Из ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения

ГОСТ Р 56938–2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения. Information protection. Information security with virtualization technology. General. УДК 004.056:004.358:004.94:006.354 ОКС 35.020. Редакция от 12.12.2023.

5.5 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938-2016

Данные угрозы появляются в связи с наличием у создаваемых ВМ сетевых адресов и возможностью осуществления ими сетевого взаимодействия с другими субъектами как с помощью стандартных сетевых технологий, так и с помощью сетевых технологий виртуализации [из 5.5 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938–2016]

    5.6 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938-2016

    Данные угрозы появляются в связи с наличием у создаваемых ВМ сетевых адресов и возможностью осуществления ими сетевого взаимодействия с другими субъектами как с помощью стандартных сетевых технологий, так и с помощью сетевых технологий виртуализации [из 5.6 Угрозы атаки на защищаемые виртуальные машины из виртуальной и (или) физической сети ГОСТ Р 56938–2016]

      5.7 Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети ГОСТ Р 56938-2016

      Угрозы данного типа реализуются за счет слабостей применяемых технологий распределения информации по различным виртуальным устройствам хранения данных и (или) виртуальным дискам, а также слабостей технологии единого виртуального дискового пространства. Указанные слабости связаны со сложностью алгоритмов обеспечения согласованности при реализации процессов распределения информации в рамках единого виртуального дискового пространства, а также взаимодействия с виртуальными и физическими каналами передачи данных для обеспечения работы в рамках одного дискового пространства [из 5.7 Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети ГОСТ Р 56938–2016]

        5.8 Угрозы выхода процесса за пределы виртуальной машины ГОСТ Р 56938-2016

        Данные угрозы связаны с наличием слабостей ПО гипервизора, реализующего функцию изолированной программной среды для функционирующих в ней программ. В случае запуска вредоносной программой собственного гипервизора, функционирующего по уровню логического взаимодействия ниже компрометируемого гипервизора, последний, как и запущенные в нем средства защиты, не способен выполнять функции безопасности в отношении программ, функционирующих в собственном гипервизоре [из 5.8 Угрозы выхода процесса за пределы виртуальной машины ГОСТ Р 56938–2016]

          5.9 Угрозы несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение ГОСТ Р 56938-2016

          Данные угрозы связаны с наличием слабостей ПО гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения программного кода не только защищаемой информации и обрабатывающих ее программ, но и программного кода, реализующего виртуальное аппаратное обеспечение (виртуальные устройства обработки, хранения и передачи данных), от НСД со стороны вредоносной программы, функционирующей внутри ВМ. В случае осуществления НСД со стороны вредоносной программы, функционирующей внутри ВМ, к данным, хранящимся за пределами зарезервированного под пользовательские данные адресного пространства данной ВМ, вредоносная программа может не только нарушать целостность программного кода своей и (или) других ВМ, функционирующих под управлением того же гипервизора, но и изменять параметры его (их) настройки [из 5.9 Угрозы несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение ГОСТ Р 56938–2016]

            6 Особенности защиты информации при использовании технологий виртуализации ГОСТ Р 56938-2016

            Защита информации, обрабатываемой в информационной системе (ИС), построенных с использованием технологий виртуализации, обеспечивается выполнением требований к мерам ЗИ (типовая структура такой системы представлена в приложении Б). В целом меры ЗИ аналогичны мерам, применяемым в ИС, не использующих технологию виртуализации. Далее приведены специфические меры ЗИ, дополнительно применяемые при использовании технологий виртуализации.

            Меры ЗИ разделены на несколько групп в зависимости от объекта защиты.

            В связи с тем, что защищенность информации определяется требованиями, варьируемыми по уровню и глубине в зависимости от класса защищенности ИС, построенных, в том числе с помощью технологий виртуализации, в настоящем стандарте для каждого объекта защиты приводится набор мер ЗИ, соответствующий высшему классу защищенности от НСД.

            Меры ЗИ следует выбирать с учетом угроз безопасности, особенностей использования объектов защиты и действующего законодательства в области ЗИ. Сводные данные об угрозах и мерах ЗИ, обрабатываемой с помощью технологий виртуализации, приведены в приложении В [из 6 Особенности защиты информации при использовании технологий виртуализации ГОСТ Р 56938–2016]

              6.1 Защита средств создания и управления виртуальной инфраструктурой ГОСТ Р 56938-2016

              Мерами защиты средств создания и управления виртуальной инфраструктурой являются:

              • автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора;
              • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, непрошедших процедуру аутентификации;
              • выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов;
              • защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
              • защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
              • идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
              • идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к консолям управления параметрами аппаратного обеспечения;
              • контроль ввода (вывода) информации в (из) виртуальную(ой) инфраструктуру(ы);
              • контроль ввода (вывода) информации в (из) ИС;
              • контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора;
              • контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы;
              • контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения;
              • контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ;
              • контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем;
              • контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности объектов защиты (режим запуска, тип используемого носителя и т. д.);
              • контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности объектов защиты (режим запуска, тип используемого носителя и т. д.);
              • контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.;
              • контроль работоспособности дублирующих ключевых компонентов аппаратного обеспечения ИС;
              • контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры;
              • контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ;
              • контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем;
              • контроль целостности микропрограммного обеспечения аппаратной части ИС;
              • мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения;
              • обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровне виртуализации и оборудования;
              • обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы;
              • обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;
              • отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы;
              • предотвращение задержки или прерывания выполнения в виртуальной инфраструктуре процессов с высоким приоритетом со стороны процессов с низким приоритетом;
              • предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом;
              • применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры;
              • проверка наличия вредоносных программ в загрузочных областях машинных носителей информации, подключенных к ИС;
              • проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения;
              • проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ;
              • проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах;
              • проверка наличия вредоносных программ в файлах–образах виртуализованного ПО и ВМ, а также файлах–образах, используемых для обеспечения работы виртуальных файловых систем;
              • проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ;
              • проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ;
              • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении;
              • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ;
              • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах;
              • регистрации и учет запуска (завершения) работы компонентов виртуальной инфраструктуры;
              • регистрация входа (выхода) субъектов доступа в (из) гипервизор(а) и (или) ВМ;
              • регистрация входа (выхода) субъектов доступа в (из) хостовую(ой) и (или) гостевых операционных систем;
              • регистрация запуска (завершения работы) гипервизора и (или) ВМ, программ и процессов в гипервизоре и (или) ВМ;
              • регистрация запуска (завершения работы) хостовой и (или) гостевых операционных систем, программ и процессов в хостовой и (или) гостевых операционных системах;
              • регистрация и учет изменений в составе программной и аппаратной части ИС во время ее функционирования и (или) в период ее аппаратного отключения;
              • регистрация изменений правил доступа к виртуальному аппаратному обеспечению;
              • регистрация изменений состава и конфигурации виртуального аппаратного обеспечения;
              • регистрация изменений состава и конфигурации ВМ;
              • регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и (или) ВМ;
              • регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и (или) гостевых операционных системах;
              • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в гипервизоре и (или) ВМ;
              • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в хостовой и (или) гостевых операционных системах;
              • резервирование пропускной способности канала связи для обеспечения стабильного взаимодействия между компонентами виртуальной инфраструктуры внутри гипервизора;
              • резервное копирование защищаемой информации в гипервизоре и (или) ВМ, хранимой на физических и (или) виртуальных носителях информации;
              • резервное копирование защищаемой информации в хостовой и (или) гостевых операционных системах, хранимой на физических и (или) виртуальных носителях информации;
              • резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ;
              • своевременное обнаружение отказов компонентов виртуальной инфраструктуры;
              • создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
              • стирание остаточной информации, образующейся после удаления данных, обрабатываемых в виртуальной инфраструктуре, содержащих информацию ограниченного доступа;
              • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ;
              • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах;
              • стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуализованного ПО и виртуального аппаратного обеспечения;
              • управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации;
              • управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО;
              • управление установкой (инсталляцией) компонентов ПО, входящего в состав виртуальной инфраструктуры, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО;
              • установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов;
              • фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования;
              • фильтрация сетевого трафика от (к) каждой гостевой операционной системы(е).

              [из 6.1 Защита средств создания и управления виртуальной инфраструктурой ГОСТ Р 56938–2016]

                6.2 Защита виртуальных вычислительных систем ГОСТ Р 56938-2016

                Мерами защиты виртуальных вычислительных систем являются:

                • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;
                • защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
                • защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
                • идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
                • контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора;
                • контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы;
                • контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ;
                • контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем;
                • контроль доступа субъектов доступа к файлам–образам виртуализованного ПО и ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем;
                • контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности объектов защиты (режима запуска, типа используемого носителя и т. д.);
                • контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности объектов защиты (режима запуска, типа используемого носителя и т. д.);
                • контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ;
                • контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем;
                • контроль целостности файлов, содержащих настройки виртуализованного ПО и ВМ;
                • контроль целостности файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем;
                • предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом;
                • проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения;
                • проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ;
                • проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах;
                • проверка наличия вредоносных программ в файлах–образах виртуализованного ПО и ВМ, а также файлах–образах, используемых для обеспечения работы виртуальных файловых систем;
                • проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ;
                • проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ;
                • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении;
                • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ;
                • размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах;
                • регистрация входа (выхода) субъектов доступа в (из) гипервизор(а) и (или) ВМ;
                • регистрация входа (выхода) субъектов доступа в (из) хостовой и (или) гостевых операционных системах (систем);
                • регистрация запуска (завершения работы) гипервизора и (или) ВМ, программ и процессов в гипервизоре и (или) ВМ;
                • регистрация запуска (завершения работы) хостовой и (или) гостевых операционных систем, программ и процессов в хостовой и (или) гостевых операционных системах;
                • регистрация изменений прав доступа к файлам–образам виртуализованного ПО и ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем;
                • регистрация изменений правил доступа к виртуальному аппаратному обеспечению;
                • регистрация изменений состава и конфигурации ВМ;
                • регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и (или) ВМ;
                • регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и (или) гостевых операционных системах;
                • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в гипервизоре и (или) ВМ;
                • регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в хостовой и (или) гостевых операционных системах;
                • резервное копирование защищаемой информации в гипервизоре и (или) ВМ, хранимой на физических и (или) виртуальных носителях информации;
                • резервное копирование защищаемой информации в хостовой и (или) гостевых операционных системах, хранимой на физических и (или) виртуальных носителях информации;
                • резервное копирование файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем;
                • резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ;
                • создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
                • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ;
                • стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах;
                • стирание остаточной информации, образующейся после удаления файлов–образов ВМ, в которых обрабатывалась информация ограниченного доступа;
                • установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов;
                • фильтрация сетевого трафика от/к каждой гостевой операционной системы(е);
                • шифрование файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа.

                [из 6.2 Защита виртуальных вычислительных систем ГОСТ Р 56938–2016]

                  6.3 Защита виртуальных систем хранения данных ГОСТ Р 56938-2016

                  Мерами защиты виртуальных систем хранения данных являются:

                  • автоматическое восстановление работоспособности системы хранения данных, подключенной к виртуальной инфраструктуре, в случае отказа одного или нескольких ее компонентов;
                  • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;
                  • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;
                  • защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
                  • защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
                  • идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
                  • контроль ввода (вывода) информации в (из) систему(ы) хранения данных, входящей в состав виртуальной инфраструктуры;
                  • контроль доступа субъектов доступа к средствам конфигурирования системы хранения данных, входящей в состав виртуальной инфраструктуры;
                  • контроль доступа субъектов доступа к файлам–образам виртуализованного ПО и ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем;
                  • контроль работоспособности (изношенности) машинных носителей информации, подключенных к виртуальной инфраструктуре, переход на дублирующие при необходимости;
                  • контроль целостности данных, хранимых на машинных носителях информации, подключенных к виртуальной инфраструктуре;
                  • контроль целостности файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем;
                  • обеспечение доверенных (защищенных) канала, маршрута передачи данных в (из) систему(ы) хранения данных, входящую(ей) в состав виртуальной инфраструктуры;
                  • обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;
                  • проверка наличия вредоносных программ в операционной среде гипервизора системы хранения данных;
                  • проверка наличия вредоносных программ в файлах–образах виртуализованного ПО и ВМ, а также файлах–образах, используемых для обеспечения работы виртуальных файловых систем;
                  • разделение данных в зависимости от уровня конфиденциальности обрабатываемой информации между компонентами системы хранения данных, отдельными машинными носителями информации, входящими в состав виртуальной инфраструктуры, логическими дисками или между папками файлов;
                  • размещение системы хранения данных в защищенном сегменте информационной системы;
                  • регистрация изменений прав доступа к информации, хранящейся в системе хранения данных, входящей в состав виртуальной инфраструктуры;
                  • регистрация изменений прав доступа к файлам–образам виртуализованного ПО и ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем;
                  • регистрация изменений правил доступа к виртуальному и физическому аппаратному обеспечению системы хранения данных;
                  • регистрация изменений состава и конфигурации виртуального и физического аппаратного обеспечения системы хранения данных;
                  • резервное копирование файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем;
                  • создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
                  • управление доступом к аппаратному обеспечению системы хранения данных, контроль подключения (отключения) машинных носителей информации к (от) виртуальной инфраструктуре(ы);
                  • шифрование файлов–образов виртуализованного ПО и ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа.

                  [из 6.3 Защита виртуальных систем хранения данных ГОСТ Р 56938–2016]

                    6.4 Защита виртуальных каналов передачи данных ГОСТ Р 56938-2016

                    Мерами защиты виртуальных каналов передачи данных являются:

                    • автоматическое восстановление работоспособности системы хранения данных, подключенной к виртуальной инфраструктуре, в случае отказа одного или нескольких ее компонентов;
                    • автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора;
                    • блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;
                    • выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов;
                    • защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
                    • защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
                    • идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
                    • контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.;
                    • мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения;
                    • обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы;
                    • обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;
                    • отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы;
                    • передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией ограниченного доступа, обрабатываемой в виртуальной инфраструктуре, при обмене информацией с иными ИС;
                    • резервирование пропускной способности канала связи для обеспечения стабильного взаимодействия между компонентами виртуальной инфраструктуры внутри гипервизора;
                    • создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
                    • фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования;
                    • фильтрация сетевого трафика от (к) каждой гостевой операционной системы(е);
                    • шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи гипервизора;
                    • шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи хостовой операционной системы.

                    [из 6.4 Защита виртуальных каналов передачи данных ГОСТ Р 56938–2016]

                      Страницы

                      Подписка на Из ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения