TIONIX Virtual Security

image representing a theme in this article Tionix Virtual Security обеспечивает для Tionix Cloud Platform реализацию мер защиты информации из состава набора мер, предусматриваемых приказами ФСТЭК России.

Производитель(и):

Класс(ы):


Сертификат ФСТЭК № 4348 от 24.12.2020 (до 24.12.2025)
программное обеспечение «Базис.Virtual Security» - Соответствует требованиям документов: Требования доверия(4), ТУ
Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: ФАУ «ГНИИИ ПТЗИ ФСТЭК России», заявитель: ООО «БАЗИС».


Tionix Virtual Security обеспечивает реализацию мер защиты информации из состава набора мер, предусматриваемых приказами 17, 21, 239 ФСТЭК России. С использованием ПО Tionix Cloud Platform может применяться для защиты конфиденциальной информации от несанкционированного доступа в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных.

Tionix Virtual Security обеспечит реализацию следующих базовых наборов мер обеспечения безопасности:

  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  • Управление доступом субъектов доступа к объектам доступа (УПД)
  • Ограничение программной среды (ОПС)
  • Защита машинных носителей информации (ЗНИ)
  • Регистрация событий безопасности (РСБ)
  • Обеспечение целостности информационной системы и информации (ОЦЛ)
  • Защита среды виртуализации (ЗСВ)

Платформа Tionix Virtual Security состоит из следующих основных компонент:

  • контроллер управления,
  • сервер аутентификации и авторизации,
  • сервис-агент.

Сервис-агент. Устанавливается непосредственно на контролируемые вычислительные сущности и обеспечивает следующий функционал:

  • Контроль запуска, миграции и изменения конфигурации виртуальных машин, виртуальных сетей и их портов, контроль целостности виртуальных образов, контроль привязки виртуальных машин к вычислительным сущностям, мониторинг событий изменения состояния виртуальных машин и сетей посредством взаимодействия с библиотекой libvirt через перехватчики вызовов основных функций (libvirt hooks);
  • Мониторинг состояния виртуальных машин, снятие метрик, управление виртуальными машинам в пределах вычислительной сущности (при необходимости) посредством взаимодействия с библиотекой libvirt через libvirt API (Java Bindings for Libvirt API)

Сервис авторизации и аутентификации Состоит из двух компонент:

  • Компонента обеспечения аутентификации и авторизации по протоколу OpenID Connect, в основную функциональность которого входит аутентификация и авторизация web-ресурсов администрирования облачной инфраструктуры, а также, при необходимости, аутентификация и авторизация инфраструктуры клиента (виртуальных машин) в отдельных доменах управления.
  • Компонента обеспечения аутентификации и авторизации LDAP. Функцией данной компоненты является аутентификации и авторизация пользователей имеющих доступ к вычислительным сущностям (direct login, ssh login) с использованием LDAP.

Обе компоненты имеют единую базу данных сведений о доменах, пользователях и группах управляемой инфраструктуры, а также обеспечивают мониторинг всех событий аутентификации и авторизации в контролируемом периметре.

Контроллер управления
Состоит из двух компонент:

  • Компонента консоли управления платформой. Обеспечивает подключение к платформе и управления основными ресурсами и конфигурацией, аутентификация и авторизация в которую обеспечивается посредством компоненты OpenID Connect.
  • Ядро управления платформой. Обеспечивает комплексное управление платформой (управление пользователями, конфигурациями, агентами), взаимодействие компонент между собой, журналирование общесистемных событий, а также событий сервис-агентов. Каждая из основных компонент допускает горизонтальное масштабирование инфраструктуры для обеспечения отказоустойчивости и повышения доступности. Взаимодействие между сервис-агентами и контроллерами управления платформой обеспечивается посредством шины на базе протокола AMQP.

Хранилище данных платформы.

  • Хранение конфигураций платформы, структуры доменов, пользователей и групп обеспечивается за счет СУБД PostgreSQL.
  • Кэширование общих данных между различными компонентами платформы обеспечивается за счет системы кэширование Infinispan.

Платформа обладает следующими функциями обеспечения безопасности:

  • Контроль доступа к вычислительным сущностям посредством авторизации и аутентификации LDAP;
  • Контроль доступа к консолям управления облачной инфраструктурой, консоли управления платформой, а также, при необходимости, контроль доступа к виртуальной инфраструктуре клиента посредством протокола OpenID Connect;
  • Контроль запуска, миграции, конфигурации виртуальных машин, их целостности, и способов размещения относительно вычислительных сущностей посредством сервис-агентов;
  • Внутренний контроль инфраструктуры платформы за счет использования JWT во всех точках взаимодействия с платформой и шифрование взаимодействия ядра с компонентами платформы посредством TLS.

Таким образом, данная архитектура платформы гарантирует ее отказоустойчивость, высокую надежность, отзывчивость и легкость масштабирования при растущих требованиях.

Источник


Новости и ссылки