Обзор TIONIX Virtual Security

Дата: 02.04.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Обзор TIONIX Virtual Security

Продукт Tionix Virtual Security от одноимённой российской компании – относительно новое решение, которое, однако, уже успело получить сертификат ФСТЭК по 4-му уровню доверия и соответствия ТУ. Tionix Virtual Security, или сокращённо TVS, входит в группу продуктов Tionix, позволяющих построить защищённое облачное или виртуальное хранилище, разместить там важные информационные системы и гибко управлять созданной инфраструктурой. В этом семействе для TVS выделено две важные роли – контроль виртуальных машин и управление пользователями информационных систем. Кроме этого, TVS помогает реализовать 7 наборов мер, требуемых при оценке соответствия информационных систем – а значит, сильно облегчит аттестацию.

Функциональные возможности

1. Контроль виртуальной инфраструктуры

TVS устанавливается на платформы виртуализации на основе KVM и позволяет:

  • Отслеживать создание, удаление, копирование виртуальных машин;
  • Контролировать вычислительные ресурсы (аппаратные конфигурации) виртуальных машин;
  • Управлять доступом и к серверам виртуализации, и к виртуальным машинам;
  • Регистрировать и анализировать события безопасности в виртуальной инфраструктуре;
  • Фильтровать сетевой трафик виртуальных машин – и внутренний виртуальный, и внешний к объектам физической инфраструктуры;
  • Регулировать миграцию виртуальных машин – определять, кто и на какие узлы может переносить виртуальные машины;
  • Управлять резервным копированием виртуальных машин;
  • Осуществлять контроль целостности виртуальной инфраструктуры и ее конфигураций.

2. Управление пользователями информационных систем

С помощью TVS можно подключить любые информационные системы, поддерживающие протокол LDAP, OpenID Connect (например, Nginx, Apache) или аутентификацию через ЕСИА (Госуслуги), и создать единую точку доступа пользователей (SSO) к этим системам. Таким образом, Tionix Virtual Security будет центром управления учётными записями. При этом можно будет подключить несколько разных ИС – базы пользователей будут независимыми друг от друга.

Функции единой точки доступа на основе TVS:

  • Управление учётными записями ИС (создание, изменение, удаление, блокирование неактивных пользователей);
  • Идентификация и аутентификация пользователей при их попытке входа в ИС (в том числе с возможностью двухфакторной аутентификации);
  • Парольные политики для пользователей (требования к длине, сложности и сроку действия пароля, сброс пароля, защита от перебора пароля);
  • Разграничение доступа пользователей к различным объектам ИС с помощью ролевых моделей;
  • Ограничение числа параллельных сеансов доступа для каждой УЗ;
  • Блокирование сеанса после установленного времени бездействия пользователя;
  • Сбор, запись и хранение информации о событиях безопасности, подлежащих регистрации.
Обзор TIONIX Virtual Security

Порядок подключения пользователя к виртуальному рабочему месту по VDI при использовании TVS

3. Выполнение мер защиты информации в ГИС, ИСПДн, АСУТП

Немаловажной задачей, выполняемой Tionix Virtual Security, является выполнение мер защиты информации, которые требуется использовать в государственных информационных системах и информационных системах персональных данных (приказы ФСТЭК № 17 и 21 соответственно). Также можно защитить автоматизированные системы управления производственными и технологическими процессами (приказ ФСТЭК № 239). Во всех перечисленных случаях допустимо использовать TVS для защиты по первому классу (уровню) защищённости.

Меры, которые можно закрыть с помощью TVS:

