Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ПО Xen
Рекомендуется отказаться от использования ПО Xen в пользу системы виртуализации, реализованной в Astra Linux.
Astra Linux разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре, которые обеспечивают выполнение следующих функций безопасности:
- доверенная загрузка виртуальных машин;
- контроль целостности;
- регистрация событий безопасности;
- управление доступом;,
- резервное копирование;
- управление потоками информации;
- защита памяти;
- ограничение программной среды;
- идентификация и аутентификация пользователей;
- централизованное управление образами виртуальных машин и виртуальными машинами.
Создание и защита среды виртуализации обеспечиваются следующими встроенными средствами Astra Linux, интегрированными с подсистемой безопасности PARSEC:
- модулем ядра KVM, который использует аппаратные возможности архитектуры x86-64 по виртуализации процессоров;
- средствами эмуляции аппаратного обеспечения на основе QEMU;
- сервером виртуализации на основе libvirt.
При использовании ПО Xen для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется:
- применять следующие механизмы и средства подсистемы безопасности PARSEC:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
- замкнутая программная среда (ЗПС);
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора
bash
; - для непривилегированных пользователей активировать режим Киоск-2;
- механизм регламентного контроля целостности Another File Integrity Checker (AFICK);
Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
- обеспечить возможность запуска ПО Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
- запускать ПО Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
- по возможности запускать ПО Xen в отдельной сессии.