Эксплуатация решения vGate R2 for Hyper-V с точки зрения администратора. Автор: Александр Самойленко Дата: 27/12/2014

В прошлых статьях мы рассказывали о продукте vGate R2 for Hyper-V, который позволяет проводить защищенную аутентификацию администраторов, разграничивать доступ к различным объектам инфраструктуры и проводить аудит событий безопасности. О возможностях этого продукта мы писали тут, о настройке - тут и тут, а сегодня мы поговорим о том, как выглядит повседневная эксплуатация решения со стороны администратора ИБ, который является также и администратором решения vGate.

Итак, приведем сначала референсную архитектуру vGate R2 для инфраструктуры Hyper-V, к которой можно обращаться по ходу чтения статьи:

Отметим, что рабочие места администраторов vGate и администраторов Hyper-V находятся во внешнем периметре сети администрирования, а сами защищаемые серверы Hyper-V и прочие - во внутреннем, защищенном периметре. Кроме того, сами виртуальные машины имеют доступ в корпоративную сеть передачи данных. Два периметра сети виртуальной инфраструктуры разделены либо через маршрутизатор, либо непосредственно сервером авторизации vGate (подробнее тут).

В процессе эксплуатации vGate R2 for Hyper-V администратор этого решения выполняет следующие задачи:

• Проводит аудит событий информационной безопасности.
• Осуществляет регистрацию защищаемых серверов.
• Управляет учетными записями пользователей.
• Проводит настройку меток безопасности.
• Проводит настройку политики безопасности.
• Управляет доступом к защищаемым серверам.

1. Аудит событий информационной безопасности.

Это одна из самых важных функций администратора ИБ в инфраструктуре vGate. События безопасности регистрируются на всех защищаемых серверах, на которых установлены компоненты защиты vGate, а затем пересылаются на сервер авторизации для централизованного хранения.

На компьютерах внешнего периметра сети администрирования, на которых установлен агент аутентификации, сообщения хранятся локально в журнале приложений Windows (Application Event Log). Для их просмотра (локально или удаленно) необходимо использовать Windows Event Viewer.

Для просмотра журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий, а над ней — группа параметров для формирования условий отбора записей.

Тут укажите условия отбора записей. Каждое регистрируемое событие описывается рядом характеристик. Для использования дополнительных параметров отбора нажмите кнопку "Дополнительно". Для редактирования списка дополнительных параметров установите отметки рядом с названиями нужных характеристик.

Затем нажмите кнопку "Применить", и соответствующий перечень записей появится в таблице "Список событий". Для детального просмотра отдельных записей выделите нужную запись и нажмите кнопку-ссылку "Свойства".

На экране появится следующий диалог (справа - его представление с прокрученной вниз информацией):

Эти события вам помогут отследить различные действия злоумышленников. Например, в процессе анализа событий информационной безопасности мы видим, что пользователь склонировал виртуальную машину.

Это требует дальнейших разбирательств - когда и зачем он делал (может планировал забрать ее с собой на флэшке), особенно если данные внутри этой ВМ имеют важность и ценность. Уведомления о наступивших событиях могут быть посланы по SNMP и электронной почте.

Для сохранения журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий. Нажмите кнопку-ссылку "Сохранить". На экране появится следующий диалог:

Задайте имя файла и нажмите кнопку "Сохранить" ("Save"). События будут сохранены в файле формата .txt.

Для очистки журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий. Нажмите кнопку-ссылку "Очистить". На экране появится следующий диалог:

Укажите дату и время и нажмите кнопку "ОК". Записи о событиях, зафиксированных ранее указанной даты, будут удалены из журнала.

По умолчанию в журнале vGate регистрируются все возможные события информационной безопасности. Если такой детальный мониторинг не требуется, администратор vGate может отключить те события, регистрация которых не нужна (например, настроить только регистрацию ошибок).

Для настройки параметров регистрации событий безопасности:

1. В окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий.

2. Нажмите кнопку-ссылку "Настройки". На экране появится следующий диалог:

3. Настройте список регистрируемых событий. Для отмены регистрации какого-либо события удалите отметку слева от кода нужного события. Для включения регистрации какого-либо события установите отметку слева от кода
нужного события.

4. По завершении настройки списка регистрируемых событий нажмите кнопку "Применить".

Корректировать список регистрируемых событий можно также из области просмотра параметров функции "Аудит" с помощью кнопок "Включить" и "Отключить".

2. Регистрация защищаемых серверов

Защищаемыми серверами могут быть серверы Hyper-V и другие элементы виртуальной инфраструктуры, имеющие IP-адрес и находящиеся в защищаемом периметре сети администрирования (например сервер DNS).

