Перейти к содержанию

СЗИ ВИ Dallas Lock

Совместимость

СЗИ ВИ Dallas Lock 5.87.1695 совместима с версиями SpaceVM 6.5.8 и SpaceVM 6.5.9.

Система защиты информации в виртуальных инфраструктурах Dallas Lock предназначена для комплексной и многофункциональной защиты конфиденциальной информации от несанкционированного доступа в виртуальных средах.

Интеграция СЗИ ВИ Dallas Lock с SpaceVM позволит обеспечить централизованную защиту виртуальной инфраструктуры, включая:

  • Контроль доступа к ресурсам виртуализации.
  • Разграничение прав пользователей.
  • Аудит действий администраторов и пользователей.
  • Журналирование и аналитика событий безопасности.
  • Мониторинг и оповещение о нарушениях политик безопасности.
  • Контроль целостности компонентов системы.

Ознакомиться с подробной информацией о СЗИ ВИ Dallas Lock и документацией можно на сайте разработчика.

Установка Центра управления СЗИ ВИ Dallas Lock

Примечание

В тексте статьи IP-адреса являются примерами. Необходимо производить настройку в соответствии с существующей инфраструктурой.

Далее приведены команды для установки СЗИ ВИ Dallas Lock на ОС Debian 11, Ubuntu 22.04 LTS и Ubuntu 24.04 LTS. С информацией об установке на другие поддерживаемые ОС можно ознакомиться в официальной документации Dallas Lock.

Установка Центра управления (ЦУ) осуществляется на ВМ или на компьютер, с которого будет осуществляться управления СЗИ ВИ Dallas Lock.

  1. Команда для установки Dallas Lock: 

    sudo apt install ./confident-vicored.deb

  2. После установки открыть браузер и перейти в Web-интерфейс ЦУ по адресу ВМ: 

    https://10.251.32.75:4564/

Первая авторизация

Введенные при первом входе в Web-интерфейс логин и пароль сохраняются и будут использоваться для последующей авторизации.

Настройка Центра управления СЗИ ВИ Dallas Lock

Установка лицензии СЗИ ВИ Dallas Lock

Для установки лицензии в Web-интерфейсе ЦУ необходимо:

  1. Перейти в раздел Опции - Настройки лицензирования - Выбор файла-ключа.
  2. Загрузить файл.
  3. Применить ключ с помощью кнопки Применить.
Выбор файла-ключа

img

Отключение политики авторизации

  1. В Web-интерфейсе перейти в раздел KVM - Параметры безопасности - Политики авторизации.

  2. Отключить параметры:

    • KVM: блокировать доступ к Cockpit Web Interface.
    • KVM: Блокировать протокол SSH.
    • Включить синхронизацию времени по NTP.
    • KVM: Блокировать запуск ВМ в пространстве пользователя.

    Для отключения необходимо нажать на название параметра и внести изменения в открывшемся окне.

  3. Для применения изменений обязательно нажать Действие - Сохранить.

Политики авторизации

img

Отключение очистки остаточной информации в KVM

  1. В Web-интерфейсе перейти в раздел KVM - Параметры безопасности - Очистка остаточной информации.

    Очистка остаточной информации

    img

  2. Нажать на параметр Гипервизоры: Количество циклов затирания (циклы).

  3. В открывшемся окне вручную установить значение «0».

    Изменение диапазона

    img

  4. Нажать кнопку ОК.

  5. Для применения изменений обязательно нажать Действие - Сохранить.

Настройка SpaceVM для интеграции с СЗИ ВИ Dallas Lock

  1. Отключить CLI на всех узлах с помощью команды: 

    cli disable

  2. Удалить надписи о поддержке для вендора. Для этого необходимо полностью закомментировать содержимое файла, который находится в директории /etc/puppetveil/code/environments/production/modules/space_cli/files/.bashrc_no_cli.

    Закомментированный файл .bashrc_no_cli

    img

  3. После внесения изменений применить параметры Puppet: 

    sh /root/bin/puppet-apply

Добавление сервера SpaceVM в СЗИ ВИ Dallas Lock

  1. В Web-интерфейсе ЦУ перейти в раздел KVM.

  2. Нажать Действие - Добавить СВ.

    Добавление сервера виртуализации

    img

  3. В открывшемся окне настроить параметры:

    • Указать IP-адрес сервера.
    • Выбрать платформу виртуализации KVM.
    • Задать учетные данные администратора.
    • Учетные данные администратора виртуализации задавать необязательно.

  4. Применить настройки с помощью кнопки Ввести в домен для регистрации сервера.

    Настройка сервера виртуализации

    img

После установки агента Dallas Lock все ВМ будут отображаться в меню управления KVM. После добавления в домен на узлах SpaceVM будет установлен сервис confident-agentd.service.

Конфигурирование агента Dallas Lock на серверах SpaceVM

Внимание

Агент Dallas Lock отвечает за управление Libvirt socket. На этапе настройки конфигурации агента и применения изменений не рекомендуется запускать ВМ на узлах SpaceVM.

  1. Отредактировать параметры агента Dallas Lock в файле конфигурации сервиса /etc/systemd/system/confident-agentd.service. Заменить его содержимое на: 

    [Unit]
Description=Confident KVM Agentd Service
After=firewalld.service
Wants=libvirtd.service
FailureAction=none

[Service]
Type=forking
ExecStart=/etc/init.d/confident-agentd start
ExecStop=/etc/init.d/confident-agentd stop
ExecReload=/etc/init.d/confident-agentd restart
PIDFile=/var/run/confident-agentd.pid
TimeoutSec=300
Restart=always
RestartSec=5
WorkingDirectory=/opt/confident/bin
KillMode=process
KillSignal=SIGTERM
TasksMax=infinity

[Install]
WantedBy=multi-user.target

  2. Перезапустить конфигурацию systemd с помощью команды: 

    systemctl daemon-reload

  3. Перезапустить сервис confident-agentd.service и добавить его в автозапуск с помощью команд: 

    systemctl restart confident-agentd.service
systemctl enable confident-agentd.service

  4. Убедиться, что изменения применились, с помощью вывода конфигурации сервиса: 

    systemctl cat confident-agentd.service

В результате агент Dallas Lock будет перезапускаться автоматически в случае сбоя.

Отображение ВМ в СЗИ ВИ Dallas Lock

img

После завершения настройки активные ВМ станут видны в меню управления KVM. ВМ, которые были выключены, будут отображаться только после первого запуска на узлах SpaceVM. Все действия по созданию, остановке, перезапуску и управлению ВМ выполняются непосредственно на стороне SpaceVM.

Удаление сервера SpaceVM из СЗИ ВИ Dallas Lock

Внимание

Не рекомендуется выводить сервер из-под управления агентом Dallas Lock, если статус агента отображается как «Нет подключения».

Для вывода сервера из-под управления необходимо:

  1. В Web-интерфейсе ЦУ перейти в раздел KVM - <Сервер>.
  2. Нажать Управление - Вывести из-под управления
Вывод сервера

img

После выполнения операции сервер будет выведен из-под управления агентом Dallas Lock, а сам агент — удалён с узла.

В случае повторной установки агента необходимо заново выполнить шаги по конфигурированию агента Dallas Lock на сервере SpaceVM.

Возможные ошибки

  1. Если Dallas Lock отображает некорректное количество запущенных виртуальных машин, необходимо запустить произвольную ВМ. После запуска информация обновится и станет корректной.

  2. Не рекомендуется в Dallas Lock нажимать кнопки Обновить учетные данные или Синхронизация СВ и гипервизора. Это может привести к блокировке пользователя.

    Кнопки «Обновить учетные данные» и «Синхронизация СВ и гипервизора»

    img

  3. После удаления сервера агент Dallas Lock остался на узле. Чтобы избежать этого, не рекомендуется выводить сервер из-под управления агентом, если его статус отображается как «Нет подключения».

    Статус агента на сервере

    img