СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
15 декабря
#Интервью #ИБ

От импортонезависимости к кибер‑устойчивости: как Astra Linux формирует новые стандарты безопасности

От импортонезависимости к киберустойчивости: как Astra Linux формирует новые стандарты безопасности

Изображение: recraft

Редакция CISOCLUB поговорила с Владимиром Тележниковым, директором департамента анализа безопасности «Группы Астра» и Павлом Мозговым, директором департамента развития продуктов «Группы Астра» о том, как меняются приоритеты защиты в Astra Linux на фоне курса на импортонезависимость и ужесточения требований регуляторов, какие механизмы обеспечивают максимальный уровень доверия, как организовано управление уязвимостями и выпуск обновлений, как сохраняется баланс между глубиной защиты и удобством администрирования, и какие новые функции появятся в ближайших релизах.

Как изменились приоритеты безопасности в Astra Linux на фоне курса на импортонезависимость и усиления требований регуляторов?

Astra Linux изначально разрабатывалась как защищенная ОС с существенным акцентом на развитие собственных ИБ-механизмов, значительно расширяющих возможности штатных подсистем безопасности Linux. Более 5 лет мы ведем комплексную работу, чтобы обеспечить доверие к каждому компоненту: внедряем и постоянно совершенствуем практики разработки безопасного программного обеспечения (РБПО). Во многом благодаря этому Astra Linux стала первой и остается единственной ОС, сертифицированной ФСТЭК России по первому уровню доверия.

Можно сказать, что к усилению требований регулятора в этой области мы начали готовиться заранее. При этом на фоне курса на импортонезависимость сценарии применения нашей системы становятся все разнообразнее, а это неизбежно требует от нас постоянного уточнения как архитектуры решений, так и модели угроз и комплекса механизмов защиты, позволяющих противостоять новым векторам атак. Вместе с тем одними из главных приоритетов стали простота и эффективность встроенных СЗИ.

Например, помимо базовых, за последние годы появились дополнительные ИБ-требования к критически важным компонентам: средствам виртуализации, контейнеризации, СУБД и инфосистемам на их основе. И во многом их безопасность базируется на применении средств защиты Astra Linux: замкнутой программной среды (ЗПС), мандатного контроля целостности (МКЦ) и мандатного управления доступом (МРД).

Какие механизмы обеспечивают максимум защищенности и высокий уровень доверия к Astra Linux Special Edition?

Наиболее значимый вклад в противодействие внешним угрозам обеспечивают ЗПС, МКЦ и защита конфигурации важных системных компонентов, например, ядра. Его параметры сборки и опции запуска учитывают лучшие современные практики, при этом его можно гибко настраивать под разные потребности. Для защиты конфиденциальных данных ключевой механизм — МРД.

Однако, чтобы эффект был максимальным, можно и нужно применять весь комплекс этих СЗИ, так как они дополняют, а где-то существенно усиливают друг друга. Например, нередко весьма значимы блокировка интерпретаторов или режим «Киоск». В последнее время мы активно развиваем технологии контейнеризации для большей изоляции среды исполнения прикладных программ («песочниц») с применением интегрированных ЗПС и МКЦ.

Как МКЦ и МРД реально работают для защиты инфраструктуры от внутренних угроз?

МРД – это разграничение прав, чтобы защититься от нарушения конфиденциальности. У нас его реализация построена на научно обоснованной модели управления доступом (МРОСЛ ДП-модели) и полностью верифицирована, в том числе с применением формальных методов доказательства корректности, что подтверждает сертификат 1 уровня доверия ФСТЭК России. Это позволяет работать в ОС Astra Linux и строить на ее основе комплексы защищенной обработки и персональных данных, и коммерческой, и государственной тайны.

МКЦ — это в первую очередь защита от несанкционированного воздействия на системные компоненты платформы, противодействие попыткам эксплуатировать ее уязвимости, внедрять вредоносное ПО и преодолевать другие механизмы защиты. Здесь основная задача — обеспечить работоспособность и целостность системы, то есть ее ключевых составляющих.

Как организованы управление уязвимостями и выпуск обновлений безопасности, чтобы оперативно реагировать на новые атаки?

Мы в течение года выпускаем достаточно много обновлений, где устраняем все основные выявленные уязвимости. Они доступны через официальные поставки, что гарантирует их целостность и подлинность. Понимая, что полностью неуязвимых систем нет, мы делаем акцент и на подготовке методических рекомендаций по нейтрализации угроз, возникающих при эксплуатации тех или иных уязвимостей. В этом помогают не только штатные СЗИ Linux, но и наши собственные, описанные выше.

Мы также сотрудничаем с разработчиками отечественных сканеров уязвимостей и Open Source‑решений, адаптируем их для наших фидов. Это позволяет достоверно убеждаться в наличии или отсутствии той или иной уязвимости в ОС и однозначно определять, в каком обновлении ее устранили.

Управление уязвимостями — процесс комплексный, весьма объемный и важный для РБПО. Например, чтобы вовремя находить и устранять уязвимости, не связанные с известными CVE, мы участвуем в программе Bug Bounty. Основная цель – это как раз выявление уязвимостей, связанных с нашими СЗИ.

Как удается сохранить баланс между глубиной защиты и удобством администрирования многоуровневой архитектуры Astra Linux?

Для удобства администрирования стараемся минимизировать количество параметров настроек СЗИ, продумываем сценарии и режимы использования. Так появились усиленный и максимальный режимы защищенности. Разработали профили защиты под требования различных приказов и методических документов, создали инструменты для удобного управления и профилирования настройки ядра, а еще предоставляем специализированный API, чтобы встраивать наши СЗИ в прикладное ПО.

Как ОС взаимодействует с другими продуктами экосистемы «Группы Астра» для построения комплексной системы защиты?

Во-первых, мы как вендор даем возможность применять комплексные механизмы защиты, которые охватывают не только компоненты платформы, но и выходят за ее пределы. Большинство сертифицированных продуктов построено на пакетной базе Astra Linux, поэтому за многие ИБ-функции в тех или иных решениях, например, в ALD Pro, отвечает ОС.

В частности, весь софт «Группы Астра» адаптирован под работу в режиме ЗПС, а для аутентификации пользователей по большей части опирается на штатные механизмы ОС, которые «из коробки» интегрированы со всеми основными СЗИ (МКЦ, МРД). Если нужно обеспечить сохранность гостайны и других конфиденциальных данных в другом нашем ПО, решение строится на базе МРД через специализированный API, и таким образом применяется концепция «единого монитора обращений».

Насколько полно Astra Linux интегрируется в гибридные инфраструктуры, где уже есть решения для Windows и другие платформы?

Эта интеграция достаточно полная, и есть разные варианты взаимодействия систем. Вот ключевые моменты внедрения Astra Linux в таких инфраструктурах:

  • обмен файлами и ресурсами часто строится через настройку Samba, и тогда Linux и Windows без проблем работают с общими сетевыми папками и принтерами;
  • можно на одном устройстве установить сразу и Windows, и Astra Linux, а нужную ОС выбирать при загрузке (dual boot) – так легче организовать плавную миграцию и совместное использование двух платформ;
  • Astra Linux поддерживает протоколы удаленного доступа, такие как RDP, для подключения как из Windows к Astra Linux, так и наоборот;
  • для интеграции с MS Active Directory есть инструкции и инструменты, в гибридной среде можно пользоваться единой системой аутентификации и управления пользователями;
  • в Astra Linux есть сервис Astra Wine для запуска MS Office и других Windows-приложений;
  • вариант ОС Astra Linux Embedded специально рассчитан на миграцию с Windows IoT, его заказчики получают более выгодные условия и совместимость с аппаратными решениями.

Как наличие отечественной защищенной ОС влияет на реальный уровень технологического суверенитета и киберустойчивость организации?

Это влияние очень ощутимо: снижается зависимость от иностранных разработчиков и поставщиков ПО, меньше рисков, связанных с санкциями, ограничениями доступа и геополитикой. Заказчик получает контроль над платформой, доступ к услугам по поддержке, возможность кастомизации. Кроме того, использование отечественной ОС позволяет выполнить нормативные требования в части ИБ и управления данными.

ОС — центральное звено в цепочке доверия от аппаратных средств до прикладного ПО. Ее разработка и развитие невозможны без передовых технологий в программировании и ИБ. Поэтому применение защищенной ОС влияет на квалификацию как программистов, так и системных администраторов и в целом уменьшает риск потери технологического суверенитета.

Astra Linux разрабатывается с фокусом на безопасность, в нее встроены механизмы защиты от атак, контроля доступа и аудита. Она наилучшим образом адаптирована под локальные стандарты, совместима с отечественным «железом» и сертифицированными средствами криптографии. Это значительно снижает уязвимости и повышает устойчивость к кибератакам и попыткам компрометации.

Кроме того, платформа позволяет государственным и корпоративным организациям быстрее реагировать на новые угрозы, проводить независимый аудит безопасности и внедрять обновления без зависимости от зарубежных компаний, что критично для национальной и корпоративной инфраструктуры.

Какие новые технологии и функции безопасности появятся в Astra Linux в ближайших релизах?

В ближайших версиях будет много улучшений в части СЗИ. Вот некоторые из них:

  • расширим основные политики безопасности на новые технологии контейнеризации и доставки ПО;
  • внедрим усиленную политику МКЦ и распространим ее на сетевой обмен файлами;
  • модернизируем средства контроля подключаемых устройств: можно будет контролировать больше девайсов, в том числе и тех, что подключаются не по USB, а к другим шинам;
  • обновим ЗПС, чтобы можно было работать с внешними сертифицированными СКЗИ;
  • нарастим функционал средства мониторинга безопасности ОС.

На что стоит обратить внимание CISO и архитекторам при планировании перехода на Astra Linux с точки зрения безопасности и поддержки?

Здесь можно говорить об API и примерах его применения в ближайшей перспективе, а разработчикам наложенных СЗИ, антивирусов, межсетевых экранов и пр. стоит уделить внимание рекомендациям по интеграции с нашими механизмами защиты. Важно не просто обеспечить поддержку на уровне Ready for Astra, но еще и учитывать специфику встроенных в Astra Linux функций и профилей безопасности.

С нашей ОС совместима продукция множества вендоров, СПО и средства защиты информации, поэтому с точки зрения безопасности и поддержки стоит выбирать такого рода комплексные решения. Что касается экосистемы, при выборе инфраструктурных продуктов имеет смысл отдать предпочтение ПО «Группы Астра», ведь все оно уже «из коробки» поддерживает наши СЗИ.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: