Каталог средств защиты информации
TIONIX Virtual Security
Tionix Virtual Security обеспечивает для Tionix Cloud Platform реализацию мер защиты информации из состава набора мер, предусматриваемых приказами ФСТЭК России.
программное обеспечение «TIONIX Virtual Security» - Соответствует требованиям документов: Требования доверия(4), ТУ
Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: ФАУ «ГНИИИ ПТЗИ ФСТЭК России», заявитель: ООО «ТИОНИКС».
Tionix Virtual Security обеспечивает реализацию мер защиты информации из состава набора мер, предусматриваемых приказами 17, 21, 239 ФСТЭК России. С использованием ПО Tionix Cloud Platform может применяться для защиты конфиденциальной информации от несанкционированного доступа в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных.
Tionix Virtual Security обеспечит реализацию следующих базовых наборов мер обеспечения безопасности:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
- Управление доступом субъектов доступа к объектам доступа (УПД)
- Ограничение программной среды (ОПС)
- Защита машинных носителей информации (ЗНИ)
- Регистрация событий безопасности (РСБ)
- Обеспечение целостности информационной системы и информации (ОЦЛ)
- Защита среды виртуализации (ЗСВ)
Платформа Tionix Virtual Security состоит из следующих основных компонент:
- контроллер управления,
- сервер аутентификации и авторизации,
- сервис-агент.
Сервис-агент. Устанавливается непосредственно на контролируемые вычислительные сущности и обеспечивает следующий функционал:
- Контроль запуска, миграции и изменения конфигурации виртуальных машин, виртуальных сетей и их портов, контроль целостности виртуальных образов, контроль привязки виртуальных машин к вычислительным сущностям, мониторинг событий изменения состояния виртуальных машин и сетей посредством взаимодействия с библиотекой libvirt через перехватчики вызовов основных функций (libvirt hooks);
- Мониторинг состояния виртуальных машин, снятие метрик, управление виртуальными машинам в пределах вычислительной сущности (при необходимости) посредством взаимодействия с библиотекой libvirt через libvirt API (Java Bindings for Libvirt API)
Сервис авторизации и аутентификации Состоит из двух компонент:
- Компонента обеспечения аутентификации и авторизации по протоколу OpenID Connect, в основную функциональность которого входит аутентификация и авторизация web-ресурсов администрирования облачной инфраструктуры, а также, при необходимости, аутентификация и авторизация инфраструктуры клиента (виртуальных машин) в отдельных доменах управления.
- Компонента обеспечения аутентификации и авторизации LDAP. Функцией данной компоненты является аутентификации и авторизация пользователей имеющих доступ к вычислительным сущностям (direct login, ssh login) с использованием LDAP.
Обе компоненты имеют единую базу данных сведений о доменах, пользователях и группах управляемой инфраструктуры, а также обеспечивают мониторинг всех событий аутентификации и авторизации в контролируемом периметре.
Контроллер управления
Состоит из двух компонент:
- Компонента консоли управления платформой. Обеспечивает подключение к платформе и управления основными ресурсами и конфигурацией, аутентификация и авторизация в которую обеспечивается посредством компоненты OpenID Connect.
- Ядро управления платформой. Обеспечивает комплексное управление платформой (управление пользователями, конфигурациями, агентами), взаимодействие компонент между собой, журналирование общесистемных событий, а также событий сервис-агентов. Каждая из основных компонент допускает горизонтальное масштабирование инфраструктуры для обеспечения отказоустойчивости и повышения доступности. Взаимодействие между сервис-агентами и контроллерами управления платформой обеспечивается посредством шины на базе протокола AMQP.
Хранилище данных платформы.
- Хранение конфигураций платформы, структуры доменов, пользователей и групп обеспечивается за счет СУБД PostgreSQL.
- Кэширование общих данных между различными компонентами платформы обеспечивается за счет системы кэширование Infinispan.
Платформа обладает следующими функциями обеспечения безопасности:
- Контроль доступа к вычислительным сущностям посредством авторизации и аутентификации LDAP;
- Контроль доступа к консолям управления облачной инфраструктурой, консоли управления платформой, а также, при необходимости, контроль доступа к виртуальной инфраструктуре клиента посредством протокола OpenID Connect;
- Контроль запуска, миграции, конфигурации виртуальных машин, их целостности, и способов размещения относительно вычислительных сущностей посредством сервис-агентов;
- Внутренний контроль инфраструктуры платформы за счет использования JWT во всех точках взаимодействия с платформой и шифрование взаимодействия ядра с компонентами платформы посредством TLS.
Таким образом, данная архитектура платформы гарантирует ее отказоустойчивость, высокую надежность, отзывчивость и легкость масштабирования при растущих требованиях.