Обзор 8 платформ для виртуализации с сертификацией ФСТЭК: что выбрать?
В последнее время государство усилило требования к информационной безопасности. Это коснулось государственных информационных систем, критической инфраструктуры и систем обработки персональных данных. Теперь компаниям приходится выбирать между двумя вариантами защиты виртуальной инфраструктуры: использовать платформы с уже встроенной защитой или добавлять средства безопасности к обычным решениям. У обоих подходов есть свои плюсы и минусы. Особенно важно учитывать, что защищенные версии платформ обычно появляются на один-два года позже обычных. Это создает дополнительные трудности при внедрении таких решений.
Меня зовут Александр Еремин, и я руководитель практики серверной виртуализации К2Тех. В этой статье вместе с моим коллегой Аскаром Добряковым из К2 Кибербезопасность я расскажу о восьми российских платформах виртуализации с сертификатом ФСТЭК. Вы узнаете об особенностях каждой платформы, их сильных сторонах и ограничениях. Также разберем, какие решения подойдут для разных организаций и задач. Статья будет полезна техническим специалистам и руководителям, которые планируют внедрять защищенную виртуализацию.
Мы сделали обзор восьми решений виртуализации из перечня ФСТЭК:
«Горизонт-ВС».
ROSA Virtualization.
Numa vServer.
ПК СВ «Брест».
zVirt Max.
ECP Veil SE.
«Синергия-Гипервизор».
«Р-виртуализация».
Текст большой, так что можете свободно выбирать тот сегмент, который для вас актуален. Вот оглавление:
Требования ФСТЭК
Классы защищенности информационной системы
Что использовать: ФСТЭКовские решения или обычные системы, но с наложенными средствами защиты информации?
Обзор систем виртуализации с сертификацией ФСТЭК
1. «Горизонт-ВС»
2. ROSA Virtualization
3. Numa vServer
4. ПК СВ «Брест»
5. zVirt Max
6. ECP VeiL SE
7. «Синергия-Гипервизор»
8. «Р-виртуализация»
Выводы
Требования ФСТЭК
ФСТЭК (Федеральная служба по техническому и экспортному контролю) контролирует информационную безопасность в России. Раньше на рынке у нас был Дикий Запад — каждый ставил то, что хотел. С выходом приказов ФСТЭК №17 и №21 в 2013 году ситуация стала меняться. В этих документах есть раздел, в котором описываются требования к защите среды виртуализации. Теперь производители платформ виртуализации и их клиенты действуют в четких правовых рамках и строят системы защиты по требованиям ведомства.
В декабре 2022 года ФСТЭК выпустила Приказ №187 от 27.12.2022 г., который утверждает требования по безопасности информации к средствам виртуализации. Документ установил новые критерии для хостовых операционных систем и уровня доверия к виртуальным средам. Теперь разработчики обязаны усилить защитные функции своих продуктов. Без соответствия этим требованиям решения не получат сертификацию ведомства.
Скрытый текст
Основные требования ФСТЭК к функциям безопасности в среде виртуализации:
доверенная загрузка виртуальных машин — средство виртуализации должно уметь блокировать запуск виртуальной машины при выявлении нарушения целостности конфигурации виртуального оборудования;
управление доступом — в средстве виртуализации должен быть реализован ролевой метод управления доступом с четырьмя ролями пользователей: разработчик виртуальной машины, администратор безопасности средства виртуализации, администратор средства виртуализации, администратор виртуальной машины;
резервное копирование — средство виртуализации должно обеспечивать резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин и резервное копирование сведений о событиях безопасности;
управление потоками информации — средство виртуализации должно обеспечивать управление потоками информации между виртуальными машинами и
информационными (автоматизированными) системами на канальном и сетевом уровнях;контроль целостности — средство виртуализации должно контролировать целостность в процессе загрузки и динамически — в процессе функционирования, информировать администратора безопасности о нарушении целостности, контролировать целостность конфигурации виртуального оборудования виртуальных машин и контролировать целостность исполняемых файлов и параметров настройки средства виртуализации;
регистрация событий безопасности — средство виртуализации должно обеспечивать регистрацию событий безопасности, связанных с функционированием средства виртуализации, и оповещать администратора безопасности о событиях безопасности, осуществлять сбор и хранение записей в журнале событий безопасности;
защита памяти — средство виртуализации должно очищать остаточную информацию в памяти средства вычислительной техники при ее освобождении (распределении) или блокирование доступа субъектов к остаточной информации, удалять объекты файловой системы и размещать код средства виртуализации в области памяти, недоступной одновременно для записи и исполнения, изолировать области памяти виртуальных машин;
ограничение программной среды — средство виртуализации должно осуществлять контроль за запуском компонентов программного обеспечения для выявления и блокировки запуска компонентов программного обеспечения, не включенных в перечень (список) компонентов, разрешенных для запуска;
идентификация и аутентификация пользователей — первичная идентификация пользователей средства виртуализации должна осуществляться администратором средства виртуализации; в случае неуспешной идентификации и аутентификации пользователей их попытка доступа должна быть заблокирована; средство виртуализации должно осуществлять аутентификацию пользователей при предъявлении идентификатора и пароля пользователя; у пользователя должна быть возможность смены пароля; не должно быть возможности установки одинаковых паролей для разных пользователей; аутентификационная информация должна храниться в защищенном виде;
централизованное управление образами виртуальных машин и виртуальными машинами — средство виртуализации должно создавать, модифицировать, хранить, получать и удалять образы виртуальных машин в ИС; обеспечивать чтение записей о событиях безопасности; формировать отчеты по заданным критериям; делать выгрузку (экспорт) данных из журнала событий безопасности средства виртуализации и обеспечивать управление размещением и перемещением виртуальных машин и их образов с возможностью сохранения их конфигурации и настроек.
ФСТЭК проверяет выполнение этих требований во время сертификационных испытаний. Полученный сертификат подтверждает, что продукт обеспечивает требуемый уровень защиты.
Сертифицированные средства обязательны для государственных информационных систем (ГИС). Для информационных систем персональных данных (ИСПДн) и критической информационной инфраструктуры (КИИ) сертификация остается добровольной.
Классы защищенности информационной системы
На проектировщиков и администраторов ИС тоже накладываются определенные обязательства. При разработке критически важных систем они обязаны использовать средства защиты с сертификатом ФСТЭК. Уровень защиты определяется классом информационной системы.
В государственных информационных системах действует трехуровневая градация защиты. Первый класс предполагает максимальный уровень безопасности, второй — средний, третий — базовый.
ГИС | ПДн | КИИ | |
средства защиты информации не ниже 4 класса | 1 класса защищенности | в информационных системах 1 уровня защищенности персональных данных | в значимых объектах 1 категории |
средства защиты информации не ниже 5 класса | 2 класса защищенности | в информационных системах 2 уровня защищенности персональных данных | в значимых объектах 2 категории |
средства защиты информации 6 класса | 3 класса защищенности | в информационных системах 3 уровня защищенности персональных данных | в значимых объектах 3 категории |
Все системы, которые мы рассмотрим, имеют 4 класс защищенности, некоторые даже выше, поэтому формально они подходят для использования в самых ответственных кейсах и сценариях, например, в Центробанке. Однако практическая реализация некоторых систем вызывает у нас вопросы.
Класс защищенности определяется двумя параметрами. Первый — масштаб информационной системы: федеральный, региональный или объектовый. Второй — уровень значимости: высокий, средний или низкий. Достаточно одного элемента с федеральным масштабом или высоким уровнем значимости, чтобы система получила первый класс защищенности. Подробнее об этих классах можно прочитать в другой хабрастатье.
На данный момент сертификация ФСТЭК:
Гарантирует, что средство защиты информации корректно выполняет заявленные функции, а также не содержит незадекларированных возможностей и известных уязвимостей;
Позволяет использовать эти средства защиты информации там, где использование сертифицированных средств обязательно.
Вы получаете гарантию, что в продукте реализованы обязательные функции безопасности, и это проверено контролирующим органом. Однако сертифицированные версии часто имеют ограничения в функциональности по сравнению с обычными версиями. Именно поэтому коммерческие компании, не связанные с государственными задачами федерального уровня, обычно выбирают несертифицированные решения.
Что использовать: ФСТЭКовские решения или обычные системы, но с наложенными средствами защиты информации?
Отечественные ИT-продукты с сертификацией ФСТЭК имеют альтернативу — современные версии тех же решений с внешними средствами защиты информации (СрЗИ). У каждого из этих решений есть свои плюсы и минусы.
Критерий | Сертифицированные средства виртуализации | Наложенные средства защиты информации |
Актуальность версии платформы виртуализации | Отстает на 1–2 года от актуальной версии Необходимо провести сертификационные испытания новой версии | Отстает на 0,5–1 год от актуальной версии Нужно подтвердить совместимость с наложенным средством защиты и добавить в формуляр |
Возможность установки обновления и патча | Нет, сертификат перестает действовать. Только при условии сертификационной проверки обновления | Да, при условии, что обновленная версия поддерживается наложенным средством. Если новая версия не поддерживается, требуются дополнительные сертификационные процедуры для подтверждения поддержки. |
Соответствие требованиям регулятора | Выполняется | Выполняется |
Функции платформы виртуализации | Выполняются в полном объеме для сертифицированной версии. Объем функций может отставать от актуальной версии | Объем выполняемых функций ограничен возможностями используемой версии платформы виртуализации внешнего СрЗИ. Внешние СрЗИ добавляют дополнительные функции по разграничению доступа к функциям платформы виртуализации и не ограничивают сами функции платформы. |
Влияние на работоспособность | Низкое. Как правило, сертифицированная версия корректно выполняет свои функции. Некоторые функции либо устранение ошибок может потребовать установки патча. В этом случае см. п.1 | Среднее. Могут возникать конфликты СрЗИ с платформой. Требуется отладка и адаптация. |
Дополнительные компетенции инженеров | Нет, достаточно знания платформы виртуализации | Необходимы дополнительные навыки работы со средством защиты |
Сертифицированные продукты отстают от рынка на один-два года из-за длительности процесса сертификации. Этот процесс требует подготовки документации, демонстрации решения государственным органам и устранения замечаний. Испытательная лаборатория ФСТЭК может отклонить новые функции продукта, если они не соответствуют требованиям сертификации. За время проведения этих процедур основная версия продукта продолжает развиваться.
Отставание сертифицированных версий от актуальных релизов превышает один год. Обновления безопасности проходят проверку быстрее, но процесс все равно занимает несколько месяцев. Существующий механизм сертификации довольно громоздкий и неповоротливый, однако для государственных информационных систем это обязательное требование.
Сертифицированная ФСТЭК версия накладывает строгие ограничения на модификацию системы. Разрешено использовать только официальные репозитории и инсталляционные пакеты. Установка дополнительных драйверов и настройка конфигурации запрещены.
В результате порой возникают парадоксальные ситуации, когда обнаруженная уязвимость в сертифицированной версии остается неисправленной длительное время. Несмотря на существование ускоренных процедур согласования патчей безопасности, даже в этом случае процесс занимает месяцы.
Коммерческие компании часто выбирают альтернативный подход — использование внешних средств защиты информации (СрЗИ). Такое решение снимает ограничения с платформы виртуализации. Администраторы получают полный доступ к настройке и модификации системы. Соответствие законодательным требованиям обеспечивается внешним СрЗИ, которое берет на себя всю ответственность за информационную безопасность.
Существенные ограничения сертифицированных версий приводят к тому, что компании редко выбирают их добровольно. Основными причинами внедрения таких решений становятся требования регулятора и необходимость соблюдения корпоративного комплаенса. Однако стоит отметить, что наложенные средства защиты информации также имеют существенные ограничения:
Внешние СрЗИ интегрируются в платформу виртуализации и влияют на ее работу, что может вызывать конфликты при установке и эксплуатации. Это характерно даже для таких решений, как vGate.
Внешние СрЗИ берут на себя функции разграничения доступа к платформе виртуализации и могут ограничивать некоторые функции самой платформы.
Несмотря на возможность установки любых обновлений и патчей, каждое изменение требует проверки совместимости со средствами защиты. Как правило, на это требуется некоторое время. Некоторые СрЗИ предъявляют строгие требования даже к версии ядра операционной системы.
Процесс реализации требований ИБ. Начиная от ФЗ, определяя тип обрабатываемых данных, мы подбираем набор мер, который, в свою очередь, может быть реализован либо встроенными средствами виртуализации, либо СрЗИ
Какой вариант использовать именно вам? Зависит от конкретного случая.
Сертифицированные ФСТЭК решения обязательно нужны всем государственным информационным системам. Здесь вариантов нет. Они также нужны (с некоторыми оговорками) объектам критической ИT-инфраструктуры и для обработки/хранения персональных данных. В описанных случаях организация в теории может использовать несертифицированную виртуализацию, однако обязана самостоятельно провести проверку всех функций безопасности.
Обзор систем виртуализации с сертификацией ФСТЭК
Если поставить любое из перечисленных ниже решений, оно будет работать. На практике у нас ни разу не было проблем с совместимостью, однако после начала эксплуатации организации часто сталкиваются с функциональными ограничениями выбранных систем. Особенно заметна разница при сравнении сертифицированных версий с актуальными релизами тех же продуктов. Исключение составляет Numa vServer. Ее просто не с чем сравнивать. На рынке представлены только сертифицированные ФСТЭК версии от этого вендора.
Мы в команде инфраструктурного направления в К2Тех работаем с различными решениями для виртуализации. И поэтому можем подсвечивать нашим клиентам на первый взгляд неочевидные нюансы разных систем. Например, ПК СВ «Брест» выходит за рамки классической серверной виртуализации и обладает избыточной сложностью для большинства задач. «Р-виртуализация» доступна только совместно с собственным хранилищем. Поэтому давайте рассмотрим популярные решения подробнее.
1. «Горизонт-ВС»
Разработчик: ООО «ИЦ «Баррикады». Сертификат ФСТЭК: № 3723 от 21.03.2017 (УД-4, СВ-4). Вендор предлагает только сертифицированные ФСТЭК версии. Соответствует требованиям документов: Требования доверия (4), Требования к СДЗ, Профиль защиты СДЗ (платы расширения четвертого класса защиты. ИТ.СДЗ.ПР4.ПЗ), РД СВТ (5), Требования к средствам виртуализации (4).
Это, пожалуй, наиболее продвинутая платформа в плане информационной безопасности. Разработчик получил все необходимые сертификаты соответствия требованиям по безопасности информации ФСТЭК России. Это позволяет использовать продукт как программное обеспечение или программно-аппаратный комплекс в информационных системах с максимально строгими требованиями к информационной безопасности.
Сертификацию прошли все компоненты платформы: гипервизор, система управления, VDI, мониторинг и модуль СРК. Платформа получила статус средства защиты информации. Компания имеет лицензию на разработку защищенного ПО и сертифицировала не отдельную версию, а весь продукт целиком. Благодаря этому значительно сократился цикл выпуска новых версий при подтверждении сертификации. Теперь можно продлевать срок действия сертификата без перерегистрации.
Разработчики создали свой гипервизор на основе KVM. Он представляет собой дистрибутив Linux с модифицированным ядром и усиленной системой безопасности. В дистрибутиве намеренно отсутствуют компоненты общего назначения — операционную систему можно использовать только для задач виртуализации.
Первая мысль: «Раз это Linux, значит можно установить любое ПО и настроить систему самостоятельно». Однако в дистрибутиве нет пакетного менеджера, поэтому всё дополнительное программное обеспечение придётся компилировать специально под эту систему.
Дистрибутив оснащен встроенным механизмом контроля целостности. Для внесения изменений на уровне файловой системы требуется электронная цифровая подпись разработчика, которая недоступна конечным пользователям. Из-за этого даже для установки недостающих драйверов необходимо обращаться в техническую поддержку производителя.
Раньше платформа имела существенные функциональные ограничения: отсутствовала интеграция с внешними системами резервного копирования, не поддерживалась работа с внешними системами хранения данных по протоколу Fibre Channel, стабильная работа обеспечивалась только в гиперконвергентном режиме в составе программно-аппаратного комплекса. Однако в последних релизах ситуация значительно улучшилась.
В версии «Горизонт-ВС» 1.5 реализована поддержка подключения внешних систем хранения данных по протоколу Fibre Channel. Добавлена возможность создавать тонкие диски на блочных устройствах и интеграция с системой резервного копирования «КиберБэкап 17.0». Встроенная СРК теперь поддерживает инкрементальные копии. Разработчики стали прозрачнее информировать пользователей об изменениях в продуктах и запустили публичную базу знаний.
2. ROSA Virtualization
Разработчик: АО «НТЦ ИТ РОСА» Сертификат ФСТЭК: № 4861 от 04.10.2024 (УД-4, СВ-4, 4 класс защиты).
ROSA Virtualization — система виртуализации на базе oVirt с сертификатом четвертого уровня доверия. Разработчики адаптировали код платформы под требования сертификации и внедрили 52 технических улучшения. В октябре 2024 года компания получила сертификат ФСТЭК России для версии 3.0.
Самые значительные функции:
Двухфакторная аутентификация;
Защита дисков ВМ от несанкционированного изменения путем подсчета и сверки контрольных сумм;
Добавили возможность осуществлять контроль целостности файлов гипервизора;
Реализована утилита, обеспечивающая контроль и учет подключаемых съемных носителей;
Реализована возможность производить полное уничтожение информации.
Архитектура продукта полностью соответствует требованиям классической серверной инфраструктуры. Основная функциональность доступна через веб-интерфейс. Собственные разработки в области безопасности и сертификат ФСТЭК России для версии 3.0 выгодно отличают систему от других решений на базе oVirt. Продукт ориентирован на пользователей, которым важны эргономичный интерфейс и эффективность управления.
3. Numa vServer
Разработчик: ООО «Нума Технологии» Сертификат ФСТЭК: № 4580 от 23.09.2022 (УД-4, СВ-4). Вендор предлагает только ФСТЭК-версии.
Numa vServer — первая российская платформа серверной виртуализации на базе гипервизора Xen. Разработчики внедрили более 300 улучшений для усиления безопасности, повышения надежности и производительности, а также устранения уязвимостей. Платформа отличается компактностью и быстрой установкой. Встроенные инструменты администрирования позволяют настраивать среду виртуализации, создавать отказоустойчивые кластерные решения и работать с системами хранения данных.
Самые значительные функции, связанные с ИБ:
Реализован контроль целостности файлов гипервизора и виртуальных машин;
Возможность организовать изолированную среду для ВМ;
Реализован мандатный контроль доступа к объектам платформы;
Реализовано шифрование дисков виртуальных машин.
Помимо самой платформы в экосистеме компании есть еще набор продуктов для организации защищенной инфраструктуры:
Программно-технический межсетевой экран, соответствующий концепции универсального шлюза безопасности (UTM) — Numa Edge;
Модуль доверительной загрузки — Numa Arce;
Доверенная система BIOS — Numa BIOS;
Программно-аппаратный комплекс однонаправленной передачи данных через USB-интерфейс — Numa uGate.
Numa vServer куда менее известна, чем другие решения в этом списке. Как новый участник рынка, платформа пока не имеет широкой базы технической документации, что усложняет поиск решений при возникновении проблем.
В то же время это платформа с хорошей функциональностью, относительно простой настройкой и управлением кластера. Значительная часть операций доступна только через интерфейс командной строки, но разработчики расширяют возможности графического интерфейса. Решение эффективно работает в классической серверной архитектуре с внешними системами хранения данных, а также на локальных дисках серверов, без поддержки гиперконвергенного хранилища. Основное ограничение платформы — слабая интеграция со смежными системами: резервного копирования, мониторинга и службами каталогов.
4. ПК СВ «Брест»
Разработчик: ГК Астра. Сертификат ФСТЭК: № 4846 от 08.10.2024 (УД-2, СВ-2).
Сертификат Минобороны России (№4521 от 27.11.2019 до 27.09.2027, требования безопасности: 2НДВ, РДВ.)
«Брест» представляет собой платформу виртуализации с гипервизором второго типа. Ранее сертификация продукта обеспечивалась через сертификат операционной системы Astra Linux Special Edition. После выхода приказа ФСТЭК России №187 такой подход перестал соответствовать требованиям регулятора. В октябре 2024 года разработчики получили отдельный сертификат, подтверждающий соответствие платформы актуальным требованиям ФСТЭК к средствам виртуализации. Теперь платформа сертифицирована сразу на двух уровнях.
Стоит отметить, что УД-2, СВ-2 предусматривает даже более высокие требования ИБ, чем УД-4, СВ-4 (хотя для всех наших задач на практике этого не нужно, достаточно уровня 4).
Безопасность платформы обеспечивается операционной системой Astra Linux Special Edition. Система включает мандатный контроль доступа и расширенный аудит. Как сертифицированное средство защиты информации, она соответствует второму уровню доверия в категории средств виртуализации.
Сейчас это платформа, которую выбирают для построения защищенной инфраструктуры со строгими требованиями ИБ. Изначально «Брест» позиционировали как замену классических решений виртуализации, однако возникли сложности при развертывании небольших инсталляций с внешними системами хранения данных. На данный момент продукт эффективен для организации защищенного частного облака внутри корпоративного периметра. Разработчики совершенствуют поддержку внешних систем хранения данных, отсутствие которой пока ограничивает область применения платформы.
5. zVirt Max
Разработчик: ООО «Орион». Сертификат ФСТЭК: 19.02.2024 № 4780 (УД-4, СВ-4).
Платформа виртуализации zVirt Max от Orion soft создана на базе zVirt версии 3.1.2. В качестве операционной системы используется сертифицированная версия RED OS, а для управления базами применяется СУБД Jatoba. Решение получило сертификаты соответствия для работы с персональными данными уровня защищенности 1 (ПДн УЗ1), государственными информационными системами класса защищенности К1 с уровнем доверия 4 (ГИС К1), а также объектами критической информационной инфраструктуры первой категории значимости (КИИ).
Несмотря на отставание функционала zVirt Max от текущей версии zVirt на полтора года, платформа сохраняет удобный интерфейс, высокую надежность и стабильность работы.
Система лицензирования продукта имеет свои особенности: требуется приобретение отдельной лицензии zVirt Max для каждого хоста, а также дополнительной лицензии на управляющий сервер из расчета одна лицензия на каждые 49 хостов. Заказчики могут приобрести как программное обеспечение отдельно, так и программно-аппаратный комплекс виртуализации «Аквариус» тип Z Max, зарегистрированный в реестре ГИСП.
6. ECP VeiL SE
Разработчик: НИИ «Масштаб». Сертификат ФСТЭК: № 4853 от 05.03.2024 (УД-4, СВ-4).
Enterprise Cloud Platform VeiL Special Edition (VeiL SE) — полностью российская разработка из Единого реестра российского программного обеспечения. Она предназначена для оптимизации вычислительных ресурсов в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн) и автоматизированных системах управления технологическими процессами (АСУ ТП). Платформа функционирует на базе защищенной операционной системы Astra Linux Special Edition. Решение может работать как в классической архитектуре с системами хранения данных, так и в гиперконвергентной архитектуре.
На сегодняшний день это единственная среди сертифицированных платформ с полностью собственной разработкой. UI по стилистике похож на VMware vCenter.
7. «Синергия-Гипервизор»
Разработчик: РФЯЦ-ВНИИЭФ. Сертификат ФСТЭК: № 4660 от 13.03.2023 (УД-2 и ТУ).
«Синергия-Гипервизор» входит в состав комплекса «Система полного жизненного цикла изделий «Цифровое предприятие». Это защищенный программный комплекс виртуализации отечественной разработки. Продукт включает встроенные средства защиты информации и обеспечивает эффективное использование вычислительных ресурсов и прикладного программного обеспечения.
Платформа пока не получила широкого распространения на рынке. Технически она представляет собой гипервизор Xen, развернутый на защищенной операционной системе Astra Linux Special Edition. Изначально платформа разрабатывалась для внутреннего использования и объединяет различные технологические решения. Продукт включен в реестр сертифицированных средств ФСТЭК России, что создает предпосылки для его выхода на открытый рынок.
Решение относительно простое, защищенное, но сертифицированное только для гипервизора, без сертифицированной системы управления. Хорошо, что для решения на базе Xen это не очень критично, так как платформа хорошо управляет кластерами через CLI. Правда, само решение узконаправленное и вряд ли будет востребовано коммерческими заказчиками.
8. «Р-виртуализация»
Разработчик: ООО «Росплатформа». Сертификат ФСТЭК: № 4853 от 27.09.2024 (УД-4, СВ-4, СК-4).
Первая платформа, которая получила сертификат ФСТЭК и соответствует требованиям не только к средствам виртуализации, но и к средствам контейнеризации. Решение хорошо зарекомендовало себя в классе программно-определяемых хранилищ как надежное и быстрое решение. Продукт активно используется в составе программно-аппаратных комплексов, в частности, ПАК «Скала-Р». Сертификация платформы обеспечивает соответствие комплекса актуальным требованиям ФСТЭК для защищенных систем. Тестирование показало удобство развертывания и эксплуатации платформы.
Выводы
На сегодняшний день российский рынок защищенной виртуализации представляет собой сложную экосистему решений с разными подходами к обеспечению безопасности. Выбор конкретного решения зависит от множества факторов: требований регуляторов, класса защищенности информационной системы и специфики инфраструктуры организации.
Сертифицированные решения, несмотря на отставание от актуальных версий и ограничения функционала, остаются единственным легитимным выбором для государственных информационных систем и объектов критической инфраструктуры. Среди них особенно выделяются «Горизонт-ВС» и «Брест», предлагающие наиболее полный набор средств защиты и соответствие строгим требованиям безопасности.
Для коммерческих организаций, не связанных жесткими регуляторными требованиями, оптимальным выбором часто становятся несертифицированные версии платформ в сочетании с наложенными средствами защиты информации. Этот подход обеспечивает доступ к актуальному функционалу при сохранении необходимого уровня безопасности. В сегменте наложенных СрЗИ лидирующие позиции занимает vGate, демонстрирующий стабильную работу и простоту интеграции.
При этом важно понимать, что универсального решения не существует: каждая платформа имеет свои сильные стороны и ограничения. Успешное внедрение защищенной виртуализации требует тщательного анализа требований, понимания специфики различных решений и привлечения квалифицированных интеграторов. Даже при наличии сертификации ФСТЭК неправильно спроектированная или настроенная платформа может свести на нет эффективность всех систем защиты.
Ключевыми факторами успеха при внедрении средств защиты являются:
Регулярное обновление программного обеспечения и установка патчей безопасности.
Создание персональных учетных записей администраторов и тщательный контроль доступа.
Ограничение длительности SSH-сессий при бездействии пользователя.
Усиление парольной политики, применение многофакторной аутентификации и запрет доступа в ОС гипервизора и управляющего сервера без SSH-ключа.
Сегментация сети и изоляция критичных компонентов.
Шифрование дисков виртуальных машин.
Мониторинг и аудит действий пользователей.
Подробные рекомендации можно найти, например, в гайдлайнах ХардкорИТ от Positive Technologies и Orion soft. При этом важно помнить, что даже самые совершенные технические средства защиты могут быть скомпрометированы при наличии уязвимостей в процессах эксплуатации или недостаточной квалификации персонала. Поэтому необходимо уделять особое внимание обучению сотрудников, регулярному аудиту безопасности и актуализации процедур реагирования на инциденты.
Рынок защищенной виртуализации продолжает активно развиваться. Разработчики совершенствуют свои продукты, добавляя новый функционал и улучшая механизмы безопасности. Однако процесс сертификации по-прежнему остается длительным и сложным, что создает определенный разрыв между возможностями сертифицированных и актуальных версий продуктов.
А теперь дело за вами: выбор конкретного решения зависит от ваших задач, требований и готовности к компромиссам между функциональностью и уровнем сертифицированной защиты.
