Tionix Virtual Security

Программное средство TIONIX Virtual Security предназначено для защиты от несанкционированного доступа к информации в виртуальной инфраструктуре и может использоваться в государственных и корпоративных информационных системах.

TIONIX Virtual Security обладает арсеналом защитных механизмов. Чтобы не допустить подмены сетевых устройств и сервисов (защита от атак типа «человек посередине»), осуществляется проверка подлинности сетевых соединений, реализовано ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя ПО и ограничение неуспешных попыток входа в программы или приложения, что защищает систему от брутфорс-атак. При этом в продукте используется технология единого входа (SSO - Single Sign-On), которая также позволяет снизить риски несанкционированного доступа к системам клиента, сократить время доступа к приложениям и централизованно управлять паролями.

Помимо гибкой политики управления паролями пользователей, также возможен вход в систему с использованием ЕСИА. Повысить надежность хранения персональных данных позволяет механизм двухфакторной аутентификации с использованием алгоритма создания одноразовых паролей. Постоянный мониторинг записей регистрации (аудита) из разных источников информационной системы помогает своевременно выявлять инциденты безопасности и оперативно противодействовать угрозам.

Основная статья: Межсетевой экран (Firewall)

2021: Добавление инструмента Security Proxy

«ТИОНИКС» 2 декабря 2021 года выпустил обновление продукта для защиты виртуальных платформ. TIONIX Virtual Security предназначен для защиты от несанкционированного доступа к информации в виртуальной инфраструктуре и может использоваться в государственных и корпоративных информационных системах. TIONIX Virtual Security обладает внушительным арсеналом защитных механизмов.

В обновленной версии появился инструмент Security Proxy, позволяющий настроить защиту для внешних сегментов информационной системы, в которых не интегрировано решение «ТИОНИКС». Таким образом, взаимодействие между различными приложениями будет вестись по защищенному интернет-протоколу, что позволяет заказчику избежать сертификации во ФСТЭК собственных программных продуктов.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

Разработчики добавили режим экономии аппаратных ресурсов, благодаря которому значительно повысилась производительность системы. Такой режим будет полезен при работе в виртуальных средах с высокой нагрузкой и большим количеством пользователей. Также был улучшен сервис описания API, что сделало интеграцию с другими информационными системами более удобной, в том числе появилась возможность использования протокола аутентификации данных LDAP.

Полностью переработан сервис документации продукта, чтобы технические специалисты смогли в кратчайшие сроки установить TIONIX Virtual Security в информационную систему заказчика. Интерфейс технических спецификаций стал интуитивно понятным, наглядно представлены разнообразные сценарии работы, варианты реагирования на различные события безопасности. Ряд изменений получил и пользовательский интерфейс.

Необходимость перехода на облачные информационные системы давно осознали и в корпоративном, и в государственном секторах. При этом с каждым годом кибератаки становятся все более изощренными, поэтому для виртуальной инфраструктуры необходима надежная защита. TIONIX Virtual Security разработан специально для использования на базе TIONIX Cloud Platform, он также может использоваться с любыми платформами виртуализации, построенными на базе KVM. Обновленная версия обладает расширенным функционалом и возможностями интеграции с другими системами, — сказала менеджер по продукту компании «ТИОНИКС» Наталья Иванова.

2020: Получение сертификата соответствия требованиям нормативных и методических документов ФСТЭК по четвертому уровню доверия

Программный продукт Tionix Virtual Security российской компании «Тионикс» - производителя ПО для оказания облачных услуг - в декабре 2020 года прошел сертификацию ФСТЭК России, получив сертификат соответствия требованиям регулятора по четвертому уровню доверия.

TIONIX Virtual Security предназначен для защиты от несанкционированного доступа к информации в виртуальной инфраструктуре и может использоваться в государственных и корпоративных информационных системах

Существует, как известно, два направления защиты виртуальной инфраструктуры: создание защищенной, сертифицированной среды виртуализации и использование наложенных средств защиты. Сертифицированный ФСТЭК программный продукт TIONIX Virtual Security (TVS) относится ко второму классу, и по ряду параметров является особым для российского рынка продуктом.

Продукт предназначен для защиты от несанкционированного доступа к информации в виртуальной инфраструктуре, построенной ни гипервизоре KVM, и обладает арсеналом защитных механизмов. По словам технического директора компании «ТИОНИКС» Романа Трейнис, TVS закрывает практически все меры защиты виртуальной среды согласно требований ФСТЭК: идентификация и аутентификация субъектов доступа, управление доступом в виртуальной инфраструктуре, в том числе внутри виртуальных машин, регистрация событий безопасности и другие. Чтобы не допустить подмены сетевых устройств и сервисов, осуществляется проверка подлинности сетевых соединений, реализовано ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя ПО. Для защиты от грубых атак методом подбора пароля (т.н. «брутфорс») в системе заложено ограничение количества неудачных попыток входа в программы или приложения.

При этом в продукте используется технология единого входа (SSO - Single Sign-On), которая также позволяет снизить риски несанкционированного доступа к системам клиента, сократить время доступа к приложениям и централизованно управлять паролями. Комплексность подхода к защите виртуальной среды, по оценке Роман Трейнис, и есть ключевой плюс программного продукта на российском рынке.

Мы позиционируем TVS как комплексное средство защиты для облачных технологий, — отметил Роман Трейнис. — В числе прочего закрываем еще и задачи аутентификации и авторизации в прикладном ПО для облачных решений. Таким образом, мы реализуем некую единую точку входа, WEB SSO, которая поддерживает набор различных технологий. Благодаря этому любая интегрированная информационная система закрывает задачу аутентификации и авторизации. В плане комплексности на рынке мы пока единственно решение для KVM, которое закрывает максимальное количество мер защиты для ГИС, АСУ ТП, КИИ, ИСПДн.

Помимо гибкой политики управления паролями пользователей, также возможен вход в систему с использованием ЕСИА.

Механизм двухфакторной аутентификации с использованием одноразовых паролей позволяет повысить надежность хранения персональных данных, а постоянный мониторинг записей регистрации из разных источников информационной системы помогает своевременно выявлять инциденты безопасности и оперативно противодействовать угрозам.

В программном продукте не реализованы только две меры защиты: ЗСВ5 «Доверенная загрузка серверов виртуализации» и ЗСВ9 «Реализация и управление антивирусной защитой», и этому имеется рациональное объяснение.

Задача контроля загрузки серверов виртуализации всегда решалась и решается аппаратными средствами, — пояснил Роман Трейнис. — Для этого на рынке представлены соответствующие продукты ряда вендоров. Что касается антивирусной защиты - это тоже не наша ниша. Здесь хорошо работает тот же Касперский, у которого есть комплекс различных решений для виртуализации. Изобретать собственное антивирусное решение было бы нецелесообразно.

Платформа состоит из трех основных блоков: контроллер управления, сервер аутентификации и авторизации, агенты управления виртуализацией (сервис-агенты). Сервер аутентификации и авторизации включает:

• компоненту обеспечения аутентификации и авторизации по протоколу OpenID Connect, чья основная функциональность: аутентификация и авторизация web-ресурсов администрирования облачной инфраструктуры, а также, при необходимости, аутентификация и авторизация виртуальных машин инфраструктуры клиента;
• компоненту обеспечения аутентификации и авторизации LDAP, функцией которой является аутентификация и авторизация пользователей, имеющих доступ к вычислительным ресурсам с использованием LDAP.

Эти две компоненты имеют единую базу данных сведений о доменах, пользователях и группах управляемой инфраструктуры, обеспечивают мониторинг всех событий аутентификации и авторизации в контролируемом периметре.

Контроллер управления включает консоль управления и ядро, обеспечивающее комплексное управление пользователями, конфигурациями, агентами, а также взаимодействие компонент между собой, журналирование событий.

Сервис-агент устанавливается непосредственно на контролируемые узлы виртуализации и обеспечивает контроль запуска, миграции и изменения конфигурации виртуальных машин, виртуальных сетей и целый ряд других важных функций, включая мониторинг состояния виртуальных машин.

Что касается технических требований к оборудованию, то нижняя планка для сервера безопасности – это стандартный серверный процессор с четырьмя виртуальными ядрами, 16 Гб оперативной памяти и жестким диском от 10 Гб. Для агента виртуализации системные требования не декларируются, поскольку они определяются требованиями операционной системы и самой среды виртуализации, а по клиентской части TVS поддерживает все браузеры.

Сертификация ФСТЭК платформы защиты TIONIX Virtual Security делает круг потенциальных потребителей продукта большим.

Соответствие 4-му уровню доверия означает, что решение TVS совместно с ПО TIONIX Cloud Platform или любой другой облачной платформой, построенной на базе гипервизора KVM, может быть использовано и обеспечивает максимальный класс защиты конфиденциальной информации для:

• ИС объектов критической информационной инфраструктуры (КИИ);
• государственных информационных систем (ГИС) первого класса защищенности;
• АСУ ТП первого класса защищенности;
• ИС для обработки персональных данных первого уровня защищенности;
• ИС общего пользования II класса, обрабатывающих информацию ограниченного доступа, в том числе персональные данные, служебную, коммерческую и другие виды конфиденциальной информации.

Вендор декларирует и обеспечивает многоуровневую систему поддержки. Есть корпоративный уровень, в рамках которого декларируются минимальные сроки реакции – менее двух часов, и есть стандартный.

К поддержке СКЗИ регулятором предъявляются определенные требования, — отметил Роман Трейнис. — Даже при стандартной поддержке при наличии любых уязвимостей, проблем с функционированием механизмов безопасности мы обязаны предоставлять решение в течение трех дней, то есть предоставлять патчи, устраняющие проблемы с безопасностью.

Несмотря на то, что платформа TIONIX Virtual Security выпущена на рынок недавно, уже есть примеры ее использования. По словам Романа Трейнис, на апрель 2021 года продукт активно внедряется внутри группы компаний Ростелеком. В конце 2020 года решение было внедрено в ряде масштабных госпроектов, в планах компании продолжить активное развитие платформы TVS в технологическом отношении.

У нас большие планы по развитию механизма аутентификации авторизации платформы, — рассказал Роман Трейнис. — Мы планируем расширить поддержку стандартов аутентификации, добавить в нее такие механизмы как SAML, сделать собственное решение для обеспечения Kerberos-аутентификации, потому что у нас есть заказчики, которым это требуется, реализовать механизмы API-менеджмента.