ЗСВ.4 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЯ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА) ПОТОКАМИ ИНФОРМАЦИИ МЕЖДУ КОМПОНЕНТАМИ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ, А ТАКЖЕ ПО ПЕРИМЕТРУ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ

Требования к реализации ЗСВ.4: В информационной системе должно осуществляться управление потоками информации между компонентами виртуальной инфраструктуры и по периметру виртуальной инфраструктуры в соответствии с УПД.3, ЗИС.3.

При реализации мер по управлению потоками информации между компонентами виртуальной инфраструктуры должны обеспечиваться:

фильтрация сетевого трафика между компонентами виртуальной инфраструктуры, в том числе между внешними по отношению к серверу виртуализации сетями и внутренними по отношению к серверу виртуализации сетями, в том числе при организации сетевого обмена с сетями связи общего пользования;

обеспечение доверенных канала, маршрута внутри виртуальной инфраструктуры между администратором, пользователем и средствами защиты информации (функциями безопасности);

контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях гипервизора, хостовой операционной системы, по составу, объему и иным характеристикам;

отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры гипервизора, хостовой операционной системы, виртуальной вычислительной сети;

обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;

обеспечение изоляции потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры (гипервизором, хостовой операционной системой) и сетевых потоков виртуальной вычислительной сети;

семантический и статистический анализ сетевого трафика виртуальной вычислительной сети.

Требования к усилению ЗСВ.4:

1) в информационной системе, построенной с применением технологии виртуализации, должна быть обеспечена единая точка подключения к виртуальной инфраструктуре (при необходимости резервирования каналов связи, точка подключения должна рассматриваться как комплексное решение, включающее в себя средства взаимодействия с основным и резервными каналами связи);

2) в информационной системе должна обеспечиваться фильтрация сетевого трафика от (к) каждой гостевой операционной системы, в виртуальных сетях гипервизора и для каждой виртуальной машины;

3) в информационной системе должен обеспечиваться запрет прямого (с использованием механизмов, встроенных в средства виртуализации) взаимодействия виртуальных машин между собой; для служебных данных должен обеспечиваться контроль прямого взаимодействия виртуальных машин между собой;

4) в информационной системе в соответствии с законодательством Российской Федерации применяются криптографические методы защиты информации конфиденциального характера, передаваемой по виртуальным и физическим каналам связи гипервизора, хостовой операционной системы;

5) в информационной системе при реализации мер по управлению потоками информации между компонентами виртуальной инфраструктуры должны обеспечиваться семантический и статистический анализ сетевого трафика;

6) в информационной системе должно обеспечиваться определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов в рамках виртуальной инфраструктуры;

7) в информационной системе должно обеспечиваться определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов между виртуальной инфраструктурой и сетями, являющимися внешними по отношению к виртуальной инфраструктуре.

Содержание базовой меры ЗСВ.4: