Виртуализация — это технология, которая позволяет создавать виртуальные версии физических ресурсов, таких как серверы, хранилища данных и сети. В России виртуализация активно развивается, особенно в условиях импортозамещения и усиления требований к информационной безопасности. Одним из ключевых регуляторов в этой сфере является ФСТЭК России (Федеральная служба по техническому и экспортному контролю), которая устанавливает стандарты и требования для обеспечения безопасности информационных систем.
ФСТЭК России — федеральный орган исполнительной власти, ответственный за реализацию государственной политики в области защиты информации, включая контроль и надзор в сфере информационной безопасности. Он разрабатывает и утверждает стандарты и требования по защите информации в информационных системах, в том числе в сфере виртуализации.
Полномочия ФСТЭК:
- Установление требований к защите информации.
- Сертификация средств защиты информации.
- Контроль за соблюдением нормативных актов в области информационной безопасности.
Прежде всего, соблюдение требований ФСТЭК — это вопрос соответствия законодательству. В России действуют строгие нормы, регулирующие работу с персональными данными и информацией ограниченного доступа. Для бизнеса, работающего с госзаказчиками или в регулируемых отраслях это может стать решающим фактором для продолжения деятельности. Несоблюдение этих норм может привести к серьезным последствиям: от крупных штрафов до принудительного прекращения работы.
Требования ФСТЭК направлены на обеспечение максимальной защиты данных. Кибератаки становятся все более продвинутыми, а утечки информации могут нанести непоправимый ущерб репутации и финансам компании, поэтому необходимо применять решения, которые гарантируют безопасность
В октябре 2022 года ФСТЭК утвердила приказ №187, устанавливающий требования по безопасности информации к средствам виртуализации. Этот документ определяет минимально необходимые меры защиты и классифицирует средства виртуализации по шести классам защиты, где первый класс — самый высокий.
Каждый класс защиты определяет, насколько серьезно нужно защищать данные, и выбирается в зависимости от того, насколько важна информация и какие риски связаны с ее утечкой.
Классы защищенности
| Класс защиты | Область применения в информационных системах |
| 6 класс | Для объектов, где требуется высокий уровень безопасности: — Важные объекты критической инфраструктуры (например, энергетика, транспорт) 3 категории значимости. — Государственные информационные системы 3 класса защищённости. — Системы управления производством и технологическими процессами 3 класса защищённости. Системы, работающие с персональными данными, если требуется 3 или 4 уровень защиты. |
| 5 класс | Подходит для объектов со средним уровнем требований к безопасности: — Важные объекты критической инфраструктуры 2 категории значимости. — Государственные информационные системы 2 класса защищённости. — Системы управления производством и технологическими процессами 2 класса защищённости. — Системы, работающие с персональными данными, если требуется 2 уровень защиты. |
| 4 класс | Применяется для объектов с базовыми требованиями к безопасности: — Важные объекты критической инфраструктуры 1 категории значимости. — Государственные информационные системы 1 класса защищённости. — Системы управления производством и технологическими процессами 1 класса защищённости. — Системы, работающие с персональными данными, если требуется 1 уровень защиты. — Общедоступные информационные системы II класса. |
| 3 класс | Используется для систем, где обрабатывается секретная информация. |
| 2 класс | Применяется для систем, где обрабатывается совершенно секретная информация. |
| 1 класс | Используется для систем, где обрабатывается информация особой важности. |
Компании, использующие виртуализацию, должны учитывать требования, чтобы обеспечить соответствие нормативам и защиту обрабатываемой информации в организации.
Основные требования ФСТЭК к средствам виртуализации
Согласно документу требования к средствам виртуализации условно подразделяются на 10 групп, каждая из которых отвечает определенному уровню защиты систем.
Для систем 6-го класса, который считается базовым, требования уже достаточно обширны. Охватывается как защита данных, управление доступом, так и мониторинг. С увеличением класса защиты требования становятся более обширнее. Это связано с необходимостью противостоять более сложным угрозам, включая внешние атаки и внутренние риски. Рассмотрим основные требования 187 приказа.
-
Доверенная загрузка виртуальных машин
Доверенная загрузка — это процесс, при котором виртуальная машина может быть запущена только в том случае, если ее конфигурация и файлы не были изменены с момента последней проверки. Эта функция безопасности предотвращает запуск виртуальных машин с уязвимым или измененным состоянием, которое может быть вызвано вредоносными атаками.
Виртуальные машины должны загружаться только при условии, что их конфигурация и файлы не были изменены. Виртуализация должна блокировать запуск, если обнаружены нарушения целостности.
-
Контроль целостности
Средства виртуализации должны обеспечивать постоянный мониторинг целостности, как во время загрузки, так и в процессе работы. Следует регулярно проверять состояние программного обеспечения, данных и конфигурации системы для обеспечения их неизменности. Средства виртуализации должны следить за целостностью как в процессе загрузки виртуальных машин, так и во время их работы.
Для более высоких классов защиты добавляется контроль целостности исполняемых файлов и параметров настройки системы и конфигураций.
-
Регистрация событий безопасности
Необходимо регистрировать все события, связанные с безопасностью, например, попытки аутентификации, изменения в конфигурации и любые действия с виртуальными машинами. Записи об этих событиях должны храниться в журнале, быть доступны для анализа и защищены от несанкционированного доступа или изменений. Эта мера помогает отслеживать потенциальные инциденты безопасности и обеспечивает возможность их расследования.
-
Управление доступом
Средства виртуализации должны поддерживать ролевую модель, позволяя различным пользователям (разработчики, администраторы безопасности и т.д.) иметь доступ только к определенным функциям системы.
Разграничение доступа на основе ролей помогает минимизировать риски, связанные с несанкционированным доступом к критически важным данным или функциям.
-
Резервное копирование
Поддержка создания резервных копий образов виртуальных машин и их конфигураций необходима в случае восстановления рабочего состояния системы. Для более высоких классов защиты — настройки самой виртуализации и событий безопасности.
-
Ограничение программной среды
Данная функция определяет какие компоненты программного обеспечения могут быть запущены в системе виртуализации. Средства виртуализации должны контролировать запуск программного обеспечения, запрещая запуск неизвестных или потенциально опасных компонентов.
Для более высоких классов защиты добавляется возможность блокировать запуск компонентов, чья целостность была нарушена или которые не прошли аутентификацию с использованием цифровых подписей или других методов проверки подлинности.
-
Управление потоками информации
Управление потоками информации в виртуализации обеспечивает контроль передачи данных между виртуальными машинами и внешними системами на канальном и сетевом уровнях. Это включает фильтрацию трафика, изоляцию виртуальных машин друг от друга и настройку политик безопасности для управления типами и направлениями данных. Цель — предотвратить утечку данных и несанкционированный доступ, обеспечивая безопасное взаимодействие между виртуальными машинами и внешними сетями.
-
Защита памяти
Защита памяти охватывает несколько мер безопасности, направленных на защиту данных, находящихся в оперативной памяти виртуальной машины. Средства виртуализации должны обеспечивать очистку памяти, блокировать доступ к остаточной информации и обеспечивать изоляцию памяти виртуальных машин.
-
Идентификация и аутентификация пользователей
Каждый пользователь должен быть уникально идентифицирован и аутентифицирован для предотвращения несанкционированного доступа. Включает использование паролей и ограничение количества неудачных попыток входа.
Для более высоких классов защиты требуется использовать сложные пароли, обеспечивать защищенное хранение аутентификационной информации. Также может требоваться блокировка учетных записей при превышении числа неправильных попыток входа
-
Централизованное управление образами виртуальных машин
Централизованное управление образами виртуальных машин и виртуальными машинами необходимо для поддержания целостности и безопасности всей инфраструктуры виртуализации. Для более высоких классов защиты требуется не только хранение и управление образами виртуальных машин, но и контроль их перемещения между различными физическими или виртуальными хостами. Также требуется поддерживать возможность сохранения всех конфигураций и настроек виртуальных машин, чтобы в случае необходимости можно было восстановить все параметры системы.
Требования и меры безопасности для средств виртуализации
| Требование | Детали требований | Необходимые меры |
| Доверенная загрузка виртуальных машин | — Блокировка запуска при нарушении целостности конфигурации виртуального оборудования (для 6 и 5 классов). — Дополнительные блокировки при нарушении целостности базовой системы ввода-вывода (для 4 класса). |
— Внедрить механизм для проверки целостности виртуального оборудования перед запуском. — Использовать проверенные средства для обнаружения нарушений. |
| Контроль целостности | — Контроль целостности при загрузке и в процессе работы (для 6 класса). — Дополнительный контроль целостности исполняемых файлов и настроек для 5 класса. — Контроль целостности сведений о событиях безопасности для 4 класса. |
— Внедрить систему для мониторинга и проверки целостности в процессе работы системы и при запуске. — Использовать сертифицированные инструменты для контроля целостности. |
| Регистрация событий безопасности | — Регистрация событий безопасности с подробным описанием, включая действия администратора, попытки аутентификации, изменения в конфигурациях. — Для 4 класса — дополнительные данные о важности события. |
— Внедрить систему аудита для регистрации и хранения событий безопасности. — Обеспечить доступность только для чтения записей о событиях. |
| Управление доступом | — Ролевой метод управления доступом с четырьмя ролями: разработчик, администратор безопасности, администратор виртуализации, администратор виртуальной машины. — Разграничение прав доступа по ролям. |
— Разработать и внедрить систему разграничения прав доступа для пользователей в зависимости от их роли. — Обеспечить средства для управления ролями и полномочиями. |
| Резервное копирование | — Для 6 класса — резервное копирование образов виртуальных машин и конфигураций. — Для 5 класса — также резервное копирование параметров настройки средства виртуализации. — Для 4 класса — резервное копирование данных о событиях безопасности. |
— Внедрить процессы и инструменты для регулярного резервного копирования всех необходимых данных. — Обеспечить защищенное хранение резервных копий. |
| Ограничение программной среды | — Контроль запуска компонентов программного обеспечения и блокировка несанкционированных программных компонентов. — Для 4 класса — дополнительный контроль целостности программных компонентов. |
— Использовать механизмы для обеспечения только авторизованного запуска программного обеспечения. — Внедрить системы для проверки целостности файлов и блокировки несанкционированных компонентов. |
| Управление потоками информации | — Контроль потоков информации между виртуальными машинами и внешними системами. — Контроль взаимодействия виртуальных машин между собой. |
— Настроить средства для управления потоками данных, включая фаерволы и маршрутизаторы. — Обеспечить разделение потоков информации между виртуальными машинами для повышения безопасности. |
| Защита памяти | — Очищение остаточной информации в памяти при освобождении. — Размещение кода в памяти, недоступной для записи и исполнения. — Изоляция памяти виртуальных машин. |
— Использовать средства для эффективного удаления данных из памяти и защиты от несанкционированного доступа. — Разработать политику изоляции памяти для каждой виртуальной машины. |
| Идентификация и аутентификация пользователей | — Первичная аутентификация с использованием пароля (для 6 класса минимум 6 символов). — Для 5 и 4 классов требования к сложности пароля усиливаются. — Механизмы для блокировки учетной записи при неудачных попытках аутентификации. |
— Внедрить систему аутентификации с требованиями по сложности паролей. — Обеспечить защиту учетных данных и предотвращение несанкционированного доступа. |
| Централизованное управление образами виртуальных машин | — Управление образами виртуальных машин и их конфигурациями (для 6 класса). — Для 5 и 4 классов — дополнительные меры для управления размещением и перемещением виртуальных машин. |
— Разработать систему для централизованного управления виртуальными машинами, включая хранение образов и контроль за перемещением виртуальных машин. |
Сертификация систем виртуализации в России проводится на соответствие указанным требованиям. Наличие сертификата ФСТЭК подтверждает, что продукт соответствует установленным стандартам безопасности и может использоваться в информационных системах. Сертификация обязательна для государственных информационных систем (ГИС). Для информационных систем персональных данных (ИСПДн) и критической информационной инфраструктуры (КИИ) сертификация носит рекомендательный характер.
Сертификация проводится аккредитованными лабораториями, а результаты передаются в ФСТЭК для окончательного утверждения.
Сертифицированные системы виртуализации
Существует ряд решений виртуализации, соответствующих требованиям ФСТЭК, которые обеспечивают высокий уровень защиты данных бизнеса. Однако выбор подходящей системы зависит от конкретных потребностей заказчика, включая специфику бизнеса, требования безопасности и функциональные особенности. Ограничения на поставку и прекращение поддержки лицензий зарубежного ПО, таких, как VMware или Hyper-V, существенно повышают риски угроз при дальнейшей эксплуатации этих продуктов.
После ухода с российского рынка зарубежные вендоры перестали предоставлять поддержку и выпускать обновления для своих продуктов. В связи с этим повышается уязвимость систем перед кибератаками и воздействием вредоносных программ. Переход на отечественные решения виртуализации позволит снизить зависимость от иностранных технологий, гарантирует своевременное обновление и повышает стабильность бизнеса.
vStack HCP — российская гиперконвергентная платформа виртуализации, разработанная компанией vStack (входит в корпорацию ITG). Платформа объединяет три компонента в одно программно-определяемое решение: программно-определяемое хранилище (SDS), программно-определяемую сеть (SDN) и программно-определяемые вычисления (SDC). vStack HCP включена в реестр отечественного ПО, обеспечивает высокую производительность с механизмом CPU overcommit до 900% и низким CPU overhead (2-5%). Платформа поддерживает работу с российскими операционными системами из реестра Минцифры и предназначена для построения корпоративных виртуальных инфраструктур. vStack ожидает сертификацию ФСТЭК в первом квартале 2025 года.
Как выбрать платформу виртуализации, соответствующую требованиям ФСТЭК
При выборе системы виртуализации, соответствующей требованиям ФСТЭК, следует обратить внимание на следующие аспекты:
- Класс защиты: определите, какой класс защиты необходим для вашей информационной системы в соответствии с обрабатываемой информацией.
- Функциональные возможности: убедитесь, что система предоставляет необходимые функции управления, мониторинга и безопасности.
- Совместимость: проверьте совместимость с существующей IT-инфраструктурой и поддерживаемыми операционными системами.
- Поддержка и обновления: оцените доступность технической поддержки и регулярность выпуска обновлений безопасности.
Одним из примеров соответствующей платформы является vStack — гиперконвергентная платформа, не зависящая от конкретного оборудования и не имеющая ограничений vendor lock-in. Это позволяет избежать избыточных инвестиций в инфраструктуру на начальном этапе, а при увеличении потребностей в вычислительных мощностях или хранилищах — легко наращивать их без значительных затрат, добавляя стандартные серверы.
Заключение
Учет рекомендаций ФСТЭК России при выборе системы виртуализации — это не только обязательное условие для соблюдения законодательства, но и один из этапов обеспечения информационной безопасности бизнеса. Компании должны внимательно подходить к выбору платформы, учитывая ее соответствие нормативным требованиям, функциональные возможности и перспективам развития.
Для подробного ознакомления по выбору и внедрению платформы виртуализации, соответствующей требованиям ФСТЭК, вы можете оставить заявку на консультацию по виртуализации vStack.