Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости программного обеспечения Xen

В случае необходимости применения в информационной системе программного обеспечения Xen необходимо учитывать следующее:

• Xen не входит в состав основного репозитория Astra Linuх и является внешним по отношению к Astra Linux средством виртуализации;
• Xen не реализует сертифицированные функции по безопасности информации к средствам виртуализации;
• Xen не интегрировано с средствами защиты информации Astra Linux и не обеспечивает реализацию мер по защите среды виртуализации. 

В целях минимизации возможности реализации потенциальных угроз безопасности путем эксплуатации уязвимостей программного обеспечения Xen, рекомендуется:

• применять следующие механизмы и средства подсистемы безопасности PARSEC:
  • мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
  • замкнутая программная среда (ЗПС);
  • регламентный контроль целостности Another File Integrity Checker (AFICK);
  • для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  блокировку интерпретатора bash;
  • для непривилегированных пользователей активировать режим Киоск-2;

  Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

• обеспечить возможность запуска программного обеспечения Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
• запускать программное обеспечение Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
• по возможности запускать программное обеспечение Xen в отдельной сессии.