  • идентификация и аутентификация пользователей (ИАФ.1);
  • управление идентификаторами (ИАФ.3);
  • управление средствами аутентификации (ИАФ.4);
  • защита обратной связи при вводе аутентификационной информации (ИАФ.5, ИАФ.7);
  • идентификация и аутентификация внешних пользователей (ИАФ.6);
  • обеспечение управления учетными записями пользователей (УПД.1);
  • реализация ролевого метода, типов и правил разграничения доступа (УПД.2);
  • ограничение неуспешных попыток входа в информационную систему (УПД.6);
  • оповещение пользователя после успешного входа в систему о его предыдущем входе (УПД.8);
  • ограничение числа параллельных сеансов доступа для каждой учетной записи (УПД.9);
  • обеспечение блокирования сеанса доступа в информационную систему после установленного времени бездействия пользователя (УПД.10);
  • разрешение (запрет) действий пользователя до идентификации и аутентификации (УПД.11);
  • управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) (УПД.16);
  • определение событий безопасности, подлежащих регистрации, и сроков их хранения (РСБ.1, АУД.4);
  • определение состава и содержания информации о событиях безопасности, подлежащих регистрации (РСБ.2);
  • сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения (РСБ.3);
  • реагирование на сбои при регистрации событий безопасности (РСБ.4);
  • обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе (РСБ.8);
  • контроль ошибочных действий пользователей по вводу и передаче информации и предупреждение пользователей об ошибочных действиях (ОЦЛ.8);
  • идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре (ЗСВ.1);
  • управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре (ЗСВ.2);
  • регистрация событий безопасности в виртуальной инфраструктуре (ЗСВ.3);
  • управление потоками информации в виртуальной инфраструктуре (ЗСВ.4);
  • управление перемещением виртуальных машин и обрабатываемых на них данных (ЗСВ.6);
  • контроль целостности виртуальной инфраструктуры и ее конфигурации (ЗСВ.7);
  • резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры (ЗСВ.8);
  • разбитие виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем (ЗСВ.10).

Ниже описаны реальные кейсы использования TVS.

Сценарий использования: аттестация и ЕСИА

Первым сценарием использования является успешная аттестация информационной системы с интеграцией пользователей через Единую систему идентификации и аутентификации (ЕСИА). При этом Tionix Virtual Security выступает как связующее звено между веб-сервером компании и ЕСИА. Аттестовать такую систему (в данном случае по К1 ГИС) становится легче, поскольку ЕСИА является сертифицированным сервисом, выполняющим управление учётными записями пользователей, а TVS – сертифицированным же средством выполнения мер ИАФ.1, ИАФ.3 и прочих, перечисленных выше.

В итоге компания получила тройное преимущество: аттестат, безопасное хранение идентификационных данных пользователей, удобство управления учётными записями.

Сценарий использования: аттестация KVM-виртуализации

Другим реальным сценарием использования TVS является аттестация информационной системы, использующей KVM-виртуализацию. В этом сценарии именно TVS фигурирует в паспорте на аттестованную систему как средство защиты, тем самым оставляя возможность без изменения аттестационной документации обновить ОС и установленную на ней KVM. Что, согласитесь, иногда бывает просто необходимо. Дополнительное преимущество – удобство контроля аппаратных конфигураций виртуальных машин.

Сценарий использования: SSO для информационных систем

Сейчас Tionix Virtual Security установлен в нескольких организациях, где выполняет функцию Single Sign-On. В первом случае TVS позволяет подключаться пользователям, залогиненным в AD, к нескольким облачным системам хранения и обработки документов. Во втором TVS интегрирован с используемой в компании системой электронного документооборота.

Архитектура решения

В решении Tionix Virtual Security можно выделить четыре важных модуля: сервер управления, сервер аутентификации и авторизации, хранилище данных и сервис-агенты. Расскажем о них в порядке возрастания важности.

Сервис-агенты (Virtual Security Agent) – клиентское ПО, устанавливаемое на серверы виртуализации KVM. Позволяют осуществлять контроль виртуальных машин, применять политики межсетевого экранирования и аппаратных ресурсов, проверять целостность виртуальных машин.

Сервер аутентификации и авторизации (LDAP Catalog, OpenID Connect Provider) принимает запросы авторизации и аутентификации от подключенных к нему информационных систем по протоколам OpenID Connect и LDAP, отвечает им по настроенным правилам, а также записывает все события аутентификации и отправляет их в хранилище.

Предназначение Хранилища конфигураций и журналов безопасности ясно из названия. Для хранения используется СУБД PostgreSQL.

Сервер управления. Первая его функция – сервер, реализующий веб-интерфейс управления системы (Admin Web). Во-вторых, сервер управления управляет остальными модулями, обрабатывает создаваемые политики аутентификации и защиты виртуальных серверов, создаёт пользователей информационных систем и сохраняет внутренние события TVS. На рисунке ниже этот функциональный компонент обозначен как Admin Core.

Модули обмениваются между собой данными по шине на базе протокола AMQP.

Обзор TIONIX Virtual Security

Для более стабильной и надёжной работы можно установить встроенный балансировщик на отдельный сервер. Также можно выделить две разных машины для компонентов Admin Web и Admin Core. Так что TVS может быть развернут как на одной машине, так и на 5 разных (сервер аутентификации и авторизации, хранилище, Admin Web, Admin Core, балансировщик).

Технические требования

Tionix Virtual Security предоставляется в виде инсталляционных пакетов для установки на заранее подготовленный физический или виртуальный сервер. Минимальные требования для установки TVS на один сервер таковы:

Процессор4-ядерный процессор, 2,2 ГГц с поддержкой виртуализации
ОЗУ16 Гб
Жёсткий диск10 Гб
Сетевой адаптер1 шт. Ethernet 1 Гбит/сек
ОСОС семейства Linux:
• Astra Linux Special Edition
• АЛЬТ 8 СП СЕРВЕР;
• Альт Сервер 9;
• РЕД ОС;
• РОСА «КОБАЛЬТ»;
• CentOS 7, 8;
• Red Hat Enterprise Linux 7, 8;
• Ubuntu 16–20;
• Debian 9, 10.  

Для установки сервис-агента на сервер виртуализации потребуется следующее:

Процессор4-ядерный процессор, 2,2 ГГц с поддержкой виртуализации
ОЗУ16 Гб
Жёсткий диск10 Гб
Сетевой адаптер1 шт. Ethernet 1 Гбит/сек
ОСЛюбая ОС с установленным сервером виртуализации KVM

Порядок внедрения

Установка Tionix Virtual Security на серверы происходит, как уже было отмечено, с помощью инсталляционных пакетов. Доступ к интернету на будущих серверах TVS не обязателен (но если его нет, требуемые пакеты-зависимости нужно будет скачать и установить вручную).

Для подключения сервера виртуализации достаточно установить на него сервис-агент и указать IP-адрес сервера аутентификации и авторизации в скрипте конфигурации. После этого в консоли TVS отобразится данный сервер виртуализации, автоматически подгрузятся созданные виртуальные машины.

Обзор TIONIX Virtual Security

Для подключения целевой системы нужно будет создать и настроить в консоли TVS клиентскую информационную систему.

Обзор TIONIX Virtual Security

Затем нужно установить на веб-сервер целевой информационной системы модуль для подключения по выбранному вами протоколу (LDAP или OpenID Connect) и настроить его с помощью конфигурационных файлов. Всё, можно в консоли TVS создавать пользователей и входить ими в информационную систему.

Обзор TIONIX Virtual Security

Окно свойств пользователя

Лицензирование

Политика лицензирования довольно простая. При интеграции с Tionix Cloud Platform лицензии предоставляются на количество физических процессоров платформы виртуализации. Если защищается обычный KVM-сервер, лицензия покупается по количеству таких серверов (без ограничений по физическим процессорам). Также не накладывается никаких ограничений на количество развернутых модулей TVS или запросов авторизации пользователей.

Выводы

Tionix Virtual Security – интересный продукт, который его создатели позиционируют в первую очередь как средство выполнения требований российских регуляторов в условиях нарастающего импортозамещения. Один TVS может закрыть добрую половину наборов мер, требуемых 17 Приказом ФСТЭК. А значит, сильно облегчить аттестацию ГИС или ИСПДн. Но направленность на импортозамещение даёт и минусы. Из неё вытекает один из самых существенных, на наш взгляд, недостатков – отсутствие поддержки хотя и зарубежных, но очень популярных гипервизоров vSphere и Hyper-V.

Но если рассматривать TVS не как отдельный продукт, а как часть интегрированного решения Tionix Cloud Platform, впечатление меняется. TVS в этом случае обеспечивает безопасность и виртуальной платформы, и расположенных в ней информационных систем. Также большим преимуществом является наглядная консоль управления пользователям информационных систем с возможностью детализации по пользователям и сеансам – администраторам ИС станет гораздо легче визуализировать активность пользователей, видеть устаревшие или нелегитимные учётные записи. Построив такую облачную платформу, операторы ИС (и особенно госкомпании и госорганы) получат и удобство работы пользователей в облаке, и безопасность обрабатываемой информации.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *