Электронный замок программно-аппаратный комплекс «Соболь»

ПАК «Соболь» - сертифицированный  аппаратно-программный модуль доверенной загрузки №1 на российском рынке, средство защиты компьютера. «Соболь» может применяться для защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Группа компаний "Астрал", являясь официальным представителем Компании «Код Безопасности» на территории Республики Дагестан, представляет ПАК  Соболь, позволяющий реализовать требования по защите информации.

Основные возможности

	Идентификация и аутентификация Идентификация и аутентификация пользователей обеспечивается до загрузки ОС при помощи ключей iButton, iKey2032, eToken, Rutoken и др.		Регистрация попыток доступа Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти
	Контроль целостности Электронный замок «Соболь» контролирует неизменность аппаратной конфигурации компьютера, файлов ОС и реестра Windows, прикладных программ		Доверенная загрузка Обеспечивается запрет загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы
	Аппаратный ДСЧ Сертифицированный аппаратный датчик случайных чисел может быть использован в СКЗИ для генерации надежных ключей шифрования		Сторожевой таймер Дополнительный модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь»

 Назначение

Электронный замок «Соболь» может быть использован для того, чтобы:

• доступ к информации на компьютере получили только те сотрудники, которые имеют на это право;
• в случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.

Возможности

• Выбор форматов исполнения

• Аутентификация пользователей

• Блокировка загрузки ОС со съемных носителей

• Контроль целостности программной среды

• Контроль целостности системного реестра Windows

• Сторожевой таймер

• Регистрация попыток доступа к ПЭВМ

• Контроль конфигурации

 По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".

Модельный ряд

Модель	Спецификация
	Габариты: 50  x 120 мм. Интерфейс: PCI (3,3 В, 5 В). Разъем RJ12 для подключения внешнего считывателя идентификатора iButton. Разъем для подключения внутреннего считывателя идентификатора iButton. Соединительный кабель для механизма сторожевого таймера. Упаковка: индивидуальная. Поддерживаемые идентификаторы: iButton DS1992, DS1995 и DS1996. USB-ключи iKey 2032. USB-ключи eToken PRO. USB-ключи eToken PRO (Java) (только с сертификатом ФСТЭК России). Cмарт-карты eToken PRO  через USB-считыватель Athena ASEDrive IIIe USB V2 (только с сертификатом ФСТЭК России). USB-ключи Rutoken, Rutoken RF.
	Габариты: 65  x 140 мм. Интерфейс: PCI Express (версия 1.0а и выше). Разъем RJ12 для подключения внешнего считывателя идентификатора iButton. Разъем для подключения внутреннего считывателя идентификатора iButton. Соединительный кабель для механизма сторожевого таймера. Упаковка: индивидуальная. Поддерживаемые идентификаторы: iButton DS1992, DS1995 и DS1996. USB-ключи iKey 2032. USB-ключи eToken PRO. USB-ключи eToken PRO (Java) (только с сертификатом ФСТЭК России). Cмарт-карты eToken PRO  через USB-считыватель Athena ASEDrive IIIe USB V2 (только с сертификатом ФСТЭК России). USB-ключи Rutoken, Rutoken RF.
	Габариты: 50  x 30 мм. Интерфейс: Mini PCI Express. Возможность подключения внутреннего или внешнего считывателя идентификаторов iButton  (внешний - только через дополнительный адаптер с разъемом RJ12). Упаковка: индивидуальная. Поддерживаемые персональные идентификаторы: iButton DS1992, DS1995 и DS1996. USB-ключи iKey 2032. USB-ключи eToken PRO. USB-ключи eToken PRO (Java) (только с сертификатом ФСТЭК России). Cмарт-карты eToken PRO  через USB-считыватель Athena ASEDrive IIIe USB V2 (только с сертификатом ФСТЭК России). USB-ключи Rutoken, Rutoken RF.
	Габариты: 26  x 30 мм. Интерфейс: Mini PCI Express. Формат платы: Mini PCI Express Half Size. Возможность подключения внутреннего или внешнего считывателя идентификаторов iButton  (внешний - только через дополнительный адаптер с разъемом RJ12). Упаковка: индивидуальная. Поддерживаемые персональные идентификаторы: iButton DS1992, DS1994, DS1995 и DS1996. USB-ключи iKey 2032. USB-ключи eToken PRO. USB-ключи eToken PRO (Java).  Cмарт-карты eToken PRO  через USB-считыватель Athena ASEDrive IIIe USB V2. USB-ключи Rutoken, Rutoken RF.

Дополнительные принадлежности

Модель	Спецификация
	Дополнительный адаптер для платы формата Mini PCI-E. Используется для подключения как внутреннего, так и внешнего считывателя персонального идентификатора iButton и реализации функции сторожевого таймера.
	Устройство предназначено для реализации функции сторожевого таймера путем принудительной блокировки питания в компьютерах в случае отсутствия на материнской плате разъема Reset. Применяется в компьютерах с 20-контактными разъемами питания ATX или 24-контактными через переходник, входящий в комплект поставки.
	Внутренний считыватель для iButton.

  Линейка средств (криптографической) защиты информации "Континент"

«Континент» – семейство продуктов для обеспечения сетевой безопасности при подключении к сетям общего пользования за счет межсетевого экранирования, построения частных виртуальных сетей (VPN) и защиты от сетевых атак

Группа компаний "Астрал", являясь официальным представителем Компании «Код Безопасности» на территории Республики Дагестан, представляет сертифицированную линейку С(К)ЗИ  "Континент", позволяющую реализовать множество сценариев защиты информации.

Линейка современных продуктов для защиты сети семейства «Континент» обеспечивает безопасное функционирование крупнейших территориально распределенных государственных и коммерческих информационных систем России.

Надежные высокопроизводительные платформы, высокая криптостойкость шифрования каналов связи, поддержка защиты самых современных коммуникационных приложений в сочетании с простотой внедрения и эксплуатации гарантируют качественное решение с помощью продуктов семейства «Континент» самых сложных задач защиты корпоративных сетей.

• 

  АПКШ «Континент» 3.7

  Лидер рынка сертифицированных VPN-шлюзов для защиты сети предприятия
  АПКШ «Континент» предназначен для решения следующих типовых задач:

  • Защита периметра сети
  • Объединение филиалов организации в виртуальную частную сеть
  • Защищенный удаленный доступ в корпоративную сеть

  Основные возможности

  	Надежная криптозащита Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой  обеспечивает гарантированную криптостойкость VPN-сети		Управление трафиком АПКШ «Континент» обеспечивает работу критически важных приложений при помощи механизмов управления трафиком QoS и Traffic shaping
  	Межсетевой экран  Высокопроизводительный межсетевой экран на основе технологии SPI с поддержкой технологии NAT/PAT для защиты периметра и сегментации внутренней сети		Высокая доступность АПКШ «Континент» обеспечивает функционирование отказоустойчивых защищенных сетей с горячим резервированием каналов связи и VPN-устройств
  	Маршрутизация трафика  АПКШ «Континент» обеспечивает балансирование нагрузки между каналами связи и маршрутизацию трафика по протоколам динамической/статической маршрутизации		Интеграция с системами IDS Централизованно управляемый модуль Детектор атак «Континент», соответствующий требованиям ФСТЭК России к системам обнаружения вторжений 3 класса

• 

  СКЗИ «Континент-АП» 3.7

  Сертифицированный программный VPN-клиент
  СКЗИ «Континент-АП» предназначено для решения следующих типовых задач:

  • Защищенный доступ в корпоративную сеть с удаленных рабочих станций и персональных компьютеров мобильных сотрудников
  • Подключение малых филиалов (1–2 АРМ) к виртуальной частной сети организации

  Основные возможности

  	Криптографическая защита Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой обеспечивает гарантированную криптостойкость защищенного соединения		Интегрированный МЭ Персональный межсетевой экран обеспечивает безопасное подключение к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ
  	Усиленная аутентификация  Идентификация и аутентификация удаленного пользователя при установке соединения осуществляются на основе сертификатов открытых ключей стандарта X.509		Централизованное управление Все политики доступа удаленных сотрудников настраиваются администратором VPN-сети организации при помощи программы управления ЦУС «Континент»

• 

  Детектор атак «Континент»

  Сертифицированная система обнаружения вторжений
  Детектор атак «Континент» предназначен для решения следующих типовых задач:

  • Своевременное выявление сетевых атак, направленных на информационные ресурсы
  • Повышение уровня сетевой безопасности

  Основные возможности

  	Обнаружение атак  Высокое качество выявления атак и низкий уровень ложных срабатываний за счет сочетания сигнатурного и эвристического методов обнаружения атак		Централизованное управление  Графический интерфейс программы управления и автоматические инструменты проверки синтаксиса правил существенно упрощают настройку и эксплуатацию
  	Оперативное реагирование  При обнаружении вторжений администратор в режиме реального времени информируется о них через программу управления, а также по электронной почте		Регулярное обновление сигнатур  Единственное решение на российском рынке, которое использует коммерческие сигнатуры от Emerging Threats, с возможностью онлайн/офлайн-обновления
  	Расширенная регистрация  Детальная информация о событиях, связанных с выявленными атаками, сохраняется в центральной базе для дальнейшего расследования инцидентов		Графические отчеты  Встроенный набор отчетов о работе комплекса и выявленных атаках обеспечивает представление информации в удобном для восприятия и анализа графическом виде

• 

  АПКШ «Континент» 3.6

  Лидер рынка сертифицированных VPN-шлюзов для защиты сети предприятия
  АПКШ «Континент» предназначен для решения следующих типовых задач:

  • Защита периметра сети
  • Объединение филиалов организации в виртуальную частную сеть
  • Защищенный удаленный доступ в корпоративную сеть

  Основные возможности

  Надежная криптозащита Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой  обеспечивает гарантированную криптостойкость VPN-сети Управление трафиком АПКШ «Континент» обеспечивает работу критически важных приложений при помощи механизмов управления трафиком QoS и Traffic shaping Межсетевой экран  Высокопроизводительный межсетевой экран на основе технологии SPI с поддержкой технологии NAT/PAT для защиты периметра и сегментации внутренней сети Высокая доступность АПКШ «Континент» обеспечивает функционирование отказоустойчивых защищенных сетей с горячим резервированием каналов связи и VPN-устройств Маршрутизация трафика  АПКШ «Континент» обеспечивает балансирование нагрузки между каналами связи и маршрутизацию трафика по протоколам динамической/статической маршрутизации Интеграция с системами IDS АПКШ «Континент» обеспечивает  ретрансляцию трафика на SPAN-порт для проверки трафика системами обнаружения атак других производителей

• 

  СКЗИ «Континент-АП» 3.6

  Сертифицированный программный VPN-клиент
  СКЗИ «Континент-АП» предназначено для решения следующих типовых задач:

  • Защищенный доступ в корпоративную сеть с удаленных рабочих станций и персональных компьютеров мобильных сотрудников
  • Подключение малых филиалов (1–2 АРМ) к виртуальной частной сети организации

  Основные возможности

  	Криптографическая защита Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой обеспечивает гарантированную криптостойкость защищенного соединения		Интегрированный МЭ Персональный межсетевой экран обеспечивает безопасное подключение к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ
  	Усиленная аутентификация  Идентификация и аутентификация удаленного пользователя при установке соединения осуществляются на основе сертификатов открытых ключей стандарта X.509		Централизованное управление Все политики доступа удаленных сотрудников настраиваются администратором VPN-сети организации при помощи программы управления ЦУС «Континент»

• 

  АПКШ «Континент» 3.M

  Специализированный VPN-шлюз для построения виртуальных частных сетей повышенной безопасности (соответствие классу КВ2)
  АПКШ «Континент» 3.М предназначен для решения следующих типовых задач:

  • Защита периметра сети органов государственной власти РФ
  • Объединение региональных подразделений в виртуальную частную сеть
  • Защищенный удаленный доступ в корпоративную сеть

  Основные возможности

  	Надежная криптозащита Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой  обеспечивает гарантированную криптостойкость VPN-сети		Управление трафиком АПКШ «Континент» 3.М обеспечивает работу критически важных приложений при помощи механизмов управления трафиком QoS и Traffic shaping
  	Межсетевой экран  Высокопроизводительный межсетевой экран на основе технологии SPI с поддержкой технологии NAT/PAT для защиты периметра и сегментации внутренней сети		Высокая доступность АПКШ «Континент» 3.М обеспечивает функционирование отказоустойчивых защищенных сетей с горячим резервированием каналов связи и VPN-устройств
  	Маршрутизация трафика  АПКШ «Континент» 3.М обеспечивает балансирование нагрузки между каналами связи и маршрутизацию трафика по протоколам динамической/статической маршрутизации		Интеграция с системами IDS АПКШ «Континент» 3.М обеспечивает  ретрансляцию трафика на SPAN-порт для проверки трафика системами обнаружения атак других производителей

• 

  «Континент Т-10»

Основные возможности

	Надежная защита  Криптографическая подсистема интегрирована в ядро ОС Android, что обеспечивает невозможность ее отключения и высокую скорость шифрования по ГОСТ 28147–89		Усиленная аутентификация  Идентификация и аутентификация удаленного пользователя при установке соединения осуществляются на основе сертификатов открытых ключей стандарта X.509
	Контроль доступа в Интернет «Континент Т-10» может перенаправлять все интернет-запросы с устройства на корпоративный прокси-сервер для проверки соответствия политикам доступа		Централизованное управление Все политики доступа мобильных пользователей настраиваются администратором VPN-сети организации c помощью программы управления ЦУС «Континент»

По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".

  СЗИ Secret Net Studio

Сертифицированное средство защиты информации от несанкционированного доступа Secret Net Studio. Комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.

Группа компаний "Астрал", являясь официальным представителем Компании «Код Безопасности» на территории Республики Дагестан, представляет сертифицированный продукт СЗИ Secret Net Studio, позволяющий реализовать множество сценариев защиты информации.

Основные возможности

Защита системы

• Межсетевое экранирование с авторизацией соединений

  Программная реализация механизма сетевого экранирования является альтернативой при отсутствии аппаратного межсетевого экрана внутри сетевого периметра.
  
  В дополнение к правилам разграничения доступа Secret Net Studio обеспечивает взаимную аутентификацию участников соединения, что позволяет избежать атак на «подмену» машин из внутренней сети.

• Система обнаружения и предотвращения вторжений

  Обнаружение атак сигнатурными и эвристическими методами.
  
  Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.
  
  Автоматическая загрузка актуальной базы разрешающих правил через Сервер Обновлений.
  
  Проверка по базе вредоносных IP-адресов и фишинговых URL-адресов (будет доступно в версии 8.5).

• Контроль устройств

  Контроль подключения и отключения устройств.
  
  Secret Net Studio поддерживает широкий список контролируемых внешних устройств (веб-камеры, мобильные телефоны, 3G-модемы, сетевые карты, флэшки, принтеры и т.д.) и различные сценарии реагирования при их подключении или отключении от компьютера. Возможен сценарий блокировки рабочей станции при изменении аппаратной конфигурации.

• Замкнутая программная среда

  Контроль запускаемых в системе приложений, создание «белых списков» (whitelisting).
  
  Создание «статической», недоступной для внешних изменений и при этом постоянно контролируемой программной активности на рабочей станции. Поддерживается также блокировка исполнения скриптов и запуска мобильного кода.

• Антивирусная защита

  Защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора/пользователя. Антивирусная защита осуществляется с использованием различных технологий на выбор пользователя - ESET, Кода безопасности и Лаборатории Касперского (будет доступно в версии 8.5).

Защита данных

• Мандатный контроль доступа к информации

  Возможность определения различных уровней конфиденциальности и разграничения доступа к ресурсам системы на их основе.
  
  Применяется в механизмах:
  
  - контроль доступа в систему (сессии различных уровней конфиденциальности)
  - контроль доступа к файлам и директориям (как локально, так и в масштабе сети предприятия)
  - контроль устройств (возможность подключения/работы с ними при наличии прав определенного уровня)
  - контроль печати (возможность печати конфиденциальных документах исключительно на принтерах с соответствующей меткой)
  - контроль потоков (контроль отсутствия попадания информации из доверенного поля в недоверенное при работе с приложениями/документами)
  
  Метки конфиденциальности можно назначать на
  
  - файлы и директории
  - устройства
  
  Уровни конфиденциальности сессии могут быть сопоставимы с уровнем допуска сотрудников в организации. Таким образом, информация не может быть прочитана, изменена либо выведена из системы сотрудником, не обладающим правами соответствующего уровня.

• Авторизация сетевых соединений

  Защита информации при передаче во внутренней сети посредством организации шифрованного канала.
  
  При инициации соединения происходит взаимная аутентификация машин и выработка общего ключа для шифрования соединения между ними и защиты передаваемой информации.

• Шифрование контейнеров

  Данные на диске и других носителях хранятся в зашифрованном виде в контенере.
  
  Фактически, контейнер - зашифрованная область информации на диске. Для пользователя он отображается как подключаемый локальный диск.

• Контроль целостности данных

  Расчет контрольных хэш-сумм от данных и сравнение их с эталонным значением.
  
  Нарушения целостности могут свидетельствовать о компрометации не только измененной информации, но и системы в целом. В связи с этим, администратор на Сервере Безопасности получает информацию об угрозе при нарушении контроля целостности, и может оперативно начать расследование.

Удобство и надежность

• Доверенная среда

  Будет доступно в версии 8.5
  
  «Доверенная среда» является реализацией принципа аппаратной виртуализации на одном из ядер процессора. Данный механизм позволяет контролировать целостность процессов Secret Net Studio в оперативной памяти, а также пресекать несанкционированное изменение любых типов драйверов в системе. С технической точки зрения в «Доверенной среде» реализован принцип одностороннего воздействия – механизм может контролировать процессы и драйвера внутри ОС, однако из самой Windows он «невидим» и, как следствие, недоступен для управления злоумышленниками изнутри системы.

• Централизованное управление распределенной системой

  Управление парком машин организации осуществляется с Сервера Безопасности.
  
  Администратор данного сервера имеет возможность удаленно изменять групповые и индивидуальные настройки защиты пользователей, запускать синхронизированные по времени массовые обновления, а также получать оперативные уведомления об угрозах и сигналах защитных механизмов с подконтрольных ему рабочих станций.
  
  Администратор также может использовать Дашборды – набор графических интерфейсов для упрощения процесса мониторинга распределенной системы.
  
  Существует также возможность создания иерархии серверов безопасности, что особенно удобно при управлении защитой крупных распределенных организаций.

• Шаблоны политик безопасности

  Использование шаблонов политик позволяет администратору удобно в автоматическом режиме настроить защитные механизмы на защищаемых компьютерах для приведения их в соответствие классу системы (ГИС, ИСПДн, АСУ ТП, объект КИИ РФ) и руководящим документам регуляторов (ФСТЭК России, ФСБ России).
  
  Помимо использования стандартных шаблонов Кода Безопасности, существует также возможность создания, изменения и централизованной рассылки собственных шаблонов внутри организации.

По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".

  Средство защиты информации "vGate"

vGate – Сертифицированное средство защиты информации для платформ VMware vSphere и Microsoft Hyper-V

Группа компаний "Астрал", являясь официальным представителем Компании «Код Безопасности» на территории Республики Дагестан, представляет сертифицированный продукт vGate, позволяющий реализовать множество сценариев защиты информации.

Основные возможности

	Соответствие российскому законодательству Приведите виртуальную инфраструктуру в соответствие нормам законодательства. Используя vGate, вы выполните большинство требований ФСТЭК России к защите среды виртуализации. Вы сможете защитить персональные данные в ИСПДн, информацию в ГИС и государственную тайну		Управление безопасностью в виртуальной среде Виртуализация размывает связь между оборудованием и информационными системами, что влияет на безопасность. Появляются новые риски и каналы утечек данных. Контролируйте все действия по управлению виртуальной инфраструктурой с помощью vGate. Санкционируйте изменения виртуальных машин. Предотвращайте ошибки и злоупотребления администраторов. Устанавливайте политики безопасности
	Аудит событий безопасности, уведомления и отчетность Получите эффективный инструмент для мониторинга безопасности виртуальной инфраструктуры, настроек и изменений. Включив уведомления, вы будете своевременно уведомлены о подозрительных событиях. Постройте отчеты для анализа защищенности и соответствия стандартам безопасности и лучшим мировым практикам		Гибкая масштабируемость и простота управления Защитите все корпоративные дата-центры и установите требуемые политики безопасности из центрального офиса, сэкономив на персонале в удаленных филиалах и резервных дата-центрах. Получите реальную картину защищенности всей вашей виртуальной инфраструктуры на рабочем месте администратора безопасности

По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".

 Варианты исполнения:

• vGate R2 применяется для защиты конфиденциальных данных
• vGate-S R2 применяется для защиты информации, содержащей сведения, составляющие государственную тайну

Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности

В vGate реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью. Таким образом, выделяются две основные роли – это администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ).

Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только аутентифицированным пользователям. Причем процедура аутентификации пользователей и компьютеров (рабочих мест АИБ и АВИ) осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle.

Процедура аутентификации АВИ осуществляется с помощью отдельного приложения, которое устанавливается на его рабочее место (агент аутентификации). До соединения с виртуальной инфраструктурой АВИ требуется запустить эту программу и ввести учетные данные. 

Для избавления пользователя от многократного ввода имени пользователя и пароля агент аутентификации включает функцию надежного сохранения учетных данных. Эта функция особенно полезна, когда на рабочем месте администратора установлены несколько систем защиты, каждая из которых запрашивает данные для аутентификации.Наверх

 Защита средств управления виртуальной инфраструктурой от НСД

К средствам управления виртуальной инфраструктурой относятся:

• ESX-серверы, предназначенные для запуска виртуальных машин;
• серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой;
• средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager;
• сторонние средства мониторинга и управления инфраструктурой.

Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Именно поэтому крайне важно обеспечить защиту от НСД средств управления виртуальной инфраструктурой. Средства управления виртуальной инфраструктурой размещаются внутри защищаемого периметра, доступ пользователей и компьютеров к которым осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и предотвращающим вмешательство в передачу данных.

Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Правила разграничения доступа работают на основе заданных ACL и параметров соединения (протоколов, портов). Также в vGate при разграничении прав доступа администраторов виртуальной инфраструктуры к объектам инфраструктуры используется мандатный принцип контроля доступа (более подробно описан в специальном разделе). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.

Отдельно стоит упомянуть присутствующий в vGate механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины.

НаверхМандатное управление доступом

В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Есть возможность использовать два вида меток конфиденциальности: иерархические (уровни доступа) и неиерархические (категории).

Реализована возможность пометить метками следующие субъекты, объекты, контейнеры:

• Администраторы ВИ.
• ESX-серверы.
• Сетевые карты ESX-сервера или VLAN.
• Разделы хранилищ (Datastore).
• ВМ.

Права доступа администраторов ВИ и объектов инфраструктуры проверяются  на основе уровней доступа и категорий автоматически.

Категории отличаются от меток следующими параметрами:

• Уровни доступа  иерархические, категории равноправные.
• Механизмы работы уровней доступа зависят не только от пользователя, но и от уровня доступа текущей сессии. Категории от сессии не зависят.
• Любой администратор, объект, контейнер может быть помечен несколькими категориями и только одним уровнем доступа.

НаверхЗащита ESX-серверов от НСД

В продукте в виде автоматизированных ИБ политик реализованы механизмы защиты от НСД серверов виртуализации ESX. Эти политики безопасности можно создавать из имеющихся в продукте шаблонов и автоматически применять к серверам виртуализации. В процессе работы с инфраструктурой продукт автоматически  проверяет и поддерживает целостность назначенных  политик безопасности.

НаверхПоддержка распределенных инфраструктур

В vGate, начиная с версии 2.5, реализована поддержка режима vCenter Linked Mode – функции объединения интерфейсов управления разными vCenter-серверами в одной консоли vSphere. Данная функция используется при переходе от виртуализации к облакам, что позволяет упростить и оптимизировать работу администраторов распределенных инфраструктур по управлению большим количеством vCenter-серверов.

Другим аспектом обеспечения информационной безопасности в распределённых инфраструктурах, является возможность быстрого применения ИБ-политик на новые или резервные ЦОДы. Для этого в vGate реализованы функции экспорта и импорта настроек, с помощью которых распространение vGate на новые и резервные сервера осуществляется без необходимости повторения всех настроек.

НаверхКонтроль целостности конфигурации виртуальных машин и доверенная загрузка

Для обеспечения контроля целостности программной среды и доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. К сожалению, подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее данный функционал защиты должен быть обеспечен и в виртуальной среде.

vGate содержит компоненты, устанавливаемые на каждый ESX-сервер и реализующие следующие механизмы защиты:

• Контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. При этом часть параметров, не влияющих на информационную безопасность, выведена из-под контроля.
• Контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины.
• Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk.

Для обеспечения полноценной защиты виртуальных машин от НСД компания «Код Безопасности» рекомендует использовать СЗИ семейства Secret Net версии 6.0 или выше. В этом случае СЗИ Secret Net развертывается на виртуальных машинах.

НаверхКонтроль доступа администраторов ВИ к файлам виртуальных машин

При работе в незащищенной виртуальной инфраструктуре на базе систем VMware администратор этой инфраструктуры обычно может получить доступ к файлам виртуальных машин. Администратор может прямо из VI клиента скачать файл виртуальной машины на локальный диск своего компьютера и исследовать его содержимое. В vGate реализован механизм, позволяющий контролировать доступ администраторов к файлам виртуальных машин, расположенных на СХД.

НаверхРазграничение доступа ESX-серверов на запуск виртуальных машин

В vGate реализованы дискреционные механизмы разграничения прав ESX-серверов на запуск виртуальных машин. Для каждой виртуальной машины администратор информационной безопасности может определить перечень ESX-серверов, где он может выполняться.

Механизм разграничения прав ESX-серверов на запуск ВМ особенно полезен для организации работы с данными разного уровня конфиденциальности. Используя этот механизм, можно настроить возможность запуска виртуальных машин, обрабатывающих данные с различным уровнем конфиденциальности, таким образом, чтобы данные разных уровней конфиденциальности обрабатывались на различных ESX-серверах.Наверх

 Контроль целостности и доверенная загрузка ESX-серверов

Для обеспечения контроля целостности и доверенной загрузки ОС ESX Server в vGate на каждом ESX-сервере рекомендуется применять сертифицированный электронный замок «Соболь» версии 3.

Механизм контроля целостности электронного замка позволяет контролировать неизменность физических секторов HDD и ключевых файлов до загрузки ОС. При этом поддерживаются файловые системы ext2 и ext3, которые используются в ОС ESX Server (в настоящий момент только для ESX Server v3.5).

НаверхКонтроль целостности и защита от НСД компонентов СЗИ

vGate содержит собственные механизмы контроля целостности компонентов СЗИ. Механизмы действуют на всех компонентах СЗИ – агенте аутентификации, сервере авторизации и ESX-серверах. Для обеспечения дополнительной защиты сервера авторизации vGate от несанкционированного доступа рекомендуется использовать традиционное сертифицированное СЗИ Secret Net в комплекте с электронным замком «Соболь».

НаверхРегистрация событий, связанных с информационной безопасностью

В vGate реализован механизм регистрации всех событий безопасности, происходящих в системе (доступ к инфраструктуре, создание или удаление виртуальной машины, изменение виртуальной машины и.т.д). Информация аккумулируется в базе продукта и ее можно как просматривать в процессе аудита, так и строить по ней структурированные отчеты.Наверх

 Централизованное управление и мониторинг

Консоль управления, входящая в состав СЗИ, устанавливается на рабочее место администратора информационной безопасности и позволяет:

• Управлять учетными записями пользователей и компьютеров (пользователями в данном случае являются администраторы виртуальной инфраструктуры, а компьютеры – это их рабочие места).
• Управлять правами доступа к защищаемым объектам.
• Развертывать и настраивать компоненты защиты ESX-серверов.
• Управлять параметрами виртуальных машин (политикой запуска, подключаемыми устройствами).
• Просматривать журнал регистрации событий.
• Просматривать отчеты, встроенные в продукт.

Все изменения, произведенные администратором информационной безопасности, сохраняются централизованно на сервере авторизации.

По вопросам приобретения продукта и технической поддержки необходимо обращаться по телефонам 8(8722)56-88-99, 8(988)298-88-99, по электронной почте info@astral-rd.ru или в наш офис по адресу г. Махачкала, ул. Казбекова, д. 161 "А".