Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Настройка дискреционного и мандатного управление доступом к ВМ

Настройка дискреционного и мандатного управление доступом к ВМ#

Дискреционное и мандатное управление доступом, а также управление режимом запрета модификации образов дисков виртуальных машин осуществляются СЗИ из состава ОС СН.

Примечание

Дискреционное и мандатное управление доступом к ВМ обеспечивается только в дискреционном режиме функционирования ПВ. В таком режиме ВМ запускаются от имени доменного пользователя, авторизовавшегося в ПВ.

Дискреционное управление доступом основано на сравнении дискреционных атрибутов ВМ и дискреционных атрибутов пользователя с учетом выполняемой операции, а также с учетом роли пользователя.

В отношении виртуальной машины выделяются следующие виды операций:

  • «Использование» — просмотр свойств, запуск и работа с ВМ;

  • «Управление» — создание, удаление или изменение конфигурации ВМ, включая управление правами доступа к ней.

Для обеспечения полного доступа к ВМ пользователю должно быть одновременно разрешено выполнение операций вида и «Использование», и «Управление».

Примечание

При установке ПВ максимальный уровень целостности компонентов ОС (как и компонентов ПК СВ) повышается до 127. Целостность ВМ по умолчанию равна 63, ее можно изменить в конфигурационном файле /etc/libvirt/libvird.conf (параметр ilev_vm).

Для настройки мандатного управления доступом к ВМ требуется указать тип модели parsec:

  • «Динамический» — уровень доступа к ВМ назначается согласно классификационной метке пользователя;

  • «Статический» — заданный уровень доступа в соответствии с классификационной меткой вида «X:0:0xY», где:

    • «X» — иерархический уровень конфиденциальности;

    • «0» — неиерархический уровень целостности (игнорируется);

    • «0xY» — неиерархическая категория конфиденциальности.

Примечание

Примечания:

  1. По умолчанию в ПВ используется динамический тип модели parsec, т.е. при запуске ВМ приобретает метки безопасности, включающие идентификатор запустившего ее пользователя и его мандатные атрибуты. После этого при доступе к данной ВМ применяются дискреционное и мандатное управление доступом.

2. Использование статического типа модели parsec позволяет определить доступ к ВМ в случае наличия нескольких уровней и категорий ограничения доступа у пользователя или скорректировать доступ исходя из потребностей на объекте эксплуатации. 4. В случае использования ОС СН в качестве гостевой операционной системы виртуальная машина не должна запускаться в мандатном контексте. Вместо этого необходимо выполнять удаленный вход с требуемым мандатным уровнем доступа средствами ОС СН. 5. При запуске ВМ в ненулевом мандатном контексте рекомендуется использовать режим только на чтение.

Для настройки дискреционного и мандатного управления доступом к ВМ необходимо выполнить следующие действия:

  1. В веб-интерфейсе ПВ в меню слева выбрать пункт Экземпляры ВМ — ВМ.

  2. На открывшейся странице ВМ из списка выбрать ВМ, для которой необходимо настроить доступ.

  3. На странице ВМ во вкладке Безопасность:

  • в секции Модель PARSEC в выпадающем списке Тип выбрать тип модели parsec. При выборе статической модели в поле Метка необходимо также задать классификационную метку;

  • в секции Дискреционный контроль доступа:

    • в выпадающем списке Тип выбрать тип субъекта (Пользователь или Группа), в отношении которого будет применяться правило доступа;

    • в выпадающем списке Субъект выбрать учетную запись субъекта, в отношении которого будет применяться правило доступа;

    • в выпадающем списке Права доступа выбрать тип дискреционного доступа (Использование или Управление);

    • если необходимо добавить правило доступа, то следует нажать кнопку Добавить;

    • если необходимо удалить правило доступа, то следует нажать кнопку Удалить;

  • нажать кнопку Сохранить`:

Предупреждение

Настройка доступа возможно только для выключенной ВМ.