Требования (по безопасности информации) к средствам виртуализации из соответствующего Приказа ФСТЭК России №187 от 27 октября 2022 года определяют 6 классов защиты (самый низкий класс – шестой, самый высокий – первый).

Функции безопасности, которые должны быть реализованы в средстве виртуализации, разбиты на 10 групп, конкретные требования в которых публично доступны только для систем виртуализации с 6 по 4 класс защиты.

Сами требования весьма обширны даже для 6-го класса и по мере его (класса) повышения дополняются новыми. Основные требования оформил в виде таблицы в заключительной части поста, а то доступный сплошным текстом в выписке на сайте ФСТЭК России этот перечень трудно воспринимаем без глубокого погружения в предметную область.

Возможно, по причине сложности Требований, а, быть может, из-за сравнительно незначительного времени, прошедшего со времени их появления, сертифицированных по ним средств защиты в реестре ФСТЭК России по состоянию на сегодня всего 9, из которых 8 соответствуют 4-му классу защиты (Требования к средствам виртуализации(4)) и только одно - первому (Требования к средствам виртуализации(1)).

Таблица со всеми сертифицированными средствами виртуализации выглядит так:

Важно!
Информация в приведённой таблице актуальна на дату публикации. Текущие действующие сертификаты можно посмотреть в соответствующем Реестре ФСТЭК России. Также по возможности актуализируется информация в Хабе Злонова.

Другие выборки:
[таблица] Сертифицированные системы управления базами данных 2024
[таблица] Сертифицированные операционные системы 2024

Средство защиты Полный перечень соответствий из сертификата
Astra Linux Special Edition Требования к средствам виртуализации(1)
• Требования доверия(1)
• Требования доверия(2)
• ИТ.ОС.А1.ПЗ
• ИТ.ОС.А2.ПЗ
• Требования к средствам контейнеризации(1)
• Требования к СУБД(1)
Горизонт-ВС Требования к средствам виртуализации(4)
• Требования доверия(4)
• ИТ.СДЗ.ПР4.ПЗ
• РД СВТ(5)
Альт 8 СП Требования к средствам виртуализации(4)
• Требования доверия(4)
• ИТ.ОС.А4.ПЗ
• Требования к средствам контейнеризации(4)
РЕД ОС Требования к средствам виртуализации(4)
• Требования доверия(4)
• ИТ.ОС.А4.ПЗ
• Требования к средствам контейнеризации(4)
Базис.Virtual Security Требования к средствам виртуализации(4)
• Требования доверия(4)
Numa vServer Требования к средствам виртуализации(4)
• Требования доверия(4)
ROSA Virtualization Требования к средствам виртуализации(4)
• Требования доверия(4)
zVirt Max Требования к средствам виртуализации(4)
• Требования доверия(4)
Enterprise cloud platform VeiL Special Edition Требования к средствам виртуализации(4)
• Требования доверия(4)
• ТУ

Попробуем кратко по всем ним пройтись. Проще всего с теми, что сертифицированы исключительно по Требованиям к средствам виртуализации.

Базис.Virtual Security, как указывает сам разработчик, может поставляться в двух исполнениях. Первый модульный – состоящий из Базис.DynamiX, Базис.Virtual Security и Базис.vCore. Второй – Базис.DynamiX, Базис.Virtual Security и сертифицированной отечественной ОС, как Astra Linux или «Альт». Если правильно разобрался в маркетинговых материалах, можно использовать собственное решение по виртуализации от компании Базис, а можно - применить Базис.Virtual Security для выполнения требований для любой иной платформы виртуализации, построенной на базе KVM. Например, для системы виртуализации zVirt.

Numa vServer позиционируется разработчиком НумаТех как первое на российском рынке решение серверной виртуализации корпоративного уровня на базе гипервизора Xen. К слову, описания продуктов Нума Технологии на их сайте весьма детальны и содержат ссылки на отдельные порталы с подробной документацией. В какой-то степени это компенсирует отсутствие большого количества продуктовых новостей, в которых обычно другими производителями как раз и принято сообщать о тех или иных технических подробностях.

ROSA Virtualization была сертифицирована задолго по появления отдельных Требований ФСТЭК России к средствам виртуализации, а позиционируется как первая в России система управления виртуализацией, которая использует интегрированные средства защиты информации, что бы это ни значило =) Цены на ROSA Virtualization, между прочим, публично доступны: https://rosa.ru/rosa-virtualization/#price

zVirt Max является отдельной версией решения zVirt. Настолько отдельной, что найти её упоминание на сайте разработчика не так просто. Какие-то детали есть разве что вот в этой проиндексированной поисковиками презентации: https://docs.orionsoft.ru/zvirt/zVirt-ekosistema-ORION-soft.pptx. Даже разработчиком zVirt Max заявлено другое юридическое лицо - ООО «Рокитсофт». Ну, да не будем вникать в эти корпоративные особенности, пост не об этом.

Enterprise cloud platform VeiL Special Edition завершает пятёрку средств защиты, сертифицированных только на соответствие Требованиям к средствам виртуализации (и, понятно, по Требованиям доверия). Разработчик ECP VeiL SE - НИИ Масштаб - не размещает на сайте новостей с октября 2022 года, но сертификат выдан в апреле 2024 года, так что, думаю, всё у них хорошо, просто некогда заниматься сайтом - не факт, что это как-то может говорить о качестве самой разработки =)

Остальные средства защиты в Реестре ФСТЭК России помимо выполнения рассматриваемых Требований к средствам виртуализации, соответствуют и иным Требованиям.

Начнём с Горизонт-ВС, дополнительно имеющего подтверждение соответствия Требованиям к СДЗ - средствам доверенной загрузки (Профиль защиты СДЗ - платы расширения четвертого класса защиты. ИТ.СДЗ.ПР4.ПЗ). Двойное назначение может оказаться удобным - не нужно приобретать отдельное средство.

Продолжим и закончим оставшимися тремя средствами, являющимися операционными системами и упомянутым в предыдущем обзоре про сертифицированные ОС:

В случае использования каждой из этих ОС в качестве сертифицированного средства виртуализации есть свои технические и лицензионные нюансы, но детали лучше уточнять непосредственно у поставщиков перед приобретением.

Кстати, ровно эти же три ОС (и только они из всего Реестра) выполняют ещё и Требования ФСТЭК России к средствам контейнеризации, так что отдельного поста по этим Требованиям не будет - ссылка на обзор соответствущего Приказа ФСТЭК России (№118) для интересующихся деталями есть в подборке дополнительных материалов ниже.

В реестре есть ещё некоторые решения, которые можно отнести к средствам виртуализиации либо средствам их защиты, но так как у них (пока?) нет сертификатов по Требованиям ФСТЭК России к средствам виртуализации, оставим их за бортом.

На закуску - подборка ссылок на публикации по близким темам:

Плюс обещанная в начале поста выдержка из Требований:

Основные требования к средствам виртуализации в зависимости от класса защиты

Функция безопасности 6 класс защиты 5 класс защиты 4 класс защиты
Доверенная загрузка виртуальных машин блокировать запуск виртуальной машины при выявлении нарушения целостности конфигурации виртуального оборудования данной виртуальной машины аналогично 6 классу защиты дополнительно: блокировать запуск виртуальной машины при выявлении нарушения целостности файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины) и (или) исполняемых файлов гостевой операционной системы
Контроль целостности контролировать целостность в процессе загрузки и динамически в процессе функционирования средства виртуализации объектов контроля самостоятельно или с применением сертифицированных хостовой операционной системы или средства доверенной загрузки

информировать администратора безопасности средства виртуализации о нарушении целостности объектов контроля

контролировать целостность конфигурации виртуального оборудования виртуальных машин
дополнительно: контролировать целостность исполняемых файлов и параметров настройки средства виртуализации дополнительно: обеспечивать целостность сведений о событиях безопасности
Регистрация событий безопасности обеспечивать регистрацию событий безопасности, связанных с функционированием средства виртуализации

оповещать администратора безопасности средства виртуализации о событиях безопасности

выполнять действия, являющиеся реакцией на события безопасности самостоятельно или с применением сертифицированных средств защиты информации

осуществлять сбор и хранение записей в журнале событий безопасности, которые позволяют определить, когда и какие действия происходили
аналогично 6 классу защиты дополнительно: для регистрируемых событий безопасности в каждой записи журнала событий безопасности дополнительно должно регистрироваться описание события безопасности, включающее сведения о его важности
Управление доступом должен быть реализован ролевой метод управления доступом с четырьмя ролями пользователей: разработчик виртуальной машины, администратор безопасности средства виртуализации, администратор средства виртуализации, администратор виртуальной машины аналогично 6 классу защиты аналогично 6 классу защиты
Резервное копирование должно обеспечиваться резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин самостоятельно или с применением хостовой операционной системы или сертифицированных средств резервного копирования дополнительно должно обеспечиваться резервное копирование параметров настройки средства виртуализации дополнительно должно обеспечиваться резервное копирование сведений о событиях безопасности
Управление потоками информации обеспечивать управление потоками информации между виртуальными машинами и информационными (автоматизированными) системами на канальном и сетевом уровнях самостоятельно или с применением сертифицированных средств управления потоками информации (коммутаторов, маршрутизаторов) и (или) межсетевых экранов, а также контроль взаимодействия виртуальных машин между собой аналогично 6 классу защиты аналогично 6 классу защиты
Защита памяти очищать остаточную информацию в памяти средства вычислительной техники при ее освобождении (распределении) или блокирование доступа субъектов к остаточной информации

удалять объекты файловой системы, используемые средством виртуализации, путем перезаписи уничтожаемых (стираемых) объектов файловой системы случайной битовой последовательностью

размещать код средства виртуализации в области памяти, не доступной одновременно для записи и исполнения

изолировать области памяти виртуальных машин
аналогично 6 классу защиты аналогично 6 классу защиты
Ограничение программной среды самостоятельно или с привлечением хостовой операционной системы должно осуществлять контроль за запуском компонентов программного обеспечения, обеспечивающий выявление и блокировку запуска компонентов программного обеспечения, не включенных в перечень (список) компонентов, разрешенных для запуска аналогично 6 классу защиты дополнительно: осуществлять контроль за запуском компонентов программного обеспечения, обеспечивающий:

- выявление и блокировку запуска компонентов программного обеспечения, целостность которого нарушена

- блокировку запуска компонентов программного обеспечения, не прошедших аутентификацию с использованием свидетельств подлинности модулей (в том числе цифровых сигнатур производителя или иных свидетельств подлинности модулей)
Идентификация и аутентификация пользователей (при реализации такой функции) Первичная идентификация пользователей средства виртуализации должна осуществляться администратором средства виртуализации

в том числе: Пароль пользователя должен содержать не менее 6 символов при алфавите пароля не менее 60 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 10
дополнительно: Пароль пользователя должен содержать не менее 6 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 8

должно обеспечивать взаимную идентификацию и аутентификацию пользователей и средства виртуализации при удаленном доступе с использованием сетей связи общего пользования.
дополнительно: Пароль пользователя должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки – 4
Централизованное управление образами виртуальных машин и виртуальными машинами (при реализации такой функции) создавать, модифицировать, хранить, получать и удалять образы виртуальных машин в информационной (автоматизированной) системе

обеспечивать чтение записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства виртуализации
дополнительно: обеспечивать управление размещением и перемещением виртуальных машин и их образов с возможностью сохранения их конфигурации и настроек аналогично 5 классу защиты

Для долиставших до конца - бонус =)

Опрос про средства виртуализации из реестра ФСТЭК России


Комментарии из Telegram


Комментарии ВКонтакте