Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений
Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности комплекса и обеспечении быстрого ввода в эксплуатацию утраченных из-за неисправности оборудования ресурсов. Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений включает в себя связанные между собой и соединенные посредством сети первую группу рабочих ЭВМ и вторую группу ЭВМ для хранения программных сессий, а также ЭВМ управления, через которую связаны вторая группа ЭВМ для хранения программных сессий, высокопроизводительные вычислительные ресурсы и разделяемые файловые хранилища, причем в него дополнительно введены гипервизор, система обеспечения безопасности, включающая в себя модуль обнаружения и предотвращения вторжений, модуль межсетевого экранирования и модуль защиты от несанкционированного доступа и система обеспечения отказоустойчивости, включающая в себя модуль обеспечения отказоустойчивости на уровне аппаратных ресурсов, модуль мониторинга сервисных виртуальных машин и модуль обеспечения отказоустойчивости сервисов.
Реферат
Изобретение в общем относится к области облачных вычислительных систем, предназначенных для обработки данных.
Развитие и модернизация ИТ-инфраструктуры (ИТ - информационные технологии) организаций государственного сектора, стратегических промышленных предприятий и компаний, также как и в целом в коммерческом секторе, идет по пути централизации вычислений, строительства высокопроизводительных ЦОД (центров обработки данных) или аренды вычислительных ресурсов и сервисов. Для крупных компаний и организаций это предполагает построение/аренду распределенных вычислительных сред.
Российская стратегия создания национальной программной платформы в качестве одного из ключевых результатов называет обеспечение технологической независимости страны в сфере ИТ, и в качестве одних из ключевых технологий определены: облачные вычисления; средства защиты ОС и приложений в недоверенной среде.
Организации российского госсектора характеризуются особенностью наличия требований по катастрофе- и отказоустойчивости, которые могут удовлетворяться за счет создания территориально распределенных ЦОД с виртуализированной облачной архитектурой.
В организациях госсектора РФ обрабатывается информация с различными классами конфиденциальности. Сейчас часто для каждого класса используются различные, в том числе устаревшие, технологии для построения систем. Это приводит к существенному распылению ресурсов и в итоге не решается основная задача: создание отечественной современной защищенной платформы.
Часто использующийся в российской практике подход, при котором виртуализированную среду представляют как "черный ящик", обрабатывающий информацию одного класса конфиденциальности (пусть и с помощью различных приложений, которые не могут оказывать вред друг другу), предполагает отсутствие внутреннего нарушителя в заданном контуре безопасности. Такой подход за счет упрощения модели угроз безопасности информации (исключение внутренних нарушителей), с одной стороны, позволяет в ряде случаев использовать импортное ПО и оборудование (при условии защиты периметра создаваемой системы, исключению ее взаимодействия с внешним миром).
Однако по сути этот подход приводит к тому, что требования защиты информации реально не выполняются, и при погружении в такую виртуализированную вычислительную среду приложений, обрабатывающих информацию с одним грифом конфиденциальности, но относящуюся к различным приложениям, различным подразделениям организации или различным организациям в принципе, при многопользовательском режиме доступа невозможно гарантировать отсутствие не только несанкционированного доступа, но и целостности информации и сервисов и их доступности.
Поэтому имеет смысл разрабатывать архитектуру, которая была бы принципиально применима для создания ЦОД для обработки информации различных классов защищенности с возможностью последующей сертификации программного комплекса.
Из уровня техники известно построение вычислительных систем в виде кластеров (многомашинных систем), которые представляют собой вычислительный комплекс, состоящий из нескольких компьютеров (узлов), а также программные и аппаратные средства связи компьютеров, которые обеспечивают работу всех компьютеров комплекса как единого целого ([1], с.43).
Кластеры применяют для повышения надежности и производительности вычислительной системы. Надежность повышается за счет того, что при отказе одного из узлов кластера вычислительная нагрузка (или часть ее) переносится на другой узел.
Однако понятие "надежность" является сложным свойством качества, которое зависит от безотказности, ремонтопригодности, сохраняемости свойств и долговечности продукта.
К показателям безотказности относятся вероятность безотказной работы, средняя наработка до первого отказа, наработка на отказ, интенсивность отказов, параметр потока отказов, гарантийная наработка. Безотказность - свойство объекта непрерывно сохранять работоспособное состояние некоторое время или в течение некоторой наработки.
Безотказность свойственна объекту в любом из режимов его эксплуатации. Именно это свойство составляет главный смысл понятия надежности. Причем последствия отказа в большинстве случаев зависят не от самого факта его появления, а от того, насколько быстро может быть восстановлена утраченная объектом работоспособность, т.е. устранен отказ.
Очевидно, что в известном из уровня техники решении не представляется возможным оперативно устранить возникшую неисправность узла кластера, поскольку в данном случае манипуляции производятся с физически независимыми устройствами, что приводит на время ремонта к снижению положительных свойств такой системы (например, вычислительной мощности).
Кроме того, указанное решение имеет большое время реконфигурации, поскольку оно связано с активацией новой копии программного процесса на другом узле.
При этом также возможна потеря части данных, находившихся в оперативной памяти отказавшего узла ([1], с.44), что также является свидетельством низкой надежности такой системы.
Наиболее близким аналогом изобретения является аппаратно-вычислительный комплекс для предоставления доступа к программному обеспечению в концепции облачных вычислений, включающий связанные между собой и соединенные с Интернет группу ЭВМ, группу ЭВМ для хранения программных сессий, файловые хранилища и высокопроизводительные вычислительные ресурсы, при этом аппаратно-вычислительный комплекс дополнительно снабжен ЭВМ учета ресурсов, через которую связаны группа ЭВМ для хранения программных сессий и высокопроизводительные вычислительные ресурсы ([2]).
Указанный комплекс, как следует из описания, обеспечивает достижение технического результата в виде расширения класса программных продуктов, которые могут быть установлены в инфраструктуру хаба (платформы, на которую можно установить программный продукт).
При этом система учета ресурсов (управления), которую предусматривает такой комплекс, обеспечивает ограничение доступа к ресурсам лицам, не прошедшим проверку ([2], с.3, с.41-43).
Однако данный комплекс не имеет средств для обеспечения надежности, а также не позволяет обеспечить защиту информации от тех нарушителей, которые обладают правами и полномочиями на доступ к ресурсам (т.е. внутренних нарушителей).
Указанные выше недостатки решаются изобретением, которое позволяет обеспечить повышенную надежность системы, а также повысить защищенность информации.
Предложен аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений.
Предпочтительная реализация предлагаемого аппаратно-вычислительного комплекса с повышенными надежностью и безопасностью в среде облачных вычислений включает в себя связанные между собой и соединенные посредством сети первую группу рабочих ЭВМ и вторую группу ЭВМ для хранения программных сессий, а также ЭВМ управления, через которую связаны вторая группа ЭВМ для хранения программных сессий, высокопроизводительные вычислительные ресурсы и разделяемые файловые хранилища.
При этом комплекс отличается тем, в него дополнительно введены гипервизор, соединенный сетью со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления; система обеспечения безопасности, включающая в себя модуль обнаружения и предотвращения вторжений (OB), модуль межсетевого экранирования (МЭ) и модуль защиты от несанкционированного доступа (МЗ) и система обеспечения отказоустойчивости, включающая в себя модуль аппаратных ресурсов (MAP), модуль служебных виртуальных машин (МВМ) и модуль сервисов (МС); при этом модуль OB соединен с модулем МЭ, модуль МЭ соединен с модулем МЗ, ЭВМ управления и связан сетью со второй группой ЭВМ для хранения программных сессий, модуль МЗ дополнительно связан с ЭВМ управления; каждый из модулей MAP, МВМ и МС связан с гипервизором, со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления.
Технический результат, достигаемый изобретением, заключается в повышении надежности комплекса и обеспечении быстрого ввода в эксплуатацию утраченных из-за неисправности оборудования ресурсов за счет представленной технологии виртуализации, обеспечиваемой гипервизором, и введения системы обеспечения отказоустойчивости. Кроме того, введение системы обеспечения безопасности с объявленными функциями позволяет обеспечить повышенную информационную защиту в предложенном комплексе.
Указанные выше и другие преимущества изобретения станут ясными специалисту из приведенного ниже подробного описания изобретения.
Необходимо отметить, что изложенные ниже сведения не следует принимать как ограничивающие объем правовой охраны изобретения, определенный формулой, поскольку они приведены лишь в качестве примера осуществления изобретения. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления изобретения, согласующиеся с сущностью и объемом изобретения.
Под сетью в данном случае может пониматься как сеть Интернет, так и другие виды сетей (например, LAN, WLAN и т.п.).
Для преодоления указанных выше недостатков существующих в уровне техники решений в предлагаемый аппаратно-вычислительный комплекс дополнительно вводится система обеспечения безопасности и система обеспечения отказоустойчивости.
Кроме того, в заявленном решении применяется технология виртуализации аппаратных ресурсов, что также позволяет обеспечить повышение надежности комплекса.
Технология виртуализации в данном случае представлена гипервизорной виртуализацией аппаратных ресурсов. В основе гипервизорной виртуализации лежит гипервизор (монитор виртуальных машин). Он выполняет роль посредника между физическими устройствами сервера и их представлением в гостевой операционной системе. Отличается гибкостью и поддержкой практически любых операционные систем в качестве гостевых операционных систем.
Система виртуализации и управления ресурсами позволяет обеспечить выполнение следующих функций.
Обеспечение возможности виртуализации и разделения между отдельными виртуальными машинами следующих типов аппаратных (физических) ресурсов хоста: физические процессоры, оперативная память, ресурсы хранения данных, внешние аппаратные интерфейсы (USB, IEEE 1394, RS-232, FC, SAS, SCSI, IDE, LPT, СОМ). Монопольное предоставление доступа виртуальной машины к конкретному интерфейсу является частным случаем виртуализации. Виртуализация данных интерфейсов осуществляется как выборочно в соответствии с потребностями в данных интерфейсах создаваемых виртуальных машин, так и одновременно.
Обеспечение возможности запуска и выполнения (в режиме разделения ресурсов) в рамках виртуальных машин следующих типов гостевых операционных системам (далее ОС): а) ОС семейства MS Windows, сертифицированные по требованиям безопасности информации, с возможностью использования в автоматизированных системах с классом защищенности не ниже 1Г; б) ОС семейства Linux, сертифицированные по требованиям безопасности информации, с возможностью использования в автоматизированных системах с классом защищенности не ниже 1Г.
Обеспечение возможности дискретного изменения количества выделенных виртуальным машинам ресурсов (квоты процессорного времени, размеров ресурсов дискового хранения, размеров оперативной памяти).
Обеспечение диспетчеризации выполнения виртуальных машин на физических серверах (вторая группа ЭВМ) с учетом приоритетов, назначаемых отдельным виртуальным машинам в момент их запуска.
Обеспечение управления запущенными виртуальными машинами, в том числе: изменение приоритета выполнения, изменение квот выделенных ресурсов, перемещение виртуальных машин между хостами.
Обеспечение мониторинга состояния виртуальных машин (загружена/работает/остановлена, количество назначенных ресурсов).
Поддержание не менее 64 виртуальных процессоров на гостевую ОС с возможностью последующего увеличения до 128.
Поддержание не менее 64 Гб виртуальной оперативной памяти на гостевую ОС с возможностью увеличения до 128 Гб.
Поддержание не менее 2-х виртуальных сетевых интерфейсов на виртуальную машину с возможностью последующего увеличения количества в процессе эксплуатации до 8.
Обеспечение возможности виртуализации физических сетевых интерфейсов между виртуальными системами. Монопольное предоставление сетевых ресурсов выделенному виртуальному серверу является частным случаем виртуализации.
Обеспечение создания снимков состояния виртуальных машин по расписанию.
Обеспечение возможности архивирования снимков состояния виртуальных машин.
Обеспечение увеличения размера дискового пространства для гостевых ОС без перезагрузки/выключения до 10 Тб.
Предлагаемый аппаратно-вычислительный комплекс работает следующим образом.
В составе введенного в комплекс гипервизора входит модуль виртуализации, который предназначен для виртуализации аппаратных ресурсов. Под виртуализацией подразумевают маскировку аппаратных ресурсов, поскольку невозможно разделить физические ресурсы между разными вычислительными машинами.
Процесс виртуализации состоит из эмуляции устройства (аппаратного ресурса), созданием связей между устройством и его эмуляцией, назначением (при необходимости) политик доступа виртуальных машин (ВМ) к виртуализированному ресурсу.
Совокупность ВМ может быть реализована посредством второй группы ЭВМ для хранения программных сессий.
За создание виртуальных устройств отвечает модуль виртуализации, за распределение виртуальных ресурсов - модуль диспетчеризации.
Виртуализация памяти определяется как трансляция адресного пространства физической памяти в виртуальное адресное пространство.
Виртуализация сети определяется как процесс объединения аппаратных и программных сетевых ресурсов в единую виртуальную сеть. Виртуализация сети разделяется на внешнюю, то есть соединяющую несколько аппаратных сетей в одну виртуальную, и внутреннюю, создающую виртуальную сеть между ВМ, выполняющихся на одном хосте.
Виртуализация дисковых устройств (файловых хранилищ) определяется как прозрачное представление системы хранения на уровне блоков, когда логический адрес блока никак не привязан к его реальному, физическому адресу. Виртуализация разделяемых дисковых устройств позволяет объединять физические устройства хранения в виртуальные пулы дисков. Из пулов могут выделяться отдельные виртуальные диски, подключаемые при необходимости к ВМ.
Информацией, используемой при реализации алгоритма создания ВМ, являются: уникальные идентификаторы всех аппаратных ресурсов; сведения о доступности аппаратных ресурсов (ОЗУ, процессоры, хранилище); сведения о создаваемой ВМ (ОЗУ, процессоры, размер виртуального диска, сетевые параметры).
Результатом реализации алгоритма создания ВМ является создание уникального идентификатора ВМ и регистрация параметров ВМ (в ЭВМ управления или в модуле виртуализации).
Информацией, используемой при реализации алгоритма удаления ВМ, являются: уникальный идентификатор удаляемой ВМ; информация о состоянии удаляемой ВМ (запущена/не запущена).
Результатом реализации алгоритма удаления ВМ является остановка ВМ, если она запущена, и удаление метаданных ВМ и образа жесткого диска. При этом должен происходить запрос состояния ВМ, если ВМ запущена, перед удалением ее необходимо корректно завершить и освободить ресурсы.
Миграция ВМ производится в случае необходимости технического обслуживания аппаратного узла, при уплотнении малонагруженных ВМ с целью экономии ресурсов. Информацией, используемой при реализации алгоритма миграции ВМ, являются: уникальный идентификатор переносимой ВМ; метаданные переносимой ВМ; уникальные идентификаторы всех аппаратных ресурсов; сведения о доступности аппаратных ресурсов (ОЗУ, процессоры, хранилище); уникальный идентификатор узла, на который будет произведена миграция.
Результатом реализации алгоритма миграции ВМ является перенос ВМ на другой аппаратный узел.
При холодной миграции происходит остановка ВМ и запуск ее на другом узле. Согласно требованиям по отказоустойчивости все ресурсы пула равнозначны и располагают информацией о всех ВМ и доступом к единому хранилищу, следовательно переноса информации не требуется, необходимо просто дать команду на запуск ВМ модулю управления другого аппаратного узла.
При горячей миграции происходит перенос в фоновом режиме образа оперативной памяти запущенной ВМ на другой аппаратный узел, таким образом остановки ВМ не происходит. Под понятием живая миграция подразумевается процесс переключения контекста исполнения ВМ с одного хоста пула на другой.
Указанные решения позволяют существенно повысить надежность комплекса в смысле обеспечения его отказоустойчивости.
Модуль виртуализации состоит из нескольких компонентов: компонента предоставления аппаратных ресурсов, предназначенного для выделения аппаратных ресурсов, их виртуализации и предоставления для использования виртуальными машинами; компонента управления, предназначенного для управления компонентой предоставления аппаратных ресурсов и предоставления внешнего интерфейса приложений (API) для ЭВМ управления; компонента регистрации событий, предназначенного для регистрации событий в процессе виртуализации и управления.
Указанные компоненты в составе модуля могут быть выполнены в виде агентов, размещенных на машиночитаемом носителе или в памяти, при выполнении которых компьютером обеспечивается реализация описанных функций. Кроме того, такие компоненты могут быть выполнены в виде устройств, размещенных на общей шине данных, функционирующих под управлением соответствующего программного обеспечения.
Модуль диспетчеризации (в составе гипервизора соединенный с модулем виртуализации) предназначен для управления процессами выделения/возврата аппаратных ресурсов для ВМ.
В частности, распределение ресурсов процессора происходит по следующему алгоритму.
Все виртуальные процессоры (vCPU) виртуальных машин выстраиваются в очередь модуля диспетчеризации (например, в его оперативной памяти). Модуль диспетчеризации обрабатывает очередь vCPU, распределяя vCPU между доступными физическими процессорами в соответствии с политиками. Политики распределения описываются параметрами ВМ - параметрами вес и лимит. Значение веса определяет, сколько получит ВМ реального процессорного времени. Например, ВМ с весом 512 получит на хосте в два раза больше процессорного времени физического процессора, чем ВМ со значением веса 256. Значение параметра вес может изменяться в диапазоне от 1 до 65535, по умолчанию равен 256.
Значение лимита может использоваться для того, чтобы указать максимальную величину процессорного времени, которую может получить ВМ даже в случае, если хост-система простаивает. Значение выражается в процентах: 100- это 1 физический процессор, 50 - это половина процессора, 400 - 4 процессора. При этом значение лимита не может быть большим чем VCPU*100, т.е. одному виртуальному процессору не может соответствовать больше чем один реальный процессор.
Ресурсы процессора могут быть выбраны из состава высокопроизводительных вычислительных ресурсов (которые могут представлять собой, например, пул процессоров).
Распределение памяти происходит по следующему алгоритму.
Модуль диспетчеризации выделяет память виртуальной машине в монопольное пользование. Выделение памяти ВМ больше, чем имеется физической памяти, невозможно. Доступная для ВМ память определяется как объем физической памяти хоста, входящего в пул, за минусом объема памяти, необходимой для работы служебных ВМ. Максимальное количество памяти, выделяемой ВМ, определяется параметрами ВМ при запуске ВМ на исполнение. В случае, если объема доступной виртуальной памяти недостаточно для запуска ВМ с указанным объемом памяти, запуск ВМ невозможен.
Ресурсы физической памяти могут быть выбраны из состава второй группы ЭВМ для хранения программных сессий.
Распределение сетевых ресурсов между виртуальными машинами выполняется средствами управления графиком.
Приоритизация обращений ВМ к дисковой подсистеме может выполняться с помощью механизма планировщика CFQ (Completely Fair Queuing) Linux.
Алгоритм распределения дискового пространства между ВМ аналогичен алгоритму распределения памяти.
Модуль диспетчеризации состоит из нескольких компонентов: компонента выделения/возврата аппаратных ресурсов, предназначенного для управления процессами выделения/возврата аппаратных ресурсов для виртуальных машин и управляющими структурами, контролирующими распределение оперативной памяти между процессами комплекса и виртуальными машинами; компонента управления, предназначенного для управления программной компонентой выделения/возврата аппаратных ресурсов и предоставления внешнего API для ЭВМ управления; компонента регистрации событий, предназначенного для регистрации событий в процессе диспетчеризации и управления.
Указанные компоненты в составе модуля могут быть выполнены в виде агентов, размещенных на машиночитаемом носителе или в памяти, при выполнении которых компьютером обеспечивается реализация описанных функций. Кроме того, такие компоненты могут быть выполнены в виде устройств, размещенных на общей шине данных, функционирующих под управлением соответствующего программного обеспечения.
ЭВМ управления обеспечивает ведение мониторинга и учета выделенных и потребленных отдельными виртуальными машинами ресурсов и обменивается полученной информацией с модулем виртуализации, модулем диспетчеризации и средством управления графиком.
Модули виртуализации, диспетчеризации и средства управления графиком могут быть выполнены в виде аппаратно-программного комплекса на базе существующих ЭВМ под управлением соответствующего программного обеспечения.
Компоненты модулей, указанные ниже в описании, могут быть выполнены аналогично тому, как описано выше выполнение компонентов модулей виртуализации и диспетчеризации.
В состав системы обеспечения безопасности входят модуль обнаружения и предотвращения вторжений, модуль межсетевого экранирования и модуль защиты от несанкционированного доступа.
Модуль обнаружения и предотвращения вторжений (OB) предназначен для обнаружения и блокирования преднамеренного несанкционированного доступа или воздействий на информацию со стороны внешних относительно комплекса и внутренних нарушителей, обладающих правами и полномочиями на доступ к ресурсам.
Модуль OB обеспечен служебной ВМ системы обеспечения безопасности за модулем межсетевого экрана (МЭ).
Модуль OB, состоящий из нескольких компонентов, работает следующим образом: компонент перехвата сетевых пакетов на уровне сетевого драйвера перехватывает из сетевого драйвера устройства сетевые пакеты для передачи их в компонент обработки сетевых пакетов.
Компонент обработки сетевых пакетов в соответствии с заданными правилами анализа обрабатывает полученные сетевые пакеты в соответствии с заданными правилами обработки пакетов.
Компонент анализа данных на наличие сигнатур возможных атак проводит анализ проходящих сетевых пакетов на предмет наличия в их структуре сигнатур возможных сетевых атак, причем компонент хранения базы сигнатур возможных сетевых атак хранит актуальные базы сигнатур возможных сетевых атак.
Компонент обновления базы сигнатур возможных атак предназначен для обновления баз возможных сетевых атак с указанных сетевых ресурсов или локально путем указания ему файла с базой сигнатур возможных сетевых атак.
Компонент резервного копирования предназначен для проведения резервного копирования конфигурационных файлов и компонентов модуля обнаружения и предотвращения вторжений, а также предоставления внешнего API для ЭВМ управления.
Компонент идентификации и аутентификации предназначен для идентификации и аутентификации для проведения конфигурирования и управляющих воздействий.
Компонент контроля целостности предназначен для проведения контроля целостности компонентов, входящих в модуль обнаружения и предотвращения вторжений, а также предоставления внешнего API для ЭВМ управления.
Компонент регистрации событий предназначен для регистрации событий процесса функционирования программного модуля обнаружения и предотвращения вторжений.
Компонент управления предназначен для управления функционированием компонентов модуля обнаружения и предотвращения вторжений и предоставления внешнего API для ЭВМ управления.
Компонент перехвата сетевых пакетов использует технологию высокоскоростного захвата пакетов PF_RING, затем перенаправляя трафик компоненту обработки сетевых пакетов и далее - компоненту анализа, функционирующего в многопоточном (многопроцессном) режиме.
Компонент перехвата сетевых пакетов осуществляет следующие операции:
1) Обнаружение фрагментированных пакетов, которые могут использоваться в методах обхода СОВ (системы обнаружения вторжений);
2) Осуществляет обнаружение флагов {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;
3) Осуществляет обнаружение множественных попыток ошибочной авторизации;
4) Осуществляет обнаружение множества ложных запросов к объектам комплекса;
5) Осуществляет обнаружение пакетов, не соответствующих техническим спецификациям RFC;
6) Осуществляет обнаружение активности известных троянских программ;
7) Осуществляет обнаружение вредоносного программного обеспечения и пакетов с распознанными сигнатурами.
Компонент обработки сетевых пакетов осуществляет следующие операции:
1) Обрабатывает фрагментированные пакеты, которые могут использоваться в методах обхода СОВ;
2) Обрабатывает флаги {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;
3) Обрабатывает множественные попытки ошибочной авторизации;
4) Обрабатывает множество ложных запросов к объектам комплекса;
5) Обрабатывает пакеты, не соответствующие техническим спецификациям RFC;
6) Обрабатывает проявления активности известных троянских программ;
7) Обрабатывает факт обнаружения вредоносного программного обеспечения и пакетов с распознанными сигнатурами.
Компонент анализа данных осуществляет следующие операции:
1) Анализирует и принимает решение в отношении фрагментированных пакетов, которые могут использоваться в методах обхода СОВ;
2) Анализирует состояние флагов {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;
3) Анализирует множественные попытки ошибочной авторизации;
4) Анализирует содержимое множества ложных запросов к объектам ПКВ;
5) Анализирует и принимает решение в отношении пакетов, не соответствующих техническим спецификациям RFC;
6) Анализирует и принимает решение в отношении случаев обнаружения активности известных троянских программ;
7) Анализирует и принимает решение в случае обнаружения вредоносного программного обеспечения и пакетов с распознанными сигнатурами.
Компонент хранения базы сигнатур возможных сетевых атак реализует функцию хранения в виде файлов (дерева файлов и папок) либо в СУБД данных о сигнатурах атак.
Компонент обновления базы сигнатур возможных атак реализует функцию обеспечения получения (обмена) актуальных данных о сигнатурах возможных атак.
Компонент резервного копирования осуществляет операцию обеспечения проведения резервного копирования конфигурационных файлов и компонентов модуля обнаружения и предотвращения вторжений, а также предоставляет внешний API для ЭВМ управления.
Компонент контроля целостности осуществляет функцию обеспечения проведения контроля целостности компонентов, входящих в модуль обнаружения и предотвращения вторжений по контрольным суммам, а также предоставляет внешний API для ЭВМ управления.
Компонент регистрации событий осуществляет функцию уведомления о зафиксированных событиях нарушений безопасности, сохраняет их в формате unified2 и пересылает в едином формате обмена сообщениями согласно спецификации IDMEF (RFC4567) в систему оповещения (регистрации) и обмена данными.
Компонент управления осуществляет функцию управления функционированием компонентов модуля обнаружения и предотвращения вторжений и предоставления внешнего API для ЭВМ управления.
Модуль OB функционирует с использованием единого унифицированного протокола обмена данными с МЭ, отправляя последнему управляющие сигналы в случае необходимости блокирования вредоносной активности в соответствии с данными базы решающих правил. СОВ разрабатывается с учетом требований Методического документа ФСТЭК России «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты».
Программный модуль межсетевого экранирования (МЭ) предназначен для защиты сетевого взаимодействия между виртуальными машинами и средой передачи данных.
Модуль МЭ разрабатывается с целью использования в составе комплекса для решения задач защиты сетевого взаимодействия между виртуальными машинами и средой передачи данных.
Модуль разрабатывается с учетом требований руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» п.2.4 «Требования к третьему классу защищенности МЭ». И, таким образом, обеспечивает:
1) фильтрацию на транспортном уровне запросов на установление виртуальных соединений;
2) фильтрацию на прикладном уровне запросов к прикладным сервисам;
3) возможность обработки поля QOS (качество обслуживания) заголовка сетевого пакета;
4) при удаленных запросах администратора МЭ на доступ идентификация и аутентификация будет обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Модуль МЭ состоит из следующих компонентов:
1) компонент перехвата сетевых пакетов на уровне сетевых интерфейсов;
2) компонент обработки пакетов в соответствии с правилами фильтрации;
3) компонент трансляции сетевых адресов;
4) компонент идентификации и аутентификации;
5) компонент резервного копирования;
6) компонент контроля целостности;
7) компонент регистрации событий;
8) компонент управления.
Модуль МЭ решает две основные задачи:
1) фильтрация сетевого графика в соответствии с правилами фильтрации;
2) трансляция сетевых адресов (функции NAT).
В рамках комплекса модуль МЭ выполняется на служебных виртуальных машинах системы управления безопасностью.
Любой трафик комплекса как внешний, так и внутренний (между виртуальными машинами) перехватывается модулем МЭ. После перехвата заголовок пакета анализируется в соответствии с заданными правилам фильтрации. В соответствии с резолюцией над сетевым пакетом выполняются требуемые действия. Возможные виды резолюций:
1) пропустить пакет;
2) блокировать (удалить) пакет;
3) передать пакет на анализ внешней программе.
Правила фильтрации сетевых пакетов имеют два уровня приоритета:
1) 1 приоритет - правила, заданные администратором обеспечения безопасности информации (ОБИ) комплекса;
2) 2 приоритет - правила, заданные администратором потребителя.
В случае конфликтов между правилами 1-го и 2-го уровней приоритета модуль МЭ отдает предпочтение фильтрации сетевых пакетов с уровнем приоритета 1, т.е. заданных администратором ОБИ комплекса. Конфликтом правил признается наличие явно заданных и противоположных по резолюции правил фильтрации сетевых пакетов. В случае, если правило фильтрации на каком-либо уровне приоритета не было задано явно (т.е. фильтрация выполняется в соответствии с правилом по умолчанию), конфликта не происходит и модуль МЭ отдает предпочтение правилу фильтрации, заданному явно. В случае конфликта, когда одно из правил фильтрации предусматривает передачу сетевого пакета во внешнюю программу для анализа, вне зависимости от уровня приоритета конфликтующих правил модуль МЭ действует согласно следующей политике:
1) Если второе правило блокирующее - выполняется блокировка пакета;
2) Если второе правило разрешающее - выполняется передача сетевого пакета во внешнюю программу для анализа.
Правила фильтрации сетевых пакетов могут быть индивидуальными для каждой сети, существующей в рамках комплекса.
После перехвата транзитных сетевых пакетов модуль МЭ проводит преобразования их IP-адресов в соответствии с заданными правилами маршрутизации. Правила маршрутизации задаются Администратором ОБИ ПКВ. Модулем МЭ будут поддерживаться следующие виды трансляции сетевых адресов: статическая (SNAT), динамическая (DNAT) и маскарадная (PAT).
Модуль МЭ взаимодействует со следующими компонентами и модулями комплекса.
С модулем OB. Модуль МЭ в соответствии с правилами фильтрации сетевых адресов может передавать сетевые пакеты в модуль OB для анализа и получения ответа.
С ЭВМ управления. Модуль МЭ предоставляет программный интерфейс ЭВМ управления для централизованного решения следующих задач:
а) идентификации и аутентификация для предоставления пользователю прав доступа (изменение параметров и конфигурирование МЭ) в соответствии с его категорией (ролью).
б) Конфигурирование МЭ и изменение его параметров, в т.ч.:
- правила фильтрации сетевых пакетов;
- правила трансляции сетевых адресов пакетов;
- параметры резервного копирования;
- параметры регистрации событий.
С модулем защиты от несанкционированного доступа (МЗ). Модуль МЭ взаимодействует с модулем МЗ в части контроля содержимого сетевых пакетов в соответствии с правилами и политикой разграничения доступа.
Назначением модуля защиты от несанкционированного доступа (МЗ) является:
1) Защита от несанкционированного доступа;
2) Разграничение прав доступа к виртуальным машинам. Состав модуля МЗ:
1) компонент реализации правил разграничения доступа;
2) компонент контроля целостности;
3) компонент идентификации и аутентификации;
4) компонент регистрации событий;
5) компонент резервного копирования;
6) компонент управления.
Компонент реализации правил разграничения доступа предназначен для реализации правил разграничения доступа к объектам файловой системы комплекса и виртуальным машинам.
В указанном модуле обеспечена регистрации системных событий, а именно:
1) Создание/удаление виртуальных машин;
2) Запуск/останов виртуальных машин;
3) Перемещения виртуальных машин между хостами;
4) Модификация параметров виртуальных машин;
5) События, связанные с резервным копированием;
6) События, связанные с функционированием аппаратных средств хостов;
7) События информационной безопасности.
Взаимодействие клиента с комплексом осуществляется через защищаемый канал связи. Защита канала связи осуществляется путем создания тоннеля поверх общего канала связи с одновременным присвоением клиенту метки безопасности (мандатной метки), по которой определяется полномочия на подключение пользователя к защищаемой инфраструктуре потребителя, развернутой средствами комплекса.
Перед доступом к комплексу осуществляется проверка предъявленной пользователем метки безопасности, на основании которой принимается решение о допуске пользователя к системе управления. Метка безопасности, предъявляемая пользователем, может содержать дополнительные по отношению к роли пользователя, сведения, определяющие уровни и категории доступа к инфраструктуре потребителя.
Взаимодействие модуля МЗ с клиентом при использовании механизмов защиты можно описать с помощью следующего алгоритма.
Модуль МЗ находится в режиме ожидания входящих соединений от клиента. При поступлении запроса от клиента у него запрашивается метка безопасности.
Предоставленная метка безопасности проверяется на валиднос