Интеграция SpaceVM и vGate R2

Общие сведения

Средство защиты информации vGate R2 от компании ООО «Код Безопасности» предназначено для формирования единого контура защиты виртуализации в среде SpaceVM. Контроль рабочего места администратора, сервера управления и хоста гипервизора обеспечивает целостную защиту приложений от атак со стороны виртуальной инфраструктуры.

Совместное применение SpaceVM с vGate R2 позволяет закрывать требования ФСТЭК в части защиты от несанкционированного доступа по 5 классу защищенности, а также требования к 4 уровню доверия средств обеспечения безопасности информационных технологий и по профилю защиты межсетевых экранов типа Б четвертого класса защиты.

Возможности интеграции SpaceVM и vGate

• Усиленная защита виртуальной инфраструктуры SpaceVM.

• Централизованный контроль доступа к ВМ.

• Защита ВМ от несанкционированного копирования, клонирования, уничтожения.

• Контроль целостности ВМ.

• Регистрация и аудит событий безопасности.

• Выполнение требований РД ФСТЭК России.

Установка сервера vGate в среде виртуализации SpaceVM

1. Перейти на сайт Код безопасности.

2. Зарегистрироваться в личном кабинете.

3. После регистрации и авторизации скачать файл СЗИ vGate R2 5.0 OVA (Сертифицированная версия) по ссылке.

4. Создать инфраструктуру. Пример инфраструктуры приведен на схеме.

   Пример инфраструктуры

   

   Внимание

   Все указанные на схеме IP-адреса являются примерами. Необходимо использовать IP-адреса существующей инфраструктуры.

   Примечание

   Если доступ во внешнюю сеть не маршрутизируется посредством роутера по умолчанию, необходимо в SpaceVM настроить статические маршруты на хостах виртуализации: Сети – Сетевые настройки – Статические маршруты – Настройки статических маршрутов.

5. В среде виртуализации SpaceVM создать:

   • внутреннюю сеть (сеть администрирования виртуальной инфраструктуры) – используется управляющая сеть SpaceVM;

   • внешнюю сеть (сеть внешнего периметра администрирования) – используется изолированная сеть SpaceVM.

6. Выполнить импорт ВМ из шаблона OVA.

7. Добавить виртуальные интерфейсы (внешний и внутренний).

8. В ВМ перейти на вкладку Диски:

   • выбрать существующий диск и нажать Отключить;

   • нажать Добавить существующий и поменять тип шины на sata.

9. Запустить ВМ.

   Примечания

   1. Для запуска ВМ ввести логин root и пароль Qwerty`123.
   2. Для смены пароля необходимо использовать команду passwd root.

10. Выполнить настройку сетевых интерфейсов (внутреннего и внешнего).

    Примечание

    В данном примере настройка сетевых интерфейсов выполняется с помощью сервиса NetworkManager (nmtui).

    • Ввести команду:

    nmtui
    

    • Заполнить форму настроек:
    Для внутреннего интерфейса

    

    Для внешнего интерфейса

    

11. Создать папку core в каталоге /opt/vgate командой:

    mkdir /opt/vgate/core
    

12. Выдать полные права на папку для всех категорий пользователей:

    chmod 777 /opt/vgate/core
    

13. Настроить сервер авторизации с помощью команды:

    /opt/vgate/bin/vgate-setup --setup --license_agreement=true --pg-user=admin --pg-password='Bazalt1!' --domain=space.team --network_mode=router --unprotected_ip=11.130.1.5 --protected_ip=10.251.32.5 --admin=admin --admin-password='Bazalt1!' --directory-integration=false
    

14. Для просмотра информации об установленном продукте и его настройках выполнить команды:

    /opt/vgate/bin/vgate-setup --info
    

    Пример вывода команды (часть 1)

    

    Пример вывода команды (часть 2)

    

    systemctl list-units --type service --all | grep vgate
    

    Пример вывода команды

    

15. После установки открыть Web-браузер, ввести URL-адрес сервера авторизации.

    URL-адрес

    https://<server-IP>, где <server-IP> - IP-адрес или сетевое имя сервера авторизации.

16. Убедиться в отображении окна авторизации.

    Окно авторизации vGate

    

17. Авторизоваться: логин admin, пароль Bazalt1!.

    Примечание

    Логин и пароль задаются во время настройки сервера авторизации.

18. Включить аварийный режим работы.

    Включение аварийного режима работы

    

19. В консоли сервера авторизации проверить связность сетей:

    • выполнить команду:

    ip -br a
    

    Пример вывода команды

    

    • выполнить команду для каждого IP-адреса:

    ping <ip-адрес> 
    

20. Включить тестовый режим работы (необходим для дальнейшей настройки).

Установка клиента vGate в среде виртуализации SpaceVM

1. Выполнить действия перед установкой клиента vGate:

   • в SpaceVM создать ВМ c ОС Windows;

   • добавить виртуальный интерфейс во внешнюю сеть;

   • настроить сеть в ОС Windows.

   Пример настройки сети в ОС Windows Server 2016

   

2. Установить клиент vGate в соответствии с Руководством администратора.

3. Создать подключение к серверу авторизации в соответствии с Руководством оператора.

   Подключение к серверу авторизации

   

4. При успешном подключении будет отображен соответствующий статус.

   Статус клиента vGate

   

Настройка vGate

1. В Web-консоли vGate зарегистрировать имеющуюся лицензию на использование vGate.

2. На вкладке Общие установить маркер Контроль уровня сессий.

3. Настроить параметры соединения с сервером управления SpaceVM:

   • перейти в Настройки – Подключение к серверам;

   • выбрать Сервер управления SpaceVM и указать IP-адрес сервера, а затем имя и пароль администратора Web-интерфейса сервера управления SpaceVM;

   • нажать кнопку Проверить подключение, чтобы выполнить проверку введенных учетных данных;

   • нажать кнопку Сохранить для сохранения параметров соединения.

4. Добавить защищаемые подсети (Настройки – Защищаемые подсети).

   Примечание

   Необходимо добавить используемые подсети, а также подсеть, из которой можно иметь доступ к vGate.

5. Добавить KVM-сервер под управлением SpaceVM:

   • на странице Защищаемые серверы нажать кнопку Добавить и выбрать Сервер управления SpaceVM в раскрывающемся списке;

   • в открывшемся окне нажать кнопку Сохранить.

6. Установить агент vGate на сервер:

   • на странице Защищаемые серверы выбрать защищаемый сервер и нажать кнопку Агент;

   • в раскрывающемся списке выбрать Установить;

   • ввести логин root и пароль;

   • дождаться завершения установки;

   • убедиться, что статус агента – Запущен.

Действия после установки и настройки vGate

После установки и настройки vGate необходимо в Web-консоли:

• Cоздать учетные записи для пользователей vGate.

• Настроить для каждого пользователя необходимые правила доступа к компонентам управления виртуальной инфраструктурой.

• Настроить остальные функции при необходимости.

После выполнения вышеперечисленных действий станут доступны все описанные выше возможности интеграции SpaceVM и vGate.

Подробная информация о работе с vGate приведена в документации.