в виртуальную среду и позволяет организовать защиту привычных пользовательских сервисов без ущерба удобству и функциональности. Продукт сочетает в себе широкий набор функций по защите данных при их передаче по открытым каналам связи и позволяет оперативно решать поставленные задачи.

Преимущества:

  • Возможность перехода к полностью виртуальной инфраструктуре компании.
  • Полная функциональность аппаратного VPN-шлюза С-Терра Шлюз.
  • Быстрая доставка компонентов решения заказчику, разворачивание и ввод в эксплуатацию.
  • Независимость от аппаратной платформы.
  • Эффективное использование вычислительных ресурсов.
  • Высокая производительность шифрования трафика: порядка 300 Мбит/c на 1 ядро процессора.
  • Быстрая адаптация решения к меняющимся задачам и требованиям сетевых приложений.
  • Легкое сохранение, резервное копирование и восстановление, обновление, в т. ч. с использованием образов виртуальных машин (Snapshot).

Таблица 1. Параметры решения по защите виртуализации с применением С-Терра Виртуальный Шлюз

Выбор продуктов

Выбор конкретных продуктов для использования в решении зависит от структуры сети, необходимого класса защиты, объема и типа передаваемого трафика, а также требований по надежности и резервированию. Рекомендации приведены в таблице 2.

Таблица 2. Рекомендации по выбору продуктов С-Терра для защиты виртуальной среды

Структура компании Криптографические средства защиты информации
Центральный офис/ЦОД С-Терра Виртуальный Шлюз
Система управления С-Терра КП
Удаленные офисы С-Терра Виртуальный Шлюз (при наличии системы виртуализации)
или ПАК С-Терра Шлюз
Удаленные пользователи СЗН С-Терра Пост
или С-Терра Клиент
или С-Терра Клиент-М

С-Терра Виртуальный Шлюз предлагается в нескольких вариантах исполнения – с разным количеством используемых ядер процессора и числом возможных туннелей.

Выбор модели виртуального шлюза зависит от типа и комплектации аппаратной платформы (сервера), на которую он будет установлен. Производительность пропорциональна частоте процессора и количеству используемых для шифрования ядер, ограничивающихся лицензионно. При подборе модели виртуального шлюза необходимо учитывать размер и тип передаваемых данных, так как трафик целевых приложений для различных информационных систем может различаться в зависимости от прикладных задач.

Количество ядер процессора Процессор Производительность шифрования
максимальная, Мбит/с
Производительность шифрования
IMIX (mono), Мбит/с
Под управлением гипервизора VMware ESXi (драйвер vmxnet3)
1 Intel E5-2643v4
(3.4 Ghz)
380 300
4 1000 750
12 2500 1500
Под управлением гипервизора VMware ESX (проброс сетевой карты в виртуальную машину)
1 Intel E5-2643v4
(3.4 Ghz)
350 250
4 1300 900
12 3100 1500

Примечания:
1. Mono – однонаправленный поток данных, т.е. генератор трафика расположен только со стороны одного из шлюзов; IMIX – методика тестирования среднестатическим интернет трафиком, представляющая собой набор пакетов разной длины.
2. Значения производительности, указанные в таблице, являются ориентировочными, поскольку зависят от параметров виртуальной среды.

Настройка оборудования и стоимость решения

Подробные инструкции по настройке компонентов размещены на сайте компании «С-Терра СиЭсПи»:

После развертывания виртуальной машины и установки необходимых настроек выполните инициализацию С‑Терра Шлюза.

Выбор конкретных продуктов для использования в решении зависит от структуры сети, необходимого класса защиты, объема и типа передаваемого трафика, а также требований по надежности и резервированию. Рекомендации приведены в таблице 2.

Таблица 2. Рекомендации по выбору продуктов С-Терра для защиты виртуальной среды

Структура компании Криптографические средства защиты информации
Центральный офис/ЦОД С-Терра Виртуальный Шлюз
Система управления С-Терра КП
Удаленные офисы С-Терра Виртуальный Шлюз (при наличии системы виртуализации)
или ПАК С-Терра Шлюз
Удаленные пользователи СЗН С-Терра «Пост»
или С-Терра Клиент
или С-Терра Клиент-М

С-Терра Виртуальный Шлюз предлагается в нескольких вариантах исполнения – с разным количеством используемых ядер процессора и числом возможных туннелей.

Выбор модели виртуального шлюза зависит от типа и комплектации аппаратной платформы (сервера), на которую он будет установлен. Производительность пропорциональна частоте процессора и количеству используемых для шифрования ядер, ограничивающихся лицензионно. При подборе модели виртуального шлюза необходимо учитывать размер и тип передаваемых данных, так как трафик целевых приложений для различных информационных систем может различаться в зависимости от прикладных задач.

