vGATE R2

В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. При выполнении ряда стандартных операций с объектами применяется сравнение методов безопасности учетных записей администратора, безопасности информации и ресурсов. Благодаря этому возможно создание логических групп и сферы администрирования посредством бизнес-категоризации, например, финансовых и коммерческих отделов и т.д.

Имеется возможность отключения мандатного контроля доступа для определенных объектов из консоли управления.

Есть возможность использовать несколько видов меток безопасности:

- Иерархическая метка – содержит только один уровень конфиденциальности.
- Неиерархическая метка – содержит одну или несколько равноправных категорий конфиденциальности.
- Составная метка – содержит одновременно один уровень конфиденциальности и одну или несколько категорий конфиденциальности.

Уровень конфиденциальности характеризует уровень доступа применительно к ресурсу или уровень, допускающий к ресурсу применительно к пользователю. Категория конфиденциальности определяет принадлежность ресурса или доступ пользователя к какой-либо группе (например, к подразделению компании).

Метки безопасности применяются:

- защищаемым серверам Hyper-V;
- администраторам;
- виртуальными машинами;
- хранилищам (локальным, сетевым);
- виртуальным сетям;
- виртуальным коммутаторам и сетевым адаптерам.

Реализована возможность пометить метками следующие субъекты, объекты, контейнеры:

- Администраторы ВИ.
- ESX-серверы.
- Сетевые карты ESX-сервера или VLAN.
- Разделы хранилища (Datastore).
- ВМ. К средствам управления сетевой инфраструктурой относятся: - ESX-серверы, предназначенные для виртуального запуска; - серверы vCenter, предназначенные для централизованного управления экосистемой; - средства, предназначенные для обслуживания, например, VMware Consolidated Backup, VMware Update Manager; - сторонние средства и управление инфраструктурой. Серверы Hyper-V управляют виртуальными машинами. Компрометация этих серверов может нанести непоправимый вред группе виртуальных машин и поставить их под всю виртуальную инфраструктуру. Именно поэтому так важно обеспечить надежную защиту средств управления – серверов Hyper-V.

Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей беспроводной сети. Именно поэтому крайне важно обеспечить защиту от НСД средств управления глобальной инфраструктурой. Средства управления инфраструктурой инфраструктуры размещаются внутри защищаемого периметра, при этом доступ пользователей и компьютеров к осуществлению по протоколам, нечувствителен к попыткам перехвата паролей и предотвращения вмешательства в передачу данных.

Для обеспечения защиты средств управления сетевой инфраструктурой применяется функциональное дискретное разграничение доступа к объектам, которые расположены внутри защищаемого периметра. Правила разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами при подписании, тем самым обеспечивается максимальная защита от атак типа «Человек посередине» в процессе сетевого взаимодействия.

Также в vGate при разграничении прав доступа администраторы применяют к объектам использования мандатный принцип контроля доступа. Администратор информационной безопасности не имеет права доступа к данным виртуальных машин, его полномочия по управлению мировой инфраструктурой ограничены только при рассмотрении положений элементов применения. Все действия администраторов применяются можно контролировать на уровне отдельных команд управления инфраструктурой.

Особые ценности, о которых идет речь, включают в себя vGate механизм блокировки любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечиваются средства защиты управления сетевой инфраструктурой от НСД со стороны скомпрометированной инфраструктуры машины.