В контексте защиты конфиденциальной информации, особое внимание уделяется средствам криптографической защиты, и одной из ведущих платформ в этой области является ViPNet Prime.
Данная статья, является третьей нашей публикацией на тему ViPNet Prime. В ней мы рассмотрим ключевые этапы подготовки сервера для развертывания ViPNet Prime и погрузимся в процесс подготовки сервера, начиная с основных шагов установки, заканчивая рекомендациями по оптимизации и конфигурации.
Хорошо спланированная и правильно настроенная инфраструктура информационной безопасности играет важную роль в современном бизнесе, и ViPNet Prime является важной частью этого уравнения.
1.Обзор аппаратной платформы.
К выбору аппаратной платформы для развертывания ViPNet Prime нужно подходить весьма основательно. Она должна соответствовать необходимым системным требованиям, а также отличаться надежностью и отказоустойчивостью.
Основные требования рассмотрим в таблице ниже:
Оптимальным вариантом будет служить сервер размером 1U. Данное решение, является подходящим по производительности и надежности, занимает минимум пространства в серверной стойке и обладает такими мерами отказоустойчивости, как дублирующий блок питания и использование аппаратного RAID контроллера с резервированием данных (1, 5, 6 RAID).
В данной статье, мы рассмотрим пошаговое развертывание платформы ViPNet Prime на сервер с виртуализацией: AquaServer T50 D14
Технические характеристики AquaServer T50 D14:
ЦП: Intel® Xeon® CPU E5-2620 v2 @ 2.10GHz (2 шт.)
ОЗУ: 40 Гб
SSD: 512 Гб
2.Схема расположения компонентов.
После выбора аппаратной платформы приступаем к реализации следующей схемы расположения компонентов ViPNet Prime:
Для создания виртуальных машин, будем использовать ПО “Менеджер виртуальных машин”, основанное на qemu/kvm (*данное программное обеспечение идет в комплекте дистрибутива Astra Linux релиз “Воронеж”). Для реализации указанной выше схемы, его функционала будет достаточно..
QEMU и KVM часто используются вместе, а их совместное использование создает полноценное решение для виртуализации на уровне машины с высокой производительностью и широким спектром возможностей. Это позволяет пользователям создавать, управлять и масштабировать виртуальные машины на своей хост-системе, что является удобным для разработки, тестирования и управления приложениями и инфраструктурой. Если нужен комплексный подход к виртуализации, с поддержкой аппаратной виртуализации и эмуляции различных аппаратных сред, то QEMU-KVM является отличным выбором.
ОС Astra Linux версии “Воронеж” возможно использовать в следующих типах информационных систем:
- до 1 класса защищенности ГИС включительно, до 1 уровня защищенности ИСПДн включительно;
- до 1 категории значимости ЗО КИИ включительно;
- до 1 класса защищенности АСУ ТП включительно.
Разбиение на 2 виртуальные машины (далее -“ВМ”) связано с распределением нагрузки между модулями ViPNet Prime и предупреждением переполнения диска компонента NVS, поскольку при большом количестве узлов и активной их эксплуатации, генерируется большое кол-во событий мониторинга.
(Напоминание: обязательными компонентами являются Ядро и модуль VPN).
3.Установка Astra Linux Special Edition Воронеж.
Установка Astra Linux SE Воронеж довольно проста. Для начала необходимо создать загрузочный usb-флеш-накопитель, с помощью программы Rufus.
Далее, записать образ в режиме iso и после окончания создания загрузочной флешки, загрузиться с неё на выбранном сервере.
Для настройки и установки ОС Astra Linux Воронеж выполните 12 шагов, согласно инструкции ниже:
Шаг 1. Принятие лицензионного соглашения.
На этом шаге необходимо прочитать и принять условия лицензионного соглашения.
Шаг 2. Выбор комбинации клавиш для переключения языка.
Далее нужно указать наиболее удобный способ переключения клавиатуры между национальной и латинской раскладкой.
Шаг 3. Выбор имени устройства.
На этом шаге нужно ввести имя компьютера - одно слово, которое идентифицирует вашу систему в сети.
Шаг 4. Указание имени локального администратора.
Далее нужно ввести в поле имя учетной записи администратора.
Шаг 5. Указание пароля для локального администратора.
Следующим шагом придумайте пароль для учетной записи.
Шаг 6. Выбор часового пояса.
На этом шаге требуется выбрать нужный часовой пояс из предложенных.
Шаг 7. Разметка диска.
Из списка разделов выберите нужный,чтобы изменить его настройки. Для удобства можно выбрать автоматическую разметку. Система сама оптимальным образом создаст все необходимые ей разделы.
Шаг 8. Выбор дополнительных компонентов.
Выберите устанавливаемое программное обеспечение, исходя из ваших потребностей. Для удобства администрирования можно выбрать графический интерфейс и сервер ssh.
Шаг 9. Выбор уровня защищенности.
В данном случае, из предложенных уровней защищенности, выбираем усиленный уровень “Воронеж”.
Шаг 10. Выбор дополнительных настроек безопасности.
Выберите настройки параметров безопасности в зависимости от выбранного режима работы.
Шаг 11. Установка пароля для загрузчика GRUB.
Чтобы защититься от несанкционированного доступа к системе, задайте пароль для системного загрузчика GRUB.
Шаг 12. Завершение установки Astra linux
Завершите установку ОС. Для этого извлеките установочный носитель и нажмите “Продолжить”. После завершения процесса система перезапустится автоматически.
4.Создание сетевого моста.
После того как система завершила установку операционной системы Astra Linux Special Edition, необходимо войти в учетную запись администратора и создать сетевой мост.
В операционной системе (ОС) Linux, сетевой мост (bridge) представляет собой механизм, позволяющий объединить несколько сетевых интерфейсов в единое устройство уровня 2, что позволяет им работать как одна сетевая сущность. Таким образом, происходит коммутация пакетов на уровне кадров сетевого уровня (Data Link Layer, OSI Layer 2).
Сетевой мост в Linux позволяет передавать трафик между физическими и виртуальными интерфейсами, а также между различными сетевыми сегментами, создавая сегментацию сети и повышая ее эффективность. Этот процесс может быть полезен для объединения локальных сетей, организации виртуальных сетей, агрегации пропускной способности сети (link aggregation), а также для развертывания виртуальных сред с использованием программ виртуализации.
Правой кнопкой мыши кликните на апплет “NetworkManager” и перейдите в пункт “Изменить соединение”.
Нажмите на кнопку”+” далее “Добавить соединение”.
Из выпадающего списка выберите пункт “Мост”. Нажмите кнопку “Создать…”
В параметрах подчиненных сетевых интерфейсов, добавьте ethernet интерфейс eth0. Для удобства администрирования можно использовать под сетевой мост, отдельный физический сетевой интерфейс - во вкладке “Мост” настроить ip адресацию, но в нашем случае мост получит статический адрес по dhcp.
5.Создание виртуальных машин.
После создания сетевого моста приступайте к конфигурированию виртуальных машин с помощью менеджера виртуальных машин. Процесс создания займет у Вас 6 шагов, описанных ниже.
Virt-Manager - это графический менеджер виртуализации для управления виртуальными машинами с использованием гипервизора KVM в операционной системе Linux. Он обеспечивает простой способ создания, настройки, запуска и контроля виртуальных окружений через удобный графический интерфейс.
Шаг 1. Выбор способа установки ОС.
Выберите метод установки ОС. В нашем случае предлагается загружать iso образ.
Шаг 2. Выбор iso образа, который будем запускать.
Нажмите “Обзор” и выберите файл образа ISO для установки. Согласно документации, ViPNet Prime поддерживает две системы - это Astra Linux Common Edition 2.12 и Ubuntu Server 20.04.
Шаг 3. Выделение ресурсов оперативной памяти и процессора.
Выберите параметры памяти и количество процессоров.
Шаг 4. Создание образа диска для хранения данных.
Настройте пространство для хранения данных. На него будет установлена ОС для ViPNetPrime. Выберите объем занимаемой памяти.
Шаг 5. Указание имени виртуальной машины и выбор сетевого моста.
Здесь укажите название виртуальной машины и выберите ранее созданный сетевой мост “bridge0”.
Шаг 6. Создание виртуальной машины для модуля NVS.
Далее повторите шаги 1-5, но уже для виртуальной машины NVS.
Итого: Вы создали две виртуальные машины.
6.Установка ОС Astra Linux Common Edition (CE) на созданные виртуальные машины.
После нажатия кнопки “Готово” виртуальная машина автоматически запустится. Установка Astra Linux Common Edition (CE) практически не отличается от установки Astra Linux Special Edition (SE) за исключением пары пунктов.
Шаг 1. Выбор метода установки Astra Linux Common Edition.
Выберите способ установки ОС. Можно выбрать любой, тут дело вкуса.
Шаг 2. Принятие лицензионного соглашения.
На этом шаге ознакомьтесь с лицензионным соглашением и нажмите “Продолжить”
Шаг 3. Выбор сочетания клавиш для переключения языка.
На данном этапе выберите удобный способ переключения раскладки.
Шаг 4. Указание имени хоста.
Введите имя компьютера.
Шаг 5. Указание имени локального администратора.
Введите в поле имя учетной записи администратора.
Шаг 6. Настройка пароля локального администратора.
Введите в поля пароль для нового администратора.
Шаг 7. Выбор часового пояса.
Выберите нужный часовой пояс из предложенных.
Шаг 8. Разметка диска.
Выберите нужное из списка настроенных разделов и их точек монтирования.
Шаг 9. Выбор версии ядра Linux.
Выберите из списка одно из доступных ядер, чтобы система могла загрузиться с жесткого диска.
Шаг 10. Выбор дополнительного ПО.
Отключите лишние пакеты, оставив ssh для администрирования.
Шаг 11. Выбор дополнительных настроек безопасности.
Отметьте нужное в списке дополнительных настроек безопасности.
Шаг 12. Установка системного загрузчика grub.
Примите соглашение с установкой системного загрузчика GRUB в главную учетную запись.
Шаг 13. Завершение установки.
Завершите установку ОС и извлеките установочные носители, чтобы система могла загрузиться.
Шаг 14. Повторить шаги 1-13 для второй виртуальной машины.
Заключение
Инфраструктура для ViPNet Prime требует обеспечения высокой степени надежности, безопасности и эффективности серверной среды. Подготовка сервера Linux является ключевым шагом в создании стабильной и устойчивой инфраструктуры, для развертывания ViPNet Prime.
В процессе подготовки сервера Linux, мы уделили внимание таким аспектам как:
- установка хостовой операционной системы;
- настройка сетевого моста;
- возможные способы обеспечения отказоустойчивости аппаратной платформы;
- установка гостевых операционных систем
благодаря описанной выше пошаговой подготовке сервера, вы без труда осуществите развертывание программного обеспечения ViPNet Prime.
! Оптимальная конфигурация и настройка сервера Linux играют важную роль в обеспечении функциональности и сервиса !