поиск по сайту
Разграничение доступа к функциям управления средства виртуализации VMware vSphere

Разграничение доступа к функциям управления средства виртуализации VMware vSphere

П.М. Журов
ЗАО «ОКБ САПР»

Виртуализация – самый эффективный способ сокращения расходов на ИТ- инфраструктуру с возможностью повышения эффективности и адаптивности для компаний любых размеров.

Но как и любое техническое средство, предназначенное для хранения и обработки информации, виртуальную инфраструктуру необходимо защищать.

На протяжении продолжительного периода времени среди средств виртуализации, представленных на рынке, лидером [1] является продукт компании VMware – vSphere.

Но, даже несмотря на все достоинства данного ПО, в нём есть существенный недостаток с точки зрения безопасности: администратор отвечает как за управление инфраструктурой, так и за разграничение доступа пользователя к её элементам. Это влечет за собой высокую трудоёмкость решения следующей проблемы: если в системе есть несколько сегментов, то критически возрастает вероятность преднамеренной или случайной утечки данных из одного сегмента в другой [2, 3, 4]. Для её решения необходимо программное средство, позволяющее разграничить доступ к элементам инфраструктуры для всех пользователей, включая администратора.

На сегодняшний день на рынке существует всего три продукта с подобным функционалом. Но один из них [5] не имеет сертификата ФСТЭК (а значит, не может применяться в государственных информационных системах), а второй [6] – не работает напрямую с vSphere (использует сторонний клиент), что вынуждает администратора изменить привычный порядок работы.

Более того, в связи с заявлением VMware о том, что в следующей версии продукта [7] будет использоваться новый клиент управления на основе HTML5, что влечет за собой изменение принципа взаимодействия веб-клиента с сервером, из чего можно сделать вывод, что существующие решения нужно дорабатывать, а значит, проблема остается актуальной. Отсюда возникает задача написать программное средство, которое обеспечит разграничение доступа для администраторов ВИ к объектам ВИ и функциям управления за счет перехвата пакетов, передаваемых от веб-клиента в сервис централизованного управления гипервизорами, их анализа и принятия решений на основе заданных в управляющем ПО параметров и при этом будет лишено всех вышеперечисленных недостатков.

Данная задача была разбита на следующие подзадачи.

  1. Получить и проанализировать пакеты данных, передаваемых от веб-клиента на сервер управления.
  2. Разработать алгоритм  принятия  решения  о  запрете  или  предоставлении доступа субъекта (администратора виртуальной ВИ) к объектам ВИ.
  3. Написать  программное   обеспечение   для   прокси-сервера,   реализующее выбранный алгоритм.

Анализ трафика позволил понять, как новая версия клиента взаимодействует с сервером управления. Было обнаружено, что сам пользователь, объект, с которым он взаимодействует и действие, которое над ним совершает, однозначно идентифицируется с помощью заголовков и содержания запросов. Для обеспечения взаимодействия администратора с сервером напрямую (отсутствие стороннего клиента) было принято решение использовать прозрачный прокси-сервер, который блокирует трафик при попытке совершить действие, запрещенное политикой безопасности. Сам прокси-сервер был реализован с помощью библиотеки mitmproxy для Python. Для задания политик безопасности использовалась база данных, для которой ранее был реализован графический пользовательский интерфейс. Обращаясь к этой базе данных, прокси-сервер пропускает трафик, либо возвращает сообщение об ошибке доступа.

Таким образом, по результатам работы были решены все поставленные задачи, необходимый функционал готов к использованию и соответствует всем требованиям ФСТЭК [2, 3] по обеспечению безопасности информационных систем.

Литература

  1. VMware Named a Leader in Gartner Magic Quadrant for Enterprise Mobility Management Suites for Seventh Consecutive Year [Электронный ресурс]. Режим доступа:  http://ir.vmware.com/overview/press-releases/press-release-details/2017/VMware-Named-a-Leader-in-Gartner-Magic-Quadrant-for-Enterprise-Mobility-Management-Suites-for-Seventh-Consecutive-Year/default.aspx, свободный.
  2. Приказ №17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: утвержден ФСТЭК России 11 февраля 2013 г.
  3. Приказ №21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: утвержден ФСТЭК России 18 февраля 2013 г.
  4. Угаров Д. В., Постоев Д. А. Проблемы реализации разграничения доступа к функциям управления виртуальных сред // Вопросы защиты информации: Научно-практический журнал/ФГУП «ВИМИ», М., 2016г., Вып.3, №114. С. 34–35.
  5. ESXi Security [Электронный ресурс]. Режим доступа https://www.hytrust.com/solutions/private-cloud-controls/esxi/, свободный.
  6. vGate [Электронный ресурс]. Режим доступа https://www.securitycode.ru/products/vgate/, свободный.
  7. Goodbye, vSphere Web Client! [Электронный ресурс]. Режим доступа https://blogs.vmware.com/vsphere/2017/08/goodbye-vsphere-web-client.html, cвободный.