Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений

Авторы патента:

G06F21/71 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F15/16 - сочетание двух или более вычислительных машин, каждая из которых снабжена по меньшей мере арифметическим устройством, программным устройством и регистром, например для одновременной обработки нескольких программ (схемы интерфейсов для специализированных устройств ввода-вывода G06F 3/00; мультипрограммное оборудование G06F 9/46; передача цифровых данных вообще H04L, например, в компьютерных сетях H04L 12/00; выборка данных H04Q)

Владельцы патента RU 2557476:

Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Московский физико-технический институт (государственный университет)" (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности комплекса и обеспечении быстрого ввода в эксплуатацию утраченных из-за неисправности оборудования ресурсов. Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений включает в себя связанные между собой и соединенные посредством сети первую группу рабочих ЭВМ и вторую группу ЭВМ для хранения программных сессий, а также ЭВМ управления, через которую связаны вторая группа ЭВМ для хранения программных сессий, высокопроизводительные вычислительные ресурсы и разделяемые файловые хранилища, причем в него дополнительно введены гипервизор, система обеспечения безопасности, включающая в себя модуль обнаружения и предотвращения вторжений, модуль межсетевого экранирования и модуль защиты от несанкционированного доступа и система обеспечения отказоустойчивости, включающая в себя модуль обеспечения отказоустойчивости на уровне аппаратных ресурсов, модуль мониторинга сервисных виртуальных машин и модуль обеспечения отказоустойчивости сервисов.

Изобретение в общем относится к области облачных вычислительных систем, предназначенных для обработки данных.

Развитие и модернизация ИТ-инфраструктуры (ИТ - информационные технологии) организаций государственного сектора, стратегических промышленных предприятий и компаний, также как и в целом в коммерческом секторе, идет по пути централизации вычислений, строительства высокопроизводительных ЦОД (центров обработки данных) или аренды вычислительных ресурсов и сервисов. Для крупных компаний и организаций это предполагает построение/аренду распределенных вычислительных сред.

Российская стратегия создания национальной программной платформы в качестве одного из ключевых результатов называет обеспечение технологической независимости страны в сфере ИТ, и в качестве одних из ключевых технологий определены: облачные вычисления; средства защиты ОС и приложений в недоверенной среде.

Организации российского госсектора характеризуются особенностью наличия требований по катастрофе- и отказоустойчивости, которые могут удовлетворяться за счет создания территориально распределенных ЦОД с виртуализированной облачной архитектурой.

В организациях госсектора РФ обрабатывается информация с различными классами конфиденциальности. Сейчас часто для каждого класса используются различные, в том числе устаревшие, технологии для построения систем. Это приводит к существенному распылению ресурсов и в итоге не решается основная задача: создание отечественной современной защищенной платформы.

Часто использующийся в российской практике подход, при котором виртуализированную среду представляют как "черный ящик", обрабатывающий информацию одного класса конфиденциальности (пусть и с помощью различных приложений, которые не могут оказывать вред друг другу), предполагает отсутствие внутреннего нарушителя в заданном контуре безопасности. Такой подход за счет упрощения модели угроз безопасности информации (исключение внутренних нарушителей), с одной стороны, позволяет в ряде случаев использовать импортное ПО и оборудование (при условии защиты периметра создаваемой системы, исключению ее взаимодействия с внешним миром).

Однако по сути этот подход приводит к тому, что требования защиты информации реально не выполняются, и при погружении в такую виртуализированную вычислительную среду приложений, обрабатывающих информацию с одним грифом конфиденциальности, но относящуюся к различным приложениям, различным подразