Защищённый OpenStack

Специалисты «Лаборатории 50» с 2010 года занимаются облачными решениями в сфере систем специального назначения. В 2012 году была развернута первая облачная инфраструктура (IaaS) на базе OpenStask версии Cactus/Diablo и Astra Linux Special Edition версии 1.2. Объект был аттестован для обработки данных вплоть до «Совершенно секретно» по требованиям ФСТЭК России.

«Лаборатория 50» продолжает развивать и совершенствовать OpenStack для Astra Linux Special Edition как решение «Защищённая облачная платформа „Глобус“».

Защищённая облачная платформа «Глобус» предназначена для построения закрытых защищённых вычислительных облаков, соответствующих требованиям ФСТЭК для систем класса АС, обрабатывающих данные с грифом «секретно» и «совершенно секретно». Программное обеспечение платформы ограничивает доступ к объектам облачной инфраструктуры (виртуальные машины, образы, и т. п.) в соответствии с мандатными и ролевыми правами пользователей.

Глобус совместно с операционной системой (ОС) Astra Linux Special Edition образует систему, удовлетворяющую следующим требованиям ФСТЭК России:

  1. уровень контроля отсутствия НДВ 2 (НДВ 4);
  2. класс защищённости от НСД к информации 1Б.

Веб-панель управления облачной инфраструктурой

Состав облачной платформы

В состав платформы входят:

  • Базовые компоненты OpenStack:
    • Служба безопасности Keystone;
    • Менеджер виртуальных машин Nova;
    • Реестр образов Glance;
    • Оператор блочных устройств Cinder;
    • Сетевой интегратор Neutron.
  • Система виртуализации QEMU/KVM + Libvirt.
  • Распределенная отказоустойчивая система GlusterFS.
  • Программный коммутатор Open vSwitch.

Все компоненты модифицированы для поддержи операционной системы Astra Linux Special Edition и её комплекса средств защиты.

Безопасность

Защищённая облачная платформа «Глобус» помимо встроенных механизмов OpenStack предоставляет следующие дополнительные функции:

  • Интеграция с комплексом средств защиты ОС Astra Linux Special Edition.
  • Аутентификация пользователей посредством домена Astra Linux Directory (LDAP + Kerberos).
  • Мандатное разграничение доступа к субъектам облачной инфраструктуры на базе PARSEC.
  • Интеграция в стандартную панель управления безопасности Астры.

Панель управления

Разграничение доступа

Разграничение полномочий и доступа к ресурсам облака производится на основе настраиваемых мандатных и ролевых моделей.

Объекты:

  • доменные пользователи;
  • проекты;
  • роли.

Базовым объектом облачной инфраструктуры служит проект, обладающий квотируемыми ресурсами (виртуальными машинами, томами и т. п.). Пользователи получают доступ к управлению ресурсами проекта в соответствии с заданной ролью в данном проекте. При этом учитываются мандатные атрибуты пользователя. Доступ может настраиваться для каждой функции облака.

Возможности

Защищённая облачная платформа «Глобус» функционирует на базе операционной системы Astra Linux Special Edition. Основные возможности:

  • поддержка ОС семейства Windows, QNX, Linux (включая Astra Linux и МСВС);
  • удалённый доступ к виртуальным машинам по протоколам VNC и SPICE;
  • гибкая сетевая конфигурация;
  • миграция виртуальных машин.

Продукт сопровождается документацией на русском языке, которая может быть предоставлена по запросу.

Зарегистрирован в реестре Минкомсвязи под номером 3891.

Краткая презентация продукта: Файл PDFГлобус.pdf

Техническое описание: Архитектура и описание

Руководство по базовой установке: Руководство по базовой установке