Page tree

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения "Astra Linux Special Edition" РУСБ.10152-02 (очередное обновление 4.7), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости программного обеспечения Xen

Внимание! В целях создания и защиты среды виртуализации рекомендуется использовать встроенные средства Astra Linux, входящие в состав основного репозитория и интегрированные с подсистемой безопасности PARSEC:

  • модуль ядра KVM, который использует аппаратные возможности архитектуры x86-64 по виртуализации процессоров;
  • средства эмуляции аппаратного обеспечения на основе QEMU;
  • сервер виртуализации на основе libvirt.

Astra Linux разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре, которые обеспечивают реализацию мер защиты среды виртуализации.

В случае необходимости применения в информационной системе программного обеспечения Xen необходимо учитывать следующее:

  • Xen не входит в состав основного репозитория Astra Linuх и является внешним по отношению к Astra Linux средством виртуализации;
  • Xen не реализует сертифицированные функции по безопасности информации к средствам виртуализации;
  • Xen не интегрировано с средствами защиты информации Astra Linux и не обеспечивает реализацию мер по защите среды виртуализации. 

В целях минимизации возможности реализации потенциальных угроз безопасности путем эксплуатации уязвимостей программного обеспечения Xen, рекомендуется:

  • применять следующие механизмы и средства подсистемы безопасности PARSEC:
    • мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
    • замкнутая программная среда (ЗПС);
    • регламентный контроль целостности Another File Integrity Checker (AFICK);
    • для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  блокировку интерпретатора bash;
    • для непривилегированных пользователей активировать режим Киоск-2;

    Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

  • обеспечить возможность запуска программного обеспечения Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
  • запускать программное обеспечение Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
  • по возможности запускать программное обеспечение Xen в отдельной сессии.
  • No labels