Перейти к содержанию

Интеграция SpaceVM и vGate R2

Общие сведения

Средство защиты информации vGate R2 от компании ООО «Код Безопасности» предназначено для формирования единого контура защиты виртуализации в среде SpaceVM. Контроль рабочего места администратора, сервера управления и хоста гипервизора обеспечивает целостную защиту приложений от атак со стороны виртуальной инфраструктуры.

Совместное применение SpaceVM с vGate R2 позволяет закрывать требования ФСТЭК в части защиты от несанкционированного доступа по 5 классу защищенности, а также требования к 4 уровню доверия средств обеспечения безопасности информационных технологий и по профилю защиты межсетевых экранов типа Б четвертого класса защиты.

Совместимость

vGate R2 версии 5.0 совместим со SpaceVM версии 6.5.6.

Возможности интеграции SpaceVM и vGate

  • Усиленная защита виртуальной инфраструктуры SpaceVM.

  • Централизованный контроль доступа к ВМ.

  • Защита ВМ от несанкционированного копирования, клонирования, уничтожения.

  • Контроль целостности ВМ.

  • Регистрация и аудит событий безопасности.

  • Выполнение требований РД ФСТЭК России.

Установка сервера vGate в среде виртуализации SpaceVM

  1. Перейти на сайт Код безопасности.

  2. Зарегистрироваться в личном кабинете.

  3. После регистрации и авторизации скачать файл СЗИ vGate R2 5.0 OVA (Сертифицированная версия) по ссылке.

  4. Создать инфраструктуру. Пример инфраструктуры приведен на схеме.

    Пример инфраструктуры

    image

    Внимание

    Все указанные на схеме IP-адреса являются примерами. Необходимо использовать IP-адреса существующей инфраструктуры.

    Примечание

    Если доступ во внешнюю сеть не маршрутизируется посредством роутера по умолчанию, необходимо в SpaceVM настроить статические маршруты на хостах виртуализации: СетиСетевые настройкиСтатические маршрутыНастройки статических маршрутов.

  5. В среде виртуализации SpaceVM создать:

    • внутреннюю сеть (сеть администрирования виртуальной инфраструктуры) – используется управляющая сеть SpaceVM;

    • внешнюю сеть (сеть внешнего периметра администрирования) – используется изолированная сеть SpaceVM.

  6. Выполнить импорт ВМ из шаблона OVA.

  7. Добавить виртуальные интерфейсы (внешний и внутренний).

  8. В ВМ перейти на вкладку Диски:

    • выбрать существующий диск и нажать Отключить;

    • нажать Добавить существующий и поменять тип шины на sata.

  9. Запустить ВМ.

    Примечания

    1. Для запуска ВМ ввести логин root и пароль Qwerty`123.
    2. Для смены пароля необходимо использовать команду passwd root.

  10. Выполнить настройку сетевых интерфейсов (внутреннего и внешнего).

    Примечание

    В данном примере настройка сетевых интерфейсов выполняется с помощью сервиса NetworkManager (nmtui).

    • Ввести команду:
    nmtui
    • Заполнить форму настроек:
    Для внутреннего интерфейса

    image

    Для внешнего интерфейса

    image

  11. Создать папку core в каталоге /opt/vgate командой:

    mkdir /opt/vgate/core

  12. Выдать полные права на папку для всех категорий пользователей:

    chmod 777 /opt/vgate/core

  13. Настроить сервер авторизации с помощью команды:

    /opt/vgate/bin/vgate-setup --setup --license_agreement=true --pg-user=admin --pg-password='Bazalt1!' --domain=space.team --network_mode=router --unprotected_ip=11.130.1.5 --protected_ip=10.251.32.5 --admin=admin --admin-password='Bazalt1!' --directory-integration=false

  14. Для просмотра информации об установленном продукте и его настройках выполнить команды: 

    /opt/vgate/bin/vgate-setup --info
    Пример вывода команды (часть 1)

    image

    Пример вывода команды (часть 2)

    image

    systemctl list-units --type service --all | grep vgate
    Пример вывода команды

    image

  15. После установки открыть Web-браузер, ввести URL-адрес сервера авторизации.

    URL-адрес

    https://<server-IP>, где <server-IP> - IP-адрес или сетевое имя сервера авторизации.

  16. Убедиться в отображении окна авторизации.

    Окно авторизации vGate

    image

  17. Авторизоваться: логин admin, пароль Bazalt1!.

    Примечание

    Логин и пароль задаются во время настройки сервера авторизации.

  18. Включить аварийный режим работы.

    Включение аварийного режима работы

    image

  19. В консоли сервера авторизации проверить связность сетей:

    • выполнить команду:
    ip -br a
    Пример вывода команды

    image

    • выполнить команду для каждого IP-адреса:
    ping <ip-адрес>

  20. Включить тестовый режим работы (необходим для дальнейшей настройки).

Установка клиента vGate в среде виртуализации SpaceVM

  1. Выполнить действия перед установкой клиента vGate:

    Пример настройки сети в ОС Windows Server 2016

    image

  2. Установить клиент vGate в соответствии с Руководством администратора.

  3. Создать подключение к серверу авторизации в соответствии с Руководством оператора.

    Подключение к серверу авторизации

    image

  4. При успешном подключении будет отображен соответствующий статус.

    Статус клиента vGate

    image

Настройка vGate

  1. В Web-консоли vGate зарегистрировать имеющуюся лицензию на использование vGate.

  2. На вкладке Общие установить маркер Контроль уровня сессий.

  3. Настроить параметры соединения с сервером управления SpaceVM:

    • перейти в НастройкиПодключение к серверам;

    • выбрать Сервер управления SpaceVM и указать IP-адрес сервера, а затем имя и пароль администратора Web-интерфейса сервера управления SpaceVM;

    • нажать кнопку Проверить подключение, чтобы выполнить проверку введенных учетных данных;

    • нажать кнопку Сохранить для сохранения параметров соединения.

  4. Добавить защищаемые подсети (НастройкиЗащищаемые подсети).

    Примечание

    Необходимо добавить используемые подсети, а также подсеть, из которой можно иметь доступ к vGate.

  5. Добавить KVM-сервер под управлением SpaceVM:

    • на странице Защищаемые серверы нажать кнопку Добавить и выбрать Сервер управления SpaceVM в раскрывающемся списке;

    • в открывшемся окне нажать кнопку Сохранить.

  6. Установить агент vGate на сервер:

    • на странице Защищаемые серверы выбрать защищаемый сервер и нажать кнопку Агент;

    • в раскрывающемся списке выбрать Установить;

    • ввести логин root и пароль;

    • дождаться завершения установки;

    • убедиться, что статус агента – Запущен.

Действия после установки и настройки vGate

После установки и настройки vGate необходимо в Web-консоли:

  • Cоздать учетные записи для пользователей vGate.

  • Настроить для каждого пользователя необходимые правила доступа к компонентам управления виртуальной инфраструктурой.

  • Настроить остальные функции при необходимости.

После выполнения вышеперечисленных действий станут доступны все описанные выше возможности интеграции SpaceVM и vGate.

Подробная информация о работе с vGate приведена в документации.