ГОСТ Р 56938-2016. Национальный стандарт Российской Федерации. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
6.2. Защита виртуальных вычислительных систем
Мерами защиты виртуальных вычислительных систем являются:
- блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;
- защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;
- защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;
- идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;
- контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора;
- контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы;
- контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ;
- контроль доступа субъектов доступа к средствам конфигурирования хостовой и/или гостевых операционных систем;
- контроль доступа субъектов доступа к файлам-образам виртуализованного ПО и ВМ, а также файлам-образам, используемым для обеспечения работы виртуальных файловых систем;
- контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности объектов защиты (режима запуска, типа используемого носителя и т.д.);
- контроль запуска хостовой и/или гостевых операционных систем на основе заданных критериев обеспечения безопасности объектов защиты (режима запуска, типа используемого носителя и т.д.);
- контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ;
- контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем;
- контроль целостности файлов, содержащих настройки виртуализованного ПО и ВМ;
- контроль целостности файлов-образов виртуализованного ПО и ВМ, а также файлов-образов, используемых для обеспечения работы виртуальных файловых систем;
- предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом;
- проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения;
- проверка наличия вредоносных программ в файлах конфигурации гипервизора и/или ВМ;
- проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах;
- проверка наличия вредоносных программ в файлах-образах виртуализованного ПО и ВМ, а также файлах-образах, используемых для обеспечения работы виртуальных файловых систем;
- проверка оперативной памяти и файловой системы гипервизора и/или ВМ на наличие вредоносных программ;
- проверка оперативной памяти и файловой системы хостовой и/или гостевых операционных систем на наличие вредоносных программ;
- размещение сенсоров и/или датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении;
- размещение сенсоров и/или датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и/или ВМ;
- размещение сенсоров и/или датчиков систем обнаружения (предотвращения) вторжений в хостовой и/или гостевых операционных системах;
- регистрация входа (выхода) субъектов доступа в/из гипервизор(а) и/или ВМ;
- регистрация входа (выхода) субъектов доступа в/из хостовой и/или гостевых операционных системах (систем);
- регистрация запуска (завершения работы) гипервизора и/или ВМ, программ и процессов в гипервизоре и/или ВМ;
- регистрация запуска (завершения работы) хостовой и/или гостевых операционных систем, программ и процессов в хостовой и/или гостевых операционных системах;
- регистрация изменений прав доступа к файлам-образам виртуализованного ПО и ВМ, а также файлам-образам, используемым для обеспечения работы виртуальных файловых систем;
- регистрация изменений правил доступа к виртуальному аппаратному обеспечению;
- регистрация изменений состава и конфигурации ВМ;
- регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и/или ВМ;
- регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и/или гостевых операционных системах;
- регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в гипервизоре и/или ВМ;
- регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в хостовой и/или гостевых операционных системах;
- резервное копирование защищаемой информации в гипервизоре и/или ВМ, хранимой на физических и/или виртуальных носителях информации;
- резервное копирование защищаемой информации в хостовой и/или гостевых операционных системах, хранимой на физических и/или виртуальных носителях информации;
- резервное копирование файлов-образов виртуализованного ПО и ВМ, а также файлов-образов, используемых для обеспечения работы виртуальных файловых систем;
- резервное копирование физического и/или виртуального дискового пространства, используемого для хранения журналов событий гипервизора и/или ВМ;
- создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;
- стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и/или ВМ;
- стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и/или гостевых операционных системах;
- стирание остаточной информации, образующейся после удаления файлов-образов ВМ, в которых обрабатывалась информация ограниченного доступа;
- установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и/или его компонентов;
- фильтрация сетевого трафика от/к каждой гостевой операционной системы(е);
- шифрование файлов-образов виртуализованного ПО и ВМ, а также файлов-образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа.
Подписаться на обновления