TIONIX Virtual Security
Tionix Virtual Security обеспечивает для Tionix Cloud Platform реализацию мер защиты информации из состава набора мер, предусматриваемых приказами ФСТЭК России.Производитель(и): ТИОНИКС (ООО)
Класс(ы): СЗВИ - Средство защиты виртуальной инфраструктуры
Сертификат ФСТЭК № 4348 от 24.12.2020 (до 24.12.2025)
программное обеспечение «TIONIX Virtual Security» - Соответствует требованиям документов: Требования доверия(4), ТУ
Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: ФАУ «ГНИИИ ПТЗИ ФСТЭК России», заявитель: ООО «ТИОНИКС».
Tionix Virtual Security обеспечивает реализацию мер защиты информации из состава набора мер, предусматриваемых приказами 17, 21, 239 ФСТЭК России. С использованием ПО Tionix Cloud Platform может применяться для защиты конфиденциальной информации от несанкционированного доступа в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных.
Tionix Virtual Security обеспечит реализацию следующих базовых наборов мер обеспечения безопасности:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
- Управление доступом субъектов доступа к объектам доступа (УПД)
- Ограничение программной среды (ОПС)
- Защита машинных носителей информации (ЗНИ)
- Регистрация событий безопасности (РСБ)
- Обеспечение целостности информационной системы и информации (ОЦЛ)
- Защита среды виртуализации (ЗСВ)
Платформа Tionix Virtual Security состоит из следующих основных компонент:
- контроллер управления,
- сервер аутентификации и авторизации,
- сервис-агент.
Сервис-агент. Устанавливается непосредственно на контролируемые вычислительные сущности и обеспечивает следующий функционал:
- Контроль запуска, миграции и изменения конфигурации виртуальных машин, виртуальных сетей и их портов, контроль целостности виртуальных образов, контроль привязки виртуальных машин к вычислительным сущностям, мониторинг событий изменения состояния виртуальных машин и сетей посредством взаимодействия с библиотекой libvirt через перехватчики вызовов основных функций (libvirt hooks);
- Мониторинг состояния виртуальных машин, снятие метрик, управление виртуальными машинам в пределах вычислительной сущности (при необходимости) посредством взаимодействия с библиотекой libvirt через libvirt API (Java Bindings for Libvirt API)
Сервис авторизации и аутентификации Состоит из двух компонент:
- Компонента обеспечения аутентификации и авторизации по протоколу OpenID Connect, в основную функциональность которого входит аутентификация и авторизация web-ресурсов администрирования облачной инфраструктуры, а также, при необходимости, аутентификация и авторизация инфраструктуры клиента (виртуальных машин) в отдельных доменах управления.
- Компонента обеспечения аутентификации и авторизации LDAP. Функцией данной компоненты является аутентификации и авторизация пользователей имеющих доступ к вычислительным сущностям (direct login, ssh login) с использованием LDAP.
Обе компоненты имеют единую базу данных сведений о доменах, пользователях и группах управляемой инфраструктуры, а также обеспечивают мониторинг всех событий аутентификации и авторизации в контролируемом периметре.
Контроллер управления
Состоит из двух компонент:
- Компонента консоли управления платформой. Обеспечивает подключение к платформе и управления основными ресурсами и конфигурацией, аутентификация и авторизация в которую обеспечивается посредством компоненты OpenID Connect.
- Ядро управления платформой. Обеспечивает комплексное управление платформой (управление пользователями, конфигурациями, агентами), взаимодействие компонент между собой, журналирование общесистемных событий, а также событий сервис-агентов. Каждая из основных компонент допускает горизонтальное масштабирование инфраструктуры для обеспечения отказоустойчивости и повышения доступности. Взаимодействие между сервис-агентами и контроллерами управления платформой обеспечивается посредством шины на базе протокола AMQP.
Хранилище данных платформы.
- Хранение конфигураций платформы, структуры доменов, пользователей и групп обеспечивается за счет СУБД PostgreSQL.
- Кэширование общих данных между различными компонентами платформы обеспечивается за счет системы кэширование Infinispan.
Платформа обладает следующими функциями обеспечения безопасности:
- Контроль доступа к вычислительным сущностям посредством авторизации и аутентификации LDAP;
- Контроль доступа к консолям управления облачной инфраструктурой, консоли управления платформой, а также, при необходимости, контроль доступа к виртуальной инфраструктуре клиента посредством протокола OpenID Connect;
- Контроль запуска, миграции, конфигурации виртуальных машин, их целостности, и способов размещения относительно вычислительных сущностей посредством сервис-агентов;
- Внутренний контроль инфраструктуры платформы за счет использования JWT во всех точках взаимодействия с платформой и шифрование взаимодействия ядра с компонентами платформы посредством TLS.
Таким образом, данная архитектура платформы гарантирует ее отказоустойчивость, высокую надежность, отзывчивость и легкость масштабирования при растущих требованиях.
