Защищенная облачная платформа «Глобус»
Специалисты «Лаборатории 50» с 2010 года занимаются облачными решениями в сфере систем специального назначения. В 2012 году была развернута первая облачная инфраструктура (IaaS) на базе OpenStask версии Cactus/Diablo и Astra Linux Special Edition версии 1.2. Объект был аттестован для обработки данных вплоть до «Совершенно секретно» по требованиям ФСТЭК России.
«Лаборатория 50» продолжает развивать и совершенствовать OpenStack для Astra Linux Special Edition как решение «Защищённая облачная платформа „Глобус“».
Программное обеспечение платформы ограничивает доступ к объектам облачной инфраструктуры (виртуальные машины, образы, и т.п.) в соответствии с мандатными и ролевыми правами пользователей.
Глобус совместно с операционной системой (ОС) Astra Linux Special Edition образует систему, удовлетворяющую требованиям ФСТЭК России:
- класс защищённости от НСД к информации 1Б
- уровень контроля отсутствия НДВ 2 (НДВ 4)
Состав облачной платформы
В состав платформы входят:
- Базовые компоненты OpenStack:
- Служба безопасности Keystone;
- Менеджер виртуальных машин Nova;
- Реестр образов Glance;
- Оператор блочных устройств Cinder;
- Сетевой интегратор Neutron.
- Система виртуализации QEMU/KVM + Libvirt.
- Распределенная отказоустойчивая система GlusterFS.
- Программный коммутатор Open vSwitch.
Все компоненты модифицированы для поддержи операционной системы Astra Linux Special Edition и её комплекса средств защиты.
Безопасность
Защищённая облачная платформа «Глобус» помимо встроенных механизмов OpenStack предоставляет следующие дополнительные функции:
- Интеграция с комплексом средств защиты ОС Astra Linux Special Edition.
- Аутентификация пользователей посредством домена Astra Linux Directory (LDAP + Kerberos).
- Мандатное разграничение доступа к субъектам облачной инфраструктуры на базе PARSEC.
- Интеграция в стандартную панель управления безопасности Астры.
Разграничение доступа
Разграничение полномочий и доступа к ресурсам облака производится на основе настраиваемых мандатных и ролевых моделей.
Объекты:
- доменные пользователи;
- проекты;
- роли.
Базовым объектом облачной инфраструктуры служит проект, обладающий квотируемыми ресурсами (виртуальными машинами, томами и т.п.). Пользователи получают доступ к управлению ресурсами проекта в соответствии с заданной ролью в данном проекте. При этом учитываются мандатные атрибуты пользователя. Доступ может настраиваться для каждой функции облака.
Возможности
Защищённая облачная платформа «Глобус» функционирует на базе операционной системы Astra Linux Special Edition. Основные возможности:
- поддержка ОС семейства Windows, QNX, Linux (включая Astra Linux и МСВС);
- удалённый доступ к виртуальным машинам по протоколам VNC и SPICE;
- гибкая сетевая конфигурация;
- миграция виртуальных машин.
Продукт сопровождается документацией на русском языке, которая может быть предоставлена по запросу.