Для регистрации сервера Hyper-V:

1. В консоли управления выберите функцию "Защищаемые серверы". В верхней части области параметров появится список защищаемых серверов.

2. Нажмите кнопку-ссылку "Сервер виртуализации". На экране появится мастер добавления нового сервера Hyper-V:

3. Укажите полное доменное имя или IP-адрес сервера Hyper-V, а также имя и пароль администратора для данного сервера и нажмите кнопку "Далее". Отметьте поле "Сохранить имя пользователя и пароль", чтобы использовать введенные
данные в качестве данных общей учетной записи.

На сервер Hyper-V будет автоматически установлен агент защиты сервера Hyper-V, и сервер будет добавлен в список защищаемых объектов. На экране появится сообщение об успешном завершении операции.

Чтобы завершить работу мастера, нажмите "Завершить".

Добавленный сервер Hyper-V появится в списке защищаемых серверов. При успешном завершении установки агента защиты Hyper- V в разделе "Развертывание" консоли управления появится номер версии агента и сооб-
щение о его статусе "Запущен".

Для регистрации другого объекта виртуальной инфраструктуры:

1. В консоли управления выберите функцию "Защищаемые серверы". В верхней части области параметров появится список защищаемых серверов.
2. Нажмите кнопку-ссылку "Автономный сервер". На экране появится диалог для добавления сервера.
3. Укажите сетевое имя или IP- адрес сервера, при необходимости введите комментарий и нажмите кнопку "ОК".
   В списке защищаемых серверов появятся новые записи. Для редактирования списка защищаемых серверов используйте кнопки- ссылки "Редактировать" и "Удалить". Кнопка-ссылка "Назначить метку" позволяет назначить метку безопасности для выбранного сервера Hyper- V. Кнопка- ссылка "Экспорт" позволяет
   выгрузить список защищаемых серверов в файл.

Развертывание компонентов защиты на сервере Hyper-V выполняется автоматически при добавлении сервера в список защищаемых серверов.

При необходимости переустановки модуля защиты Hyper-V (такое иногда случается в процессе эксплуатации решения) или временной приостановки контроля за операциями с виртуальной инфраструктурой воспользуйтесь функцией "Развертывание" в консоли управления vGate.

1. В консоли управления выберите функцию "Развертывание". В области параметров появится список серверов Hyper-V:

2. Выберите из списка сервер Hyper-V и нажмите кнопку-ссылку "Переустановить". На экране появится отображение процесса переустановки.

3. При успешном выполнении переустановки модуля защиты Hyper-V параметр "Статус агента" выбранного сервера примет значение "Запущен":

4. Для приостановки контроля защиты Hyper-V в консоли управления выберите функцию "Развертывание". В области параметров появится список серверов Hyper-V:

3. Управление учетными записями пользователей

Изначально управление учетными записями выполняется от имени учетной записи главного администратора, которая создается при установке сервера авторизации vGate.

Администратор vGate может зарегистрировать пользователей двух типов — администратор вирту-
альной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). Если управлением vGate занимаются несколько АИБ, то для каждого АИБ следует настроить дополнительные учетные записи.

Учетная запись главного АИБ имеет ряд привилегий по сравнению с настроенными в консоли. Только эта учетная запись обладает правами добавлять правила доступа для внешнего адаптера основного или резервного сервера авторизации, а также редактировать учетную запись главного АИБ.

Для аутентификации пользователей в vGate можно использовать существующие доменные учетные записи пользователей Windows. В список пользователей vGate можно добавить учетные записи из домена, в котором находится сервер авторизации, или из доверенного домена.Все доменные пользователи автоматически добавляются в группу "Аутентифицированный", и для них действуют соответствующие правила доступа к защищаемым серверам. Для полномочного управления доступом доменные учетные записи необходимо зарегистрировать в vGate при помощи консоли управления.

Для редактирования списка пользователей в консоли управления выберите функцию "Учетные записи". В области параметров появится список пользователей:

Отредактируйте список, добавив в него нужных пользователей.

Первоначально в списке пользователей могут присутствовать учетные записи компьютеров. Они создаются автоматически при установке агента аутентификации на компьютеры во внешнем периметре сети администрирования, кото-
рые не входят в домен сервера авторизации или в доверенные домены.

Автоматически учетным записям компьютеров назначается пароль, который хранится в системе в защищенном виде и используется при аутентификации. Такие учетные записи используются для авторизации компьютеров, а также организации доступа служб и сервисов этих компьютеров к защищаемым серверам Hyper-V и другим узлам сети администрирования.

Имена учетных записей компьютеров имеют следующий формат:

<имя компьютера>$@<имя реестра учетных записей>

Например: arm$@VGATE.

Не рекомендуется удалять учетные записи компьютеров, так как для их восстановления
потребуется повторная установка агента аутентификации.

Для создания учетной записи нажмите кнопку-ссылку "Создать". На экране появится диалог для ввода учетных данных:

Укажите имя пользователя, дважды введите пароль, задайте другие параметры (при необходимости) и нажмите кнопку "ОК".

Расшифровка значений параметров:

• Администратор информационной безопасности - отметьте это поле, если создается учетная запись АИБ
• Оператор учетных записей - отметьте это поле для предоставления создаваемой учетной записи прав на
  управление списком пользователей. Параметр следует настраивать только при создании учетной записи АИБ
• Срок действия пароля неограничен - отметьте это поле для настройки неограниченного срока действия пароля. Если поле не отмечено, то по истечении заданного в политиках срока действия пароля пользователю будет предложено сменить пароль.
• Учетная запись отключена - отметьте это поле для временного отключения созданной записи. Если учетная запись отключена, то вход в систему с ее использованием невозможен.
• Сменить пароль при следующем входе в систему - по умолчанию это поле отмечено. Это означает, что при первом входе в систему пользователю будет предложено сменить пароль.
• Разрешено скачивать файлы виртуальных машин - по умолчанию поле отмечено. Это означает, что пользователь наделен полномочиями на скачивание файлов виртуальных машин. Параметр используется только при создании учетной записи администратора Hyper-V.

Отключение учетной записи запрещает авторизацию данного пользователя. Однако уже авторизованный пользователь сможет продолжить свою работу и после отключения учетной записи, вплоть до следующей попытки авторизации.

Также в процессе эксплуатации решения vGate может понадобиться изменение политики паролей для учетных записей пользователей. Для настройки парольных политик в области параметров функции "Учетные записи" нажмите кнопку-ссылку "Политики паролей":

4. Настройка меток безопасности

Про метки безопасности (уровни и категории конфиденциальности) мы уже писали тут и тут, поэтому мы здесь приведем лишь общие правила, которыми следует руководствоваться в процессе эксплуатации vGate R2 for Hyper-V.

Применение политик безопасности и механизма полномочного управления доступом позволяет обеспечить необходимый уровень безопасности. Основой этих двух механизмов являются метки безопасности.

Для просмотра и изменения параметров выберите в консоли управления функцию "Метки безопасности". В области параметров будут отображены значения параметров меток безопасности.

Настройка полномочного управления доступом осуществляется в следующем
порядке:

• выбираются и настраиваются допустимые метки безопасности;
• включается управление доступом по выбранному виду меток безопасности;
• назначаются метки безопасности учетным записям пользователей и ресурсам (объектам виртуальной инфраструктуры).

Будьте внимательны при назначении меток. Если какому-либо пользователю или ресурсу не был назначен уровень конфиденциальности, то объект автоматически получает уровень конфиденциальности "неконфиденциально".

При настройке функции полномочного управления доступом следует использовать метки одного вида. Выбор допустимых меток безопасности определяется в зависимости от состава информации, обрабатываемой в виртуальной инфраструктуре:

• если в виртуальной инфраструктуре обрабатываются сведения, составляющие государственную тайну или относящиеся к персональным данным, то следует использовать иерархические метки;
• если в виртуальной инфраструктуре не обрабатываются сведения, составляющие государственную тайну или относящиеся к персональным данным, то рекомендуется использовать неиерархические метки.

Для более гранулированного разграничения доступа к объектам виртуальной инфраструктуры можно использовать составные метки. Например, составные метки можно использовать для разграничения доступа к персональным данным или сведениям, составляющим государственную тайну, обрабатываемым в разных отделах компании.

В случае использования неиерархических меток необходимо включить возможность использования категорий конфиденциальности для управления доступом. Кроме того, можно изменить список допустимых категорий
конфиденциальности под свои задачи.

Пример. В качестве категорий можно использовать названия разных отделов компании (например, "Бухгалтерия", "Отдел разработки", "Отдел продаж", "Руководство"). Это позволит ограничить доступ персонала к ресурсам других отделов. В случае использования сложных меток следует настроить матрицу допустимых сочетаний уровней и категорий конфиденциальности.

Правила и последовательность назначения меток безопасности зависят от вида используемых меток, а также состояния виртуальной инфраструктуры:

• новая виртуальная инфраструктура: серверы Hyper-V введены в эксплуатацию, но виртуальные машины еще не созданы;
• виртуальная инфраструктура используется: на серверах Hyper-V запущены виртуальные машины.

Правила и порядок назначения уровней конфиденциальности

При назначении иерархических меток (уровней конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задайте уровень конфиденциальности для каждой учетной записи АВИ в соответствии с уровнем допуска пользователя к конфиденциальным ресурсам.
2. Задайте уровень конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с уровнем конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper-V планируется
   обрабатывать информацию разного уровня конфиденциальности, то:
   • отметьте поле "Разрешено исполнять ВМ с меньшим уровнем";
   • установите уровень конфиденциальности сервера Hyper- V, равный
   максимальному уровню конфиденциальности обрабатываемой на нем
   информации.
3. Задайте уровни конфиденциальности для всех существующих ВМ. Уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности сервера Hyper- V, на котором она выполняется (если отмечено поле
   "Разрешено исполнять ВМ с меньшим уровнем"), или равен уровню сервера
   Hyper-V (если поле не отмечено).

   Если ВМ планируется перемещать на другой сервер Hyper-V, то уровень
   конфиденциальности ВМ должен быть не выше уровня конфиденциальности
   этого сервера Hyper-V.

В процессе дальнейшего функционирования виртуальной инфраструктуры АИБ должен своевременно назначать уровни конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру (серверам Hyper-V), а также новым учетным записям пользователей.

Правила назначения категорий конфиденциальности

При назначении неиерархических меток (категорий конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задайте категории конфиденциальности для каждой учетной записи АВИ в соответствии с допуском пользователя к определенным категориям ресурсов. Каждый пользователь может быть допущен к одной или нескольким категориям ресурсов.
2. Задайте одну или несколько категорий конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с категорией конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper- V будет обрабатываться информация разных категорий, то задайте список из этих категорий.

   В случае назначения категорий конфиденциальности для объектов новой виртуальной инфраструктуры процедура окончена. Новые ВМ получат метки конфиденциальности автоматически при их создании. При этом ВМ назначается категория из списка категорий хранилища, совпадающая с категорией из списка категорий пользователя, создающего ВМ. Если таковых несколько, то ВМ назначается список категорий. В случае назначения категорий конфиденциальности дляобъектов существующей виртуальной инфраструктуры перейдите к шагу 3.

3. Задайте категории конфиденциальности для всех существующих ВМ. Список
   категорий ВМ должен иметь хотя бы одну общую категорию со списком категорий сервера Hyper-V, на котором она выполняется.

В процессе дальнейшего функционирования виртуальной инфраструктуры АИБ должен своевременно назначать категории конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру (серверам Hyper-V), а также новым учетным записям пользователей.вателей.

Для назначения меток безопасности в консоли управления выберите объект, которому необходимо назначить
метку безопасности. Далее нажмите кнопку-ссылку "Назначить метку". На экране появится следующий диалог:

Укажите уровень и/или категории конфиденциальности, а также настройте перечисленные ниже дополнительные параметры (при необходимости).

Дополнительный параметр "Разрешено исполнять ВМ с меньшим уровнем" учитывается только в случае использования уровней конфиденциальности при настройке полномочного управ-
ления доступом.

5. Настройка политик безопасности

Политики безопасности содержат настройки для серверов Hyper-V и ВМ, позволяющие обеспечить определенную степень защиты данных и соответствие требованиям некоторых стандартов безопасности.

На данный момент в решении есть специально разработанный для vGate набор политик, позволяющий задать более безопасный режим работы серверов Hyper-V и виртуальных машин. В следующих версиях продукта будут добавлены новые наборы политик.

Политики безопасности сервера Hyper-V:

• Запрет удаленного использования PowerShell - блокирует возможность удаленного использования PowerShell на сервере Hyper-V

Политики безопасности ВМ:

• Запрет включения репликации виртуальных машин Hyper-V - блокирует возможность включения репликации ВМ.
• Запрет создания и удаления снимков виртуальных машин Hyper-V - блокирует возможность создания и удаления контрольных точек (checkpoints) ВМ.
• Запрет миграции виртуальных машин Hyper-V - блокирует возможность миграции ВМ.
• Запрет экспорта виртуальных машин Hyper-V - блокирует возможность экспорта ВМ.
• Затирание остаточных данных на СХД при удалении виртуальной машины Hyper-V - политика обеспечивает автоматическое затирание файлов жестких дисков при удалении ВМ посредством однократной записи нулевых значений. Данная политика не работает для дисков ВМ, имеющих контрольные точки (checkpoints). Перед удалением ВМ необходимо удалить все ее контрольные точки.

Назначение политики объекту осуществляется следующим образом:

• на базе шаблона формируется набор политик;
• набор политик назначается для категории или уровня конфиденциальности;
• объекту (серверу Hyper-V или ВМ) назначается метка безопасност .

Формирование наборов политик:

В консоли управления выберите функцию "Политики безопасности". В области параметров будет отображен список наборов политик.

Далее нажмите кнопку "Добавить" и создайте новый шаблон политик на базе существующего:

На экране появится диалог настройки политик:

В наборе политик можно включить или отключить выбранную политику или сразу группу политик (выделив активный набор политик). Для большинства политик отключение с помощью консоли управления НЕ позволяет вернуть настройки сервера Hyper-V к первоначальному состоянию (до применения политики).

Для редактирования набора политик выберите нужный набор и нажмите кнопку-ссылку "Изменить". На экране появится диалог, в котором отображается текущее состояние политик в наборе.

Для включения шаблона в набор выделите название необходимого шаблона и нажмите кнопку "Включить". Все политики безопасности, входящие в указанный шаблон, получат статус "Включено" (в том числе и в других шаблонах). Для отключения выбранного шаблона используйте кнопку "Отключить".

Для назначения набора политик в консоли управления выберите функцию "Метки безопасности". В области параметров будут отображены значения параметров меток безопасности. Выберите категорию или уровень конфиденциальности, которым необходимо назначить политики, и нажмите кнопку "Назначить политики". На экране появится список настроенных администратором наборов политик.

Укажите нужный набор политик и нажмите кнопку "Назначить". Название набора политик, назначенного метке безопасности, будет отображено в колонке "Наборы политик безопасности". Для отмены назначения набора политик для выделенной категории или уровня конфиденциальности используется кнопка-ссылка "Отменить назначение".

6. Управление доступом к защищаемым серверам

До выполнения этой процедуры требуется, чтобы были созданы нужные учетные записи пользователей и компьютеров, чей доступ к защищаемым объектам сети администрирования должен быть регламентирован. Для этого необходимо:

• зарегистрировать пользователей vGate (см. ранее);
• при необходимости установить агенты аутентификации на компьютеры сервисных служб, которым требуются входящие соединения в защищаемый периметр для организации санкционированного доступа служб и сервисов компьютеров к защищаемым серверам Hyper-V и другим узлам защищаемой сети.

Для предоставления доступа:

1. В консоли управления выберите функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа.

2. Выберите нужный сервер в таблице "Список защищаемых серверов". В нижней таблице отобразится список действующих правил.

3. Для создания правила нажмите кнопку-ссылку "Создать правило". На экране появится диалог мастера создания правила.

4. Если на предыдущем шаге мастера был выбран вариант "Использовать шаблон", на экране появится диалог создания правил по шаблону.

5. Выберите необходимый шаблон и нажмите кнопку "Далее". На экране появится следующий диалог.

Список содержит правила доступа, определяющие параметры соединения. На следующем шаге укажите пользователей и компьютеры, для которых будут действовать правила.

• Пользователь - это учетная запись пользователя или компьютера. Для выбора учетной записи нажмите на кнопку-ссылку "Выбрать".

  Значение "Аутентифицированный" означает, что правила распространяются на все учетные записи пользователей и компьютеров, зарегистрированные в vGate или входящие в домен, который добавлен в список доверенных доменов на сервере авторизации vGate.

  Значение "Анонимный" означает, что для доступа по такому правилу аутентификация не требуется (доступно только если маршрутизацию трафика выполняет сервер авторизации). На аутентифицированных пользователей правила для анонимных пользователей не распространяются.

• Компьютер - это компьютер, с которого данному пользователю разрешен заданный доступ (для учетной записи компьютера не используется). Допустимые значения: NetBIOS-имя, DNS-имя, IP-адрес, символ "*" (звездочка указывает, что правило распространяется на любой компьютер)

6. Нажмите кнопку "Завершить", чтобы применить правила. Правила доступа будут добавлены в список.

7. Если на шаге 3 был выбран вариант "Новое правило", на экране появится диалог создания нового правила.

Укажите необходимые значения параметров и нажмите кнопку "Далее".

• Имя - имя правила.
• Описание - описание правила (не является обязательным параметром).
• Тип протокола - тип протокола соединения: TCP, UDP, ICMP или IP level.
• Номер протокола - номер IP-протокола на сетевом уровне (поле доступно только в том случае, если в поле "Тип протокола" выбрано значение "IP level").
• Исходящий порт - исходящий порт. Символ "0" (ноль) означает, что правило действует для всех портов.
• Порт назначения - порт назначения. Символ "0" (ноль) означает, что правило действует для всех портов.

Больше информации о продукте vGate R2 for Hyper-V можно узнать на этой странице. Скачать пробную версию продукта можно тут.