Количество ядер процессора Частота процессора, ГГц Производительность шифрования
TCP (mono), Мбит/с
Производительность шифрования
IMIX (mono), Мбит/с
Под управлением гипервизора VMware ESXi
1 1 70 40
1,7 140 80
3 250 140
4 1 255 150
1,7 550 340
3 1050 600
12
(НТ 1 , драйвер SR-IOV)
3 2000 1150
Под управлением гипервизора KVM (драйвер virtio)
1 3 130 70
4 3 700 250
Под управлением гипервизора KVM (драйвер SR-IOV)
1 3 190 80
4 3 950 530
12 3 2000 1200

1 При использовании технологии HT – HyperThreading.

Примечания:
1. Mono – однонаправленный поток данных, т.е. генератор трафика расположен только со стороны одного из шлюзов; IMIX – методика тестирования среднестатическим интернет трафиком, представляющая собой набор пакетов разной длины.
2. Значения производительности, указанные в таблице, являются ориентировочными, поскольку зависят от параметров виртуальной среды.

Настройка оборудования и стоимость решения

Подробные инструкции по настройке компонентов размещены на сайте компании «С-Терра СиЭсПи»:

После развертывания виртуальной машины и установки необходимых настроек выполните инициализацию С‑Терра Шлюза.

Далее настройте политику безопасности согласно подходящему сценарию применения:

Пример защиты виртуальной инфраструктуры с обеспечением отказоустойчивости и балансировки нагрузки на базе продуктов компаний «С-Терра СиЭсПи» и «Citrix»

Для создания эффективной высокопроизводительной и масштабируемой виртуальной сети и защиты ее компонентов компаниями «Citrix» и «С-Терра СиЭсПи» разработано совместное решение, которое позволяет организовать защиту виртуальной инфраструктуры в соответствии с требованиями российского законодательства. В предлагаемом варианте решения виртуальная инфраструктура компании заказчика построена на базе Citrix Xen Desktop и Citrix Netscaler, а система защиты реализована VPN-продуктами компании «С-Терра СиЭсПи».

Преимущества совместного решения:

  • Соответствие требованиям законодательства.
  • Возможность использовать уже существующую инфраструктуру Citrix.
  • Интеграция сертифицированного VPN-шлюза С-Терра Виртуальный Шлюз и межсетевого экрана непосредственно в виртуальную среду Citrix Xen Server.
  • Балансировка нагрузки средствами Citrix NetScaler.
  • Поддержка качества обслуживания и нормализация трафика средствами Citrix Cloud Bridge.
  • Гибкая масштабируемость производительности средств защиты (за счет наращивания шлюзов безопасности в кластере).
  • Высокая степень отказоустойчивости.

Данный подход применим как для защиты удаленного доступа сотрудников компании, так и для защищенного взаимодействия территориально распределенных площадок (например, филиалы и/или ЦОДы).

Рисунок 1. Защита передаваемых данных с обеспечением принципов отказоустойчивости и масштабирования.

Для реализации защиты отдельных серверов и приложений использован высокопроизводительный кластер из шлюзов безопасности в виде виртуальных машин С-Терра Виртуальный Шлюз под управлением гипервизора Citrix XenServer. На конечных устройствах пользователей для безопасного доступа к информационным активам компании установлено программное средство защиты: С-Терра Клиент (если сотрудник использует устройство под управлением ОС Windows) или С-Терра Клиент-М (для ОС Android).

Для оптимизации большого количества передаваемого трафика данных между центральным офисом и филиалами, а также для обеспечения оптимального защищенного доступа к веб-сервисам и приложениям компании используется продукт Citrix NetScaler. Он выполняет задачу ускорения загрузки приложений посредством кэширования и сжатия HTTP пакеты данных и обеспечивает улучшенное управление трафиком с балансировкой нагрузки (Layer 4-7 модели OSI). NetScaler способствует повышению доступности приложений.

Рисунок 2. Защита передаваемых данных с обеспечением оптимизации трафика данных.

Количество ядер процессора Частота процессора, ГГц Производительность шифрования
TCP (mono), Мбит/с
Производительность шифрования
IMIX (mono), Мбит/с
1 3 180 90
4 3 530 470

Примечания:
1. Mono – однонаправленный поток данных, т.е. генератор трафика расположен только со стороны одного из шлюзов; IMIX – методика тестирования среднестатическим интернет трафиком, представляющая собой набор пакетов разной длины.
2. Значения производительности, указанные в таблице, являются ориентировочными, поскольку зависят от параметров виртуальной среды.

Статья написана по материалам сайтов: www.open-vision.ru, www.vmgu.ru, www.s-terra.ru.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock detector