Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах.



Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ПО Xen

Примечание

Внимание! В целях создания и защиты среды виртуализации рекомендуется использовать встроенные средства Astra Linux, входящие в состав основного репозитория:

  • модуль ядра KVM, который использует аппаратные возможности архитектуры x86-64 по виртуализации процессоров;
  • средства эмуляции аппаратного обеспечения на основе QEMU;
  • сервер виртуализации на основе libvirt.

Astra Linux является сертифицированным средством виртуализации, соответствует «Требованиям по безопасности информации к средствам виртуализации» (утв. приказом ФСТЭК России от 27.10.2023 г. № 187) и реализует следующие функции безопасности, которые могут применяться в целях защиты среды виртуализации

Рекомендуется отказаться от использования ПО Xen в пользу системы виртуализации, реализованной в Astra Linux. 

Astra Linux разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре, которые обеспечивают выполнение следующих функций безопасности:
  • доверенная загрузка виртуальных машин;
  • контроль целостности;
  • регистрация событий безопасности;
  • управление доступом;,
  • резервное копирование;
  • управление потоками информации;
  • защита памяти;
  • ограничение программной среды;
  • идентификация и аутентификация пользователей
;
  • централизованное управление образами виртуальных машин и виртуальными машинами.
  • Создание и защита среды виртуализации обеспечиваются следующими встроенными средствами Astra Linux, интегрированными с подсистемой безопасности PARSEC:

    • модулем ядра KVM, который использует аппаратные возможности архитектуры x86-64 по виртуализации процессоров;
    • средствами эмуляции аппаратного обеспечения на основе QEMU;
    • сервером виртуализации на основе libvirt.
    • .

    В случае необходимости применения в информационной системе программного обеспечения Xen необходимо учитывать следующее:

    • Xen не входит в состав основного репозитория Astra Linuх и является внешним по отношению к Astra Linux средством виртуализации;
    • Xen не реализует сертифицированные функции по безопасности информации к средствам виртуализации;
    • Xen не интегрировано с средствами защиты информации Astra Linux и не обеспечивает реализацию мер по защите среды виртуализации. 

    В целях минимизации возможности реализации потенциальных угроз безопасности путем эксплуатации уязвимостей программного обеспечения Xen, При использовании ПО Xen для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется:

    • применять следующие механизмы и средства подсистемы безопасности PARSEC:
      • мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
      • замкнутая программная среда (ЗПС);
      • регламентный контроль целостности Another File Integrity Checker (AFICK);
      • для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  блокировку интерпретатора bash;
      • для непривилегированных пользователей активировать режим Киоск-2;

      Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

    • обеспечить возможность запуска ПО программного обеспечения Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
    • запускать ПО программное обеспечение Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
    • по возможности запускать ПО программное обеспечение Xen в отдельной сессии.