Ниже представлен алгоритм построения архитектуры информационной безопасности (ИБ) при использовании технологии виртуализации на основе документа РС БР ИББС-2.8-2015.
Алгоритм построен по принципу разветвляющейся блок-схемы, аналогичной приведённому примеру. Он учитывает ключевые требования: разделение контуров безопасности, изоляцию, сертификацию средств защиты информации (СЗИ) и разграничение ролей.
Алгоритм построения архитектуры ИБ виртуализации
Начало
Определить контуры безопасности
Вопрос: Требуется ли обработка платежных операций (ПТП) или персональных данных (ИСПДн)?
ДА: Выделить минимум 2 контура: Контур ПТП и Контур ИСПДн.
НЕТ: Определить контуры по степени критичности процессов.
Физическая изоляция (Host-серверы)
Вопрос: В разные ли контуры входят виртуальные машины (ВМ)?
ДА: Размещать ВМ разных контуров на отдельных физических серверах (хостах).
НЕТ: Размещать на общих хостах, но с использованием логической изоляции (п. 6.2).
Разделение сетевого доступа
Вопрос: Осуществляется ли доступ к ВМ из разных контуров?
Требование: Доступ к ВМ контура ПТП — только с АРМ ПТП; к ВМ ИСПДн — только с АРМ ИСПДн (п. 6.3).
Средства: Использовать сертифицированные межсетевые экраны (сетевые технические средства) на сетевом уровне (L3) для разграничения (п. 6.4, 6.9).
Настройка изоляции на уровне гипервизора
Вопрос: Используются ли общие ресурсы хоста (память, сети) между разными контурами?
Действие: Настроить гипервизор (желательно сертифицированный, п. 6.11) для:
Выделения отдельных логических областей оперативной памяти под разные контуры (п. 6.5).
Запрета нерегламентированного информационного обмена между ВМ и с ОС хоста (п. 6.5).
Управление образами ВМ
Вопрос: Создается ли базовый образ или модифицируется существующий?
Схема: Базовый образ -> Проверка в тестовом сегменте (на отдельном физ. сервере) -> Проверка на вредоносный код -> Согласование со службой ИБ (п. 7.1-7.8).
Правило: Один серверный компонент АБС = одна отдельная ВМ. Не объединять несколько компонентов в одной ВМ (п. 7.3).
Особенность для рабочих столов (VDI): Запретить сохранение изменений в базовом образе (принудительный откат к эталону) (п. 7.11, 10.9).
Обеспечение безопасности серверных компонентов (Host и Hypervisor)
Вопрос: Кто управляет гипервизором и хостами?
Требование: Администрирование только с выделенных АРМ в специальном сегменте сети (п. 8.1).
Средство: Использовать сертифицированные СЗИ от НСД для доступа к средствам управления (п. 8.2). Сами компоненты виртуализации не должны функционировать внутри ВМ (п. 8.4).
Логирование: Обязательно включить аудит: запуск/остановка ВМ, изменение сетевых настроек, копирование образов, вход администраторов (п. 8.7).
Защита виртуальных машин
Вопрос: Нужна ли защита от вирусов и НСД внутри ВМ?
Рекомендация: Применять защиту от вредоносного кода на уровне гипервизора (без агентов внутри ВМ) (п. 9.6).
Средство: Использовать сертифицированные СЗИ для контроля целостности ПО и регистрации доступа (п. 9.4).
Безопасность рабочих мест (АРМ)
Вопрос: Идет ли работа с ВМ через АРМ?
Требование: Применять двухфакторную аутентификацию (например, токен) для доступа к ВМ контуров ПТП и ИСПДн (п. 10.5).
Действие: Реализовать доверенную загрузку ОС на АРМ и контроль портов ввода-вывода (п. 10.3, 10.1).
Разделение полномочий (Роли)
Вопрос: Кто выполняет операции?
Правило: Разделить роли и запретить совмещение (п. 12.2):
Администратор ВМ (работает с приложениями внутри ВМ).
Администратор виртуализации (создает ВМ, управляет образами).
Администратор ИБ виртуализации (настраивает сетевые сегменты и политики доступа).
Администратор СХД (работает с дисковыми массивами).
Принцип: Ни один администратор не должен иметь полномочий сразу на управление гипервизором, хранилищем и содержанием ВМ.
Защита системы хранения данных (СХД)
Действие: Выделить отдельные логические разделы в СХД для каждого контура безопасности (ПТП, ИСПДн, системные) (п. 13.1).
Контроль: Доступ к разделам ПТП разрешен только ВМ из контура ПТП (п. 13.3.1).
КОНЕЦ (Архитектура построена в соответствии с требованиями ИБ)
Пояснения к связям (как в примере с фото)
Ветвление (Если -> Иначе): Алгоритм строго проверяет принадлежность к контурам безопасности. Если ВМ входят в разные контуры, архитектура требует физического разнесения (разные серверы, разные сети). Если в один — допускается логическая изоляция на гипервизоре.
Цикл проверки: Процесс работы с образами ВМ включает обязательный этап тестирования перед внедрением (петля «создание -> проверка -> использование»).
Сертификация средств: В ключевых точках (разделение сетей, доступ к гипервизору, защита каналов) алгоритм предписывает использование средств, прошедших обязательную сертификацию ФСБ/ФСТЭК. Это является обязательным условием для прохождения ветки «ДА».
┌───────────────────────────────┐ │ НАЧАЛО │ │ (проектирование архитектуры) │ └──────────────┬────────────────┘ ▼ ┌─────────────────────────────┐ │ Выделить контуры │ │ безопасности (КБ) │ └──────────────┬──────────────┘ ▼ ┌──────────────┐ │ Есть ли КБ │ │ ПТП и/или │ │ ИСПДн? │ └──────┬───────┘ ДА │ НЕТ ┌──────────┴──────────┐ ▼ ▼ ┌─────────────┐ ┌─────────────┐ │ Определить │ │ Определить │ │ КБ ПТП и │ │ единый КБ │ │ КБ ИСПДн │ │ по степени │ │ как разные │ │ критичности │ └──────┬──────┘ └──────┬──────┘ └──────────┬─────────┘ ▼ ┌──────────────────┐ │ Разные КБ │ │ требуют разных │ │ физических │ │ хост-серверов? │ └────────┬─────────┘ ДА │ НЕТ ┌──────────┴─────────┐ ▼ ▼ ┌──────────────┐ ┌────────────────┐ │ Разместить │ │ Разместить на │ │ ВМ разных КБ │ │ общих хостах, │ │ на отдельных │ │ но с изоляцией │ │ физических │ │ средствами │ │ хостах │ │ гипервизора │ └──────┬───────┘ └───────┬────────┘ └─────────┬─────────┘ ▼ ┌───────────────────┐ │ Доступ к ВМ │ │ осуществляется │ │ из разных АРМ? │ └─────────┬─────────┘ ДА │ НЕТ ┌───────────┴──────────┐ ▼ ▼ ┌──────────────────┐ ┌────────────────┐ │ Применить │ │ Использовать │ │ сертифицированные│ │ единую сеть │ │ межсетевые экраны│ │ доступа │ │ для разделения │ │ с контролем │ │ доступа (L3) │ │ на уровне АРМ │ └────────┬─────────┘ └────────┬───────┘ └───────────┬──────────┘ ▼ ┌───────────────────────┐ │ Гипервизор │ │ сертифицирован? │ └───────────┬───────────┘ ДА │ НЕТ ┌────────────┴────────────┐ ▼ ▼ ┌─────────────────┐ ┌─────────────────────┐ │ Использовать │ │ Заменить на │ │ сертифициро- │ │ сертифицированный │ │ ванный │ │ или провести │ │ гипервизор │ │ оценку соответствия │ └────────┬────────┘ └──────────┬──────────┘ └───────────┬───────────┘ ▼ ┌─────────────────────────────────────────┐ │ Настроить гипервизор: │ │ - выделить отдельные области памяти │ │ под разные КБ │ │ - запретить нерегламентированный │ │ обмен между ВМ и с ОС хоста │ └─────────────────────┬───────────────────┘ ▼ ┌─────────────────────────────────────────┐ │ Создать базовые образы ВМ │ │ в тестовом сегменте │ └─────────────────────┬───────────────────┘ ▼ ┌────────────────┐ │ Проверка │ │ в тестовом │ │ сегменте: │ │ - вредоносный │ │ код? │ │ - корректность │ │ настроек СЗИ?│ └───────┬────────┘ НЕТ │ ДА ┌────────────┴────────────┐ ▼ ▼ ┌────────────────┐ ┌────────────────────┐ │ Доработать │ │ Согласовать со │ │ образ │ │ службой ИБ и │ │ и повторить │ │ разместить в │ │ проверку │ │ продуктивной среде │ └────────────────┘ └──────────┬─────────┘ ▼ ┌─────────────────────────────────────────┐ │ Организовать управление │ │ серверными компонентами: │ │ - выделенный сегмент сети для │ │ администрирования │ │ - сертифицированное СЗИ от НСД │ │ - двухфакторная аутентификация │ └─────────────────────┬───────────────────┘ ▼ ┌─────────────────────────┐ │ Реализована │ │ ролевая модель? │ │ (разделение │ │ администраторов) │ └───────────┬─────────────┘ НЕТ │ ДА ┌──────────┴──────────┐ ▼ ▼ ┌─────────────────┐ ┌─────────────────┐ │ Внедрить │ │ Назначить │ │ разделение │ │ роли: │ │ ролей: │ │ - Админ ВМ │ │ - Админ ВМ │ │ - Админ │ │ - Админ │ │ виртуал. │ │ виртуал. │ │ - АИБ │ │ - АИБ │ │ виртуал. │ │ виртуал. │ │ - Админ СХД │ │ - Админ СХД │ └────────┬────────┘ └────────┬────────┘ │ └──────────┬──────────┘ ▼ ┌─────────────────────────────────────────┐ │ СХД: выделить логические разделы │ │ для каждого КБ (ПТП, ИСПДн, системные) │ │ и настроить доступ только из │ │ соответствующих ВМ │ └─────────────────────┬───────────────────┘ ▼ ┌─────────────────────────────────────────┐ │ Внедрить мониторинг ИБ: │ │ - журналирование событий │ │ гипервизора и СЗИ │ │ - централизованный сбор логов │ │ на обособленном физическом сервере │ └─────────────────────┬───────────────────┘ ▼ ┌─────────────────────────────────────────┐ │ КОНЕЦ │ │ (архитектура построена) │ └─────────────────────────────────────────┘
