6.1 Защита средств создания и управления виртуальной инфраструктурой ГОСТ Р 56938-2016

Мерами защиты средств создания и управления виртуальной инфраструктурой являются:

  • автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора;
  • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, непрошедших процедуру аутентификации;
  • выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов;
  • защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
  • защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
  • идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
  • идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к консолям управления параметрами аппаратного обеспечения;
  • контроль ввода (вывода) информации в (из) виртуальную(ой) инфраструктуру(ы);
  • контроль ввода (вывода) информации в (из) ИС;
  • контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора;
  • контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы;
  • контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения;
  • контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ;
  • контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем;
  • контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности объектов защиты (режим запуска, тип используемого носителя и т. д.);
  • контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности объектов защиты (режим запуска, тип используемого носителя и т. д.);
  • контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.;
  • контроль работоспособности дублирующих ключевых компонентов аппаратного обеспечения ИС;
  • контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры;
  • контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ;
  • контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем;
  • контроль целостности микропрограммного обеспечения аппаратной части ИС;
  • мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения;
  • обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровне виртуализации и оборудования;
  • обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы;
  • обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;
  • отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы;
  • предотвращение задержки или прерывания выполнения в виртуальной инфраструктуре процессов с высоким приоритетом со стороны процессов с низким приоритетом;
  • предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом;
  • применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры;
  • проверка наличия вредоносных программ в загрузочных областях машинных носителей информации, подключенных к ИС;
  • проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения;
  • проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ;
  • проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах;
  • проверка наличия вредоносных программ в файлах–образах виртуализованного ПО и ВМ, а также файлах–образах, используемых для обеспечения работы виртуальных файловых систем;
  • проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ;
  • проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ;
  • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении;
  • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ;
  • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах;
  • регистрации и учет запуска (завершения) работы компонентов виртуальной инфраструктуры;
  • регистрация входа (выхода) субъектов доступа в (из) гипервизор(а) и (или) ВМ;
  • регистрация входа (выхода) субъектов доступа в (из) хостовую(ой) и (или) гостевых операционных систем;
  • регистрация запуска (завершения работы) гипервизора и (или) ВМ, программ и процессов в гипервизоре и (или) ВМ;
  • регистрация запуска (завершения работы) хостовой и (или) гостевых операционных систем, программ и процессов в хостовой и (или) гостевых операционных системах;
  • регистрация и учет изменений в составе программной и аппаратной части ИС во время ее функционирования и (или) в период ее аппаратного отключения;
  • регистрация изменений правил доступа к виртуальному аппаратному обеспечению;
  • регистрация изменений состава и конфигурации виртуального аппаратного обеспечения;
  • регистрация изменений состава и конфигурации ВМ;
  • регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и (или) ВМ;
  • регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и (или) гостевых операционных системах;
  • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в гипервизоре и (или) ВМ;
  • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в хостовой и (или) гостевых операционных системах;
  • резервирование пропускной способности канала связи для обеспечения стабильного взаимодействия между компонентами виртуальной инфраструктуры внутри гипервизора;
  • резервное копирование защищаемой информации в гипервизоре и (или) ВМ, хранимой на физических и (или) виртуальных носителях информации;
  • резервное копирование защищаемой информации в хостовой и (или) гостевых операционных системах, хранимой на физических и (или) виртуальных носителях информации;
  • резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ;
  • своевременное обнаружение отказов компонентов виртуальной инфраструктуры;
  • создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
  • стирание остаточной информации, образующейся после удаления данных, обрабатываемых в виртуальной инфраструктуре, содержащих информацию ограниченного доступа;
  • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ;
  • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах;
  • стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуализованного ПО и виртуального аппаратного обеспечения;
  • управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации;
  • управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО;
  • управление установкой (инсталляцией) компонентов ПО, входящего в состав виртуальной инфраструктуры, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО;
  • установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов;
  • фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования;
  • фильтрация сетевого трафика от (к) каждой гостевой операционной системы(е).

[из 6.1 Защита средств создания и управления виртуальной инфраструктурой ГОСТ Р 56938–2016]