...
Каждый узел имеет свой IP-адрес. Обмен данными между изделиями одной АГ осуществляется с помощью маскированных IP-пакетов (управляющих пакетов). Инициатором обмена всегда является АРМ Администратора.
Рисунок 4 – Схема обмена управляющими пакетами
Данный подход позволил ПАК Горизонт-ВС обеспечить требования приказа №17 № 17 ФСТЭК «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» касательно пункта XI. Защита среды виртуализации (ЗСВ) Приложение N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (таблица 2)
Таблица 2 – Требованиям о защите информации, не составляющей государственную тайну содержащейся в государственных информационных системах
КОД | Требование |
|---|---|
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре |
ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией |
ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций |
ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
В Горизонт-ВС ВМ никогда не запускается под пользователем с root правами, только под непривилегированным пользователем, что исключает доступ к гипервизору через ВМ. Так же Горизонт позволяет запускать несертифицированные гостевые ОС в аттестованном контуре. |
|
Структура компонентов Горизонт-ВС и их взаимодействия между собой представлена на рисунке 5. 
Рисунок 5 – Схема комплекса Горизонт -ВС