Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ПО Xen
Примечание |
---|
Рекомендуется отказаться от использования ПО Xen в пользу системы виртуализации, реализованной в Astra Linux. Astra Linux разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре, которые обеспечивают выполнение следующих функций безопасности:
Создание и защита среды виртуализации обеспечиваются следующими встроенными средствами Astra Linux, интегрированными Внимание! В целях создания и защиты среды виртуализации рекомендуется использовать встроенные средства Astra Linux, входящие в состав основного репозитория и интегрированные с подсистемой безопасности PARSEC: модулем
Astra Linux разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре, которые обеспечивают реализацию мер защиты среды виртуализации. |
В случае необходимости применения в информационной системе программного обеспечения Xen необходимо учитывать следующее:
- Xen не входит в состав основного репозитория Astra Linuх и является внешним по отношению к Astra Linux средством виртуализации;
- Xen не реализует сертифицированные функции по безопасности информации к средствам виртуализации;
- Xen не интегрировано с средствами защиты информации Astra Linux и не обеспечивает реализацию мер по защите среды виртуализации.
В целях минимизации возможности реализации потенциальных угроз безопасности путем эксплуатации уязвимостей программного обеспечения XenПри использовании ПО Xen для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется:
- применять следующие механизмы и средства подсистемы безопасности PARSEC:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
- замкнутая программная среда (ЗПС);
- регламентный контроль целостности Another File Integrity Checker (AFICK);
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора
bash
; - для непривилегированных пользователей активировать режим Киоск-2;
Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
- обеспечить возможность запуска ПО Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
- запускать ПО Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
- по возможности запускать ПО Xen в отдельной сессии.
...