Согласование действий пользователей в VMware перед их выполнением

в 14:42, , рубрики: vmware vsphere, защита персональных данных, информационная безопасность, мысли вслух, Песочница, метки: , ,

Вот вышли новые требования ФСТЭК России приказом №21 по части защиты перcональных данных.

Решили его применить на Заказчике (уже даже в голове говорю себе о них всегда с большой буквы), у него инфраструктура на VMware. Но вот на какое требование указала мне коллега: «Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных». Требование работает для УЗ 1, УЗ 2 и УЗ 3. Т.е. широта охвата, наверное, будет нормальная.
Как требование ложится на согласование дейстий в VMware vSphere? Добро пожаловать под хабракат.


Учитывая сколько изменений происходит в современной ИТ-среде… Это лучше делать для действительно критичных операций на продакшене (в действительности такой орг. процесс часто простроен — особенно в банках, админы пишут бумажки, утверждают их у начальника, потом идут конфигурить). Требование сложно выполнимое впрямую с точки зрения автоматизации.
Думаю, чаще всего будем его обходить орг. мерами. Но ведь для тех систем, где это сделать можно, почему бы и нет?
Особенно в свете того, что скорее всего с новыми требованиями — Приказ ФСТЭК #21 — появляется отличный легальный шанс уходить от сертификации по модели угроз…

Ну так вот… Коллега: «Вон смотри, а как реализовать требование для VMware vSphere». А вот можно. И это будет полезно не только для ЗПД.
Вот хочу я быть уверен, что мой виртуализованный продакшн-сервер никто не ребутнет из консоли VMware — даже случайно, ведь кликнуть мышкой не туда в запаре раз плюнуть, сам ошибался (((

Есть такое решение — HyTrust. Много уже про него писано. Но все же на российском рынке пока воробей нестрелянный.

Так вот на это счет есть у него две фичи:
1) Secondary Approval — заблочит нежелательное действие и отправит на согласование с уведомлением по почте
2) Alerting — оповестит о нем нужных людей

Первая может заблочить действие любого пользователя (хоть Full Access), если с определенными машинами (например, с меткой Production) производятся определнные операции (например, Power Off, Suspend, Reboot и т.п.). В итоге в консоль запрашивающего свалится ошибка- дейстие запрещено, нужно подтвержение. В почту подтверждающего свалится письмо — тут один запрашивает перезагрузку продакш-сервера… вам об этом известно? )

Начальнику/руководителю/офицеру безопасности или любому другому согласующему остается лишь зайти в интерфейс HyTrust по ссылке из письма и подтвердить операцию. А лучше запретить :)

image

После этого запрашивающий об этом узнает и может повторить операцию (даже в случае запрета, он же может очень, ну, очень хотеть ее выполнить). Иногда даже несколько минут простоя стоят дорого. Фича интересная.
Для защиты ПДн вместо (или в дополнение) можно использовать метку ZPD или еще какую. Благо решение позволяет придумывать и создавать метки с любым названием.

Второй, функционал Alerting нормально показан на youtube в канале компании:
www.youtube.com/watch?v=WOV2LJ_wFiY

Рекомендую, посмотреть — там много всего. В том числе по части попыток реализации Multitenancy в vCenter без vCloud )

Автор: kirion

Источник

Поделиться

* - обязательные к заполнению поля