LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ЗСВ.1 (Н-Т-Н)
  • ЗСВ.2 (Н-Н-Т)
  • ЗСВ.3 (Н-Т-Н)
  • ЗСВ.4 (Т-Т-Т)
  • ЗСВ.5 (Т-Т-Т)
  • ЗСВ.6 (Н-Т-Н)
  • ЗСВ.7 (Н-Н-Т)
  • ЗСВ.8 (Т-Т-Т)
  • ЗСВ.9 (Н-Т-Т)
  • ЗСВ.10 (Н-Т-Т)
  • ЗСВ.11 (Н-Н-Т)
  • ЗСВ.12 (Н-О-О)
  1. Процессы
  2. 7-П. ЗСВ - Защита среды виртуализации

ЗСВ 1-12

Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации

ЗСВ.1 (Н-Т-Н)

Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации.

Уровень защиты информации 3-Н, 2-Т, 1-Н.

Пояснение

Доступ к виртуальным машинам, включенным в контур безопасности (далее – КБ) необходимо осуществлять только с АРМ, включенных в этот контур безопасности.

Требование не актуально в случае использования подхода единого контура безопасности.

Реализация - Т

1. Выделение отдельных сегментов контуров безопасности;

2. Включение АРМ пользователей и администраторов в границы сегмента, только одного контура безопасности;

3. Использование SIEM-системы для контроля фактического состава созданных, используемых и (или) эксплуатируемых виртуальных машин и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Для усиленного уровня:

Для разных сегментов контуров безопасности необходимо выделять разные сегменты:

1. Сегмент АРМ эксплуатационного персонала;

  1. Сегмент АРМ пользователей;

3. Сегмент СХД.

При этом должно соблюдаться правило, что из вышеописанных сегментов сети можно получить доступ к ВМ только входящим в выделенный контур безопасности, где расположены эти сегменты.

Проверочные процедуры (свидетельства)

1. Выгрузка с сетевого оборудования перечня VLAN, в которых размещаются виртуальные машины (далее – ВМ).

2. Схема сетевого взаимодействия + интервью с работниками организации.

3. Демонстрация невозможности подключения к ВМ и/или сегменту ВМ, выделенных в разных контурах безопасности.

4. Настройки правил МЭ, запрещающих доступ до ВМ из сегментов сети, не входящих в выделенный VLAN финансовой организации.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.2 (Н-Н-Т)

Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Разница требований заключается в том, что при реализации требования ЗВС.1 нет необходимости обеспечивать запрет взаимодействия АРМ пользователей и администраторов с ВМ другого контура на уровне L3 (т. е. при помощи ACL-листов).

Для реализации требования ЗСВ.2 - обязательным пунктом является использование настроек сетевого оборудования, которые на уровне не выше 3 (либо тегированные VLAN, либо VLAN на L3) обеспечивают запрет взаимодействия АРМ администраторов и пользователей с ВМ другого контура безопасности (например - контур 1 и контур 2).

Реализация - Т

1. Выделение отдельных сегментов контуров безопасности;

2. Включение АРМ пользователей и администраторов в границы сегмента, только одного контура безопасности;

3. Использование SIEM-системы для контроля фактического состава созданных, используемых и (или) эксплуатируемых виртуальных машин и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Проверочные процедуры (свидетельства)

1. Выгрузка с сетевого оборудования перечня VLAN, в которых размещаются виртуальные машины (далее – ВМ).

2. Схема сетевого взаимодействия сегментов сети + интервью с работниками организации.

3. Демонстрация невозможности подключения к одной ВМ и/или сегменту ВМ, выделенных в разных контурах безопасности.

4. Настройки правил МЭ, запрещающих доступ до ВМ из сегментов сети, не входящих в выделенный VLAN финансовой организации.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.3 (Н-Т-Н)

Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности.

Уровень защиты информации 3-Н, 2-Т, 1-Н.

Пояснение

Для пояснения.

Реализация - Т

1. Выделение отдельных сегментов контуров безопасности;

2. Включение АРМ пользователей и администраторов в границы сегмента, только одного контура безопасности;

3. Использование SIEM-системы для контроля фактического состава созданных, используемых и (или) эксплуатируемых виртуальных машин и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Проверочные процедуры (свидетельства)

1. Выгрузка с сетевого оборудования перечня VLAN, в которых размещаются виртуальные машины (далее – ВМ).

2. Схема сетевого взаимодействия сегментов сети + интервью с работниками организации.

3. Демонстрация невозможности подключения к одной ВМ и/или сегменту ВМ, выделенных в разных контурах безопасности.

4. Настройки правил МЭ, запрещающих доступ до ВМ из сегментов сети, не входящих в выделенный.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.4 (Т-Т-Т)

Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Разница требований заключается в том, что при реализации требования ЗВС.3 нет необходимости обеспечивать запрет взаимодействия ВМ с серверами СХД другого контура на уровне L3 (т. е. при помощи ACL-листов).

Для реализации требования ЗСВ.4 - обязательным пунктом является использование настроек сетевого оборудования, которые на уровне не выше 3 (либо тегированные VLAN, либо VLAN на L3) обеспечивают запрет взаимодействия ВМ с серверами сегмента СХД другого контура безопасности (на примере - контур 1 и контур 2).

Реализация - Т

1. Выделение отдельных сегментов контуров безопасности;

2. Включение АРМ пользователей и администраторов в границы сегмента, только одного контура безопасности;

3. Использование SIEM-системы для контроль фактического состава созданных, используемых и (или) эксплуатируемых виртуальных машин и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Проверочные процедуры (свидетельства)

0. Выгрузка скриншота с сетевого оборудования, подтверждающего, что в Организации выделен контур безопасности (т. е. отдельный сегмент сети, VLAN).

1. Выгрузка с сетевого оборудования перечня VLAN, в которых размещаются виртуальные машины (далее – ВМ), сегменты серверов СХД).

2. Схема сетевого взаимодействия сегментов сети + интервью с работниками организации.

3. Демонстрация невозможности с ВМ к сегменту серверов СХД, выделенных в разных контурах безопасности.

4. Настройки правил МЭ, запрещающих доступ к серверам СХД из сегментов сети, не входящих в VLAN рассматриваемого контура безопасности.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.5 (Т-Т-Т)

Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

  1. Обеспечить реализацию идентификации и аутентификации пользователей при доступе к ВМ, при помощи настроек гипервизора и/или централизованных сервисов аутентификации (например, AD).

Проверочные процедуры (свидетельства)

1. Скриншоты событий защиты информации, где отражены ситуации логического доступа пользователя к ВМ (например, при помощи событий на гипервизоре и/или Active Directory).

2. События защиты информации сервера RDS.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.6 (Н-Т-Н)

Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине.

Уровень защиты информации 3-Н, 2-Т, 1-Н.

Пояснение

Для пояснения.

Реализация - Т

При использовании в организации системной аппаратной виртуализации Microsoft Hyper-V, одной из возможности выполнения требования следующим образом.

Встроенные механизмы Hyper-V имеют возможность закрепления одной виртуальной машины за одним пользователем, но такое закрепление работает только в рамках одной коллекции виртуальных машин.

Поэтому исходя из потребностей организации, например, можно создавать коллекции, в которых будут ВМ конкретных подразделений.

Администратору виртуальной инфраструктуры потребуется указать к какой из коллекций, если их несколько, будет относиться виртуальная машина, а также указать пользователя, за которым будет закреплена виртуальная машина, так как по умолчанию она не назначена никому из пользователей.

После выполнения данного разграничения и реализации закрепления виртуальных машин за конкретными пользователями, доступ к одной ВМ будет только у одного пользователя.

Во внутренней нормативной документации рекомендуется закрепить закрепление одной виртуальной машины за одним пользователем, также закрепить использование коллекций виртуальных машин за конкретными подразделениями, либо регламентировать использование единой коллекции виртуальных машин.

Проверочные процедуры (свидетельства)

Проведение проверки возможности подключения к виртуальной машине с различными аутентификационными данными;

Проверка коллекций виртуальных машин (если имеются).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.7 (Н-Н-Т)

Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения.

Реализация - Т

В разрезе системной аппаратной виртуализации Microsoft Hyper-V организовать доступ к одной виртуальной машине только с одного АРМ можно при помощи:

1. выдачи сертификата с закрытым не экспортируемым ключом для АРМ;

2. добавления АРМ в группу машин, которым разрешен доступ к виртуальным машинам, в Active Directory.

При выборе второго варианта настройку доступа можно произвести в RD Gateway.

Потребуется указать, в какой группе состоит пользователь и группу, в которой находится его АРМ.

По совокупности данных факторов доступ будет предоставляться только с одного АРМ.

Проверочные процедуры (свидетельства)

Проведение проверки возможности подключения к виртуальной машине минимум с двух АРМ с одними и теми же аутентификационными данными.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.8 (Т-Т-Т)

Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения.

Реализация - Т

1. GPO AD для установления требований к разрыву сессии пользователя с ВМ.

2. Механизмы системы виртуализации, позволяющие разорвать сессию пользователя при работе с В

2.1 Использование команды «stop-VM»;

2.2 Esxcli (использование консоли Esxi) — это интерфейс командной строки (CLI), который предоставляет доступ к ряду пространств имен, таких как vm, vsan, network и software, позволяя выполнять задачи, изменять настройки и так далее. Таким образом, если вам нужно завершить работу не отвечающей виртуальной машины с использованием esxcli, можно действовать следующим образом:

А) Получить список виртуальных машин, размещенных на ESXi:

Esxcli vm process list

Б) Скопируйте значение World ID и выполните команду:

esxcli vm process kill --type=soft -w=796791

Команда не выдает никакой обратной связи, кроме случаев, когда она не сможет найти виртуальную машину или вы укажете неверный параметр.

1. Hyper-V Реализация принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной для системы виртуализации на базе Hyper-V возможна при помощи использования шаблонов GPO.

Данные шаблоны расположены по пути – Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов рабочих столов\Ограничение сеансов по времени.

А также принудительную блокировку сессии пользователя может произвести администратор вручную.

2. Если в организации система виртуализации реализована на базе VMWare, то обеспечить возможность принудительной блокировки сессии можно при помощи настройки виртуальных машин.

Для этого потребуется включить параметр настроек, который можно, выбрав виртуальную машину, после нажать кнопку “Action”, далее перейти в раздел “VM Options”, развернуть список “VMWare Remote Console Options” и поставить галочку напротив пункта “Lock the guest operating system when the last remote user disconnects”.

Аналогично первому пункту, администратор вручную может выключить установленную сессию с виртуальной машиной.

Проверочные процедуры (свидетельства)

1. GPO AD, установленные на разрыв сессии пользователя с ВМ, с учетом установленных требований (например, по истечению определенного количества времени).

2. Фактическая возможность администратора разорвать сессию пользователю при помощи отключения машины из сети (наблюдения аудитора в ходе интервью).

3. Скриншот событий защиты информации в системе виртуализации, отражающий, что сессия была разорвана.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.9 (Н-Т-Т)

Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Для пояснения.

Реализация - Т

Реализация данного требования подразумевает применение двухфакторной аутентификации эксплуатационным персоналом для доступа к серверным компонентам виртуализации, а именно к:

1. гипервизорам;

2. техническим средствам, необходимым для функционирования гипервизоров;

3. техническим средствам, предназначенным для управления и администрирования гипервизорами;

4. ПО, предназначенному для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).

Проверочные процедуры (свидетельства)

  1. Проверочные процедуры использования двухфакторной аутентификации эксплуатационным персоналом при осуществлении логического доступа к серверным компонентам виртуализации.

2. Договор на приобретение СрЗИ, реализующего двухфакторную аутентификацию.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.10 (Н-Т-Т)

Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Для пояснения.

Реализация - Т

Требование прямо говорит о способе размещения средств защиты информации, которые используются.

То есть, все средства защиты информации, которые используются организацией для обеспечения контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных, должны быть размещены на физических СВТ, а не в самой инфраструктуре виртуализации.

Данная мера запрещает использование технологии Nested Virtualization.

Средствами, которые обеспечивают выполнение данного требования являются, например, «Dallas Lock» и «vGate».

Проверочные процедуры (свидетельства) - Т

Проверка факта, что не применяется технология Nested Virtualization.

Проверка настроек «Dallas Lock», должен обеспечиваться контроль логического доступа администраторов данным СрЗИ.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗСВ.11 (Н-Н-Т)

Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций:

  • создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла;

  • предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации;

  • управление системы хранения данных;

  • управление настройками гипервизоров;

  • конфигурирование виртуальных сетей в рамках своего контура безопасности.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения.

Реализация - Т

Назначение и регистрация работников, выполняющих указанные в мере функции управления виртуальной средой, с назначением различных ролей в системе виртуализации таким образом, чтобы не допускать объединения для учетной записи одного работника всех указанных функций (ролей).

Проверочные процедуры (свидетельства)

Скриншоты из системы управления правами доступа и ролями в гипервизоре (или наложенном средстве управления ролями) с демонстрацией выделения ролей и распределения указанных в мере функций (ролей) меду различными работниками.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Из формулировки меры неясно, устанавливается ли запрет для одновременного совмещения всех указанных ролей (функций) для учетной записи одного работника, либо не допускается даже попарное совмещение ролей (функций), перечисленных в мере.

С учетом требования обеспечить разделение персонала, обслуживающего виртуальную инфраструктуру для различных контуров безопасности, см меру ЗСВ.2 (как правило, выделяемых для организаций с усиленным уровнем защиты), запрет попарного запрета совмещения функций трудновыполним из-за недостаточности штатного обеспечения.

ЗСВ.12 (Н-О-О)

Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах.

Уровень защиты информации 3-Н, 2-О, 1-О.

Пояснение

Мера направлена на обеспечение отказоустойчивости компонентов АС в случае сбоя, отказа, удаления виртуальной машины.

Реализация - О

Мера должна быть регламентирована в документе Положение по обеспечению информационной безопасности при использовании средств виртуализации.

В документе указывается такой порядок распределения компонентов АС на виртуальных машинах, чтобы серверные или пользовательские компоненты АС не размещались на одной виртуальной машине.

Проверочные процедуры (свидетельства)

Реестр виртуальных машин с указанием какие компоненты каких АС на них размещены.

Выдержка из документа, регламентирующего порядок размещения компонентов АС на виртуальных машинах.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Данная мера должна иметь признак технической, так как указание в документах обязанности по размещению серверных и пользовательских компонентов АС на разных виртуальных машинах не влечет фактического обязательного исполнения. В связи с чем мера неэффективна.

Мера должна подтверждаться свидетельствами технической ее реализации.

Также в ряде случаев разделение серверных и пользовательских компонентов АС на разных виртуальных машинах невозможно из-за архитектурного решения самой АС.

Previous7-П. ЗСВ - Защита среды виртуализацииNextЗСВ 13-31

Last updated 10 months ago

LogoПросмотр и анализ логов RDP подключений в Windows | Windows для системных администраторов
LogoВиртуализация - 5 способов закрыть неотвечающую виртуальную машину в VMware vSphere из консоли ESXi
https://vdc-download.vmware.com/vmwb-repository/dcr-public/a5f4000f-1ea8-48a9-9221-586adff3c557/7ff50256-2cf2-45ea-aacd-87d231ab1ac7/vim.VirtualMachine.html#dropConnections