В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Безопасники обычно утверждают, что использование публичных облаков для работы с корпоративными данными не подходит: информация выходит за пределы компании, безопасностью занимается провайдер (остается лишь верить в его благонадежность). Впрочем, когда технология виртуализации только занимала свое место на арене ИТ, опасений было не меньше. Новая технология – новые вызовы безопасности.
Сегодня уже созданы свои средства защиты информации (СЗИ) для многих задач: для антивирусной защиты, доверенной загрузки виртуальных машин [1–4], разграничения доступа к объектам виртуальной инфраструктуры (ВИ) [5].
Так, разработанный ОКБ САПР программно-аппаратный комплекс (ПАК) "Сегмент-В." предназначен для разграничения доступа к функциям управления ВИ на базе VMware vSphere. В состав комплекса входят прокси-сервер, специальное программное обеспечение для настройки разграничения доступа к ВИ и сервис регистрации событий.
Используя ПАК "Сегмент-В.", администратор безопасности получает возможность на основе иерархических мандатных меток задавать правила доступа пользователей (администраторов ВИ) к объектам, а через назначение списка действий определять перечень операций, которые пользователь может совершать.
Прокси-сервер обрабатывает в соответствии с заданными правилами разграничения доступа все запросы, поступающие с рабочего места администратора ВИ на сервер управления vCenter (или на ESXi). "Сегмент-В." пропускает только разрешенные действия. Правила разграничения доступа задаются администратором безопасности через графическую утилиту из состава "Сегмент-В.". Сервис регистрации событий, устанавливаемый на рабочем месте администратора безопасности, собирает информацию обо всех действиях в системе, как разрешенных, так и запрещенных для исполнения.
Через назначение меток также обеспечивается сегментирование ВИ – прокси-сервер "Сегмент-В." не допускает выполнение действий, в которых участвуют объекты различных уровней доступа или с непересекающимися множествами категорий.
При использовании для разграничения доступа лишь встроенных механизмов VMware vSphere возникает проблема сосредоточения максимальных привилегий в рамках одной роли главного администратора ВИ, т.е. проблема "суперпользователя". Такой администратор может назначить любые права любому пользователю, дать доступ к любому объекту, являясь при этом администратором ВИ, а не безопасности; в рамках одного пользователя сосредоточены права двух администраторов, каждый из которых должен решать свои задачи и преследовать свои интересы.
Хотя решить данную проблему зачастую возможно организационными мерами, это не всегда удобно. "Сегмент-В." позволяет администратору безопасности самому разрешать пользователям выполнение только определенных действий, не являясь при этом администратором ВИ. Такое разделение полномочий администратора безопасности и администратора ВИ позволяет решить проблему "суперпользователя".
Несмотря на то что "Сегмент-В." позволяет разграничивать полномочия администраторов ВИ, после его установки в работе этих пользователей ничего не меняется, разве что настройки сети: теперь трафик проходит через прокси-сервер. На рабочем же месте не появляется дополнительных утилит, нет необходимости проходить аутентификацию в каких-либо дополнительных защитных сервисах, а для доступа к ВИ администратор может продолжать использовать привычные ему средства: vSphere Client (HTML5) для работы с последними версиями ВИ или Windows-клиент vClient для платформ vSphere 6.0 и ранее.
Использование резервирования прокси-сервера "Сегмент-В." позволяет обезопасить себя от создания точки отказа всей системы: работая в кластерном режиме, два прокси-сервера хранят одинаковые настройки правил разграничения доступа, а при выходе из строя одного из них автоматически происходит перенаправление трафика на второй.
Когда-то задачи разграничения действий пользователей в ВИ и обеспечение сегментирования были вызовом специалистам по защите информации, сегодня у нас есть решение. Наверняка завтра такой же обыденной задачей станет и защита данных в публичном облаке.
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2019