Программный комплекс «Виртуализация и управление»
|
Программный комплекс «Виртуализация и управление» (ПК «ВИУ») предназначен для создания защищенной виртуальной среды, обеспечивающей функционирование виртуальных машин и управление ими в операционной системе специального назначения «Astra Linux Special Edition» (релиз «Смоленск», версия 1.4, РУСБ.10015-07) в условиях дискреционного и мандатного разграничения доступа.
Область применения
Автоматизированные системы в защищенном исполнении, обрабатывающие информацию ограниченного доступа, в том числе содержащую сведения составляющие государственную тайну со степенью секретности до «совершенно секретно» включительно.
Состав
Серверная часть:
- Средства эмуляции аппаратного обеспечения;
- Сервер виртуализации;
- Служба доступа к сетевой защищенной файловой системе.
Клиентская часть:
- Консольный интерфейс управления виртуальными машинами;
- Графический интерфейс управления виртуальными машинами;
- Графический интерфейс для удаленного доступа (VDI) пользователей к виртуальным машинам по протоколам VNC и Spice.
Решаемые задачи
- Обеспечение создания тонких (терминальных) клиентов с использованием технологии VDI (VirtualDesktopInfrastructure);
- Использование аппаратных возможностей архитектуры x86-64 по виртуализации процессоров на основе модуля KVM (Kernel-based Virtual Machine) из состава ОС СН и средств эмуляции аппаратного обеспечения QEMU;
- Идентификация и аутентификация пользователя до предоставления доступа к функциям виртуализации и управления ПК «ВИУ» в том числе в режиме взаимодействия со средствами созданияединого пространства пользователей (ALD) из состава ОС СН;
- Создание виртуальных машин с помощью графической и консольных утилит;
- Запуск виртуальной машины в виде отдельного процесса ОС СН, который функционирует от имени учетной записи пользователя с его мандатными атрибутами безопасности;
- Предоставление пользователям удаленного доступа к виртуальным машинам в соответствии с дискреционными и мандатными правилами разграничения доступа;
- Управление конфигурацией виртуальных машин с помощью графической и консольных утилит;
- Взаимодействие между виртуальными машинами по протоколам стека IPv4 в условиях мандатного разграничения доступа;
- Взаимодействие между процессами пользователей и виртуальными машинами по протоколам стека IPv4 в условиях мандатного разграничения доступа;
- Маршрутизация сетевых пакетов виртуальных машин;
- Возможность защиты файлов-образов виртуальных машин от модификации в процессе функционирования виртуальных машин.
Схема функционирования
ПК «ВИУ», разработанный на основе открытого программного обеспечения и оригинальных средств защиты информации (пат. № 2525481), функционирует под управлением ОС СН и использует архитектуру клиент-сервер.
Серверная часть обеспечивает создание и функционирование защищенной виртуальной среды, содержащей набор виртуальных машин с определенной конфигурацией аппаратных средств и развернутыми в них гостевыми ОС.
Функционирование виртуальных машин обеспечивается модулемядра KVM из состава ОС СН, который использует аппаратные возможности архитектуры x86-64 по виртуализации процессоров, средства эмуляции аппаратного обеспечения на основе QEMU и сервера виртуализациина основе libvirt.
Клиентские части обеспечивают удаленный доступ пользователей ПК «ВИУ» к рабочим столам виртуальных машин с использованием технологии VDI и удаленное управление администраторами конфигурацией виртуальных машин.
С использованием консольных или графических средств осуществляется создание и настройка виртуальных машин, включая формирование конфигурации аппаратных средств виртуальных машин и установку гостевых ОС в виртуальные машины.
Пользователи ПК «ВИУ» после прохождения процедуры идентификации и аутентификации либо выполняют запуск виртуальной машины, либо с использованием технологии VDI по протоколам VNC и Spiceполучают доступ к ранее запущенным виртуальным машинам в соответствии с установленными правилами разграничения доступа. Запущенная виртуальная машина представляет собой процесс ОС СН, который функционирует от имени учетной записи пользователя с его мандатными атрибутами безопасности.
В ПК «ВИУ» реализовано дискреционное и мандатное управление доступом к виртуальным машинам с использованием драйверов доступа в сервере виртуализации. При этом дискреционное и мандатное управление доступом к файлам-образам виртуальных машин, а также управление сетевым и межпроцессным взаимодействием между виртуальными машинами и сетевыми службами осуществляется средствами эмуляции аппаратного обеспечения совместно со средствами защиты информации ОС СН.
Функционирование виртуальной машины может осуществляться в режиме запрета модификации ее файлов-образов.
Назад в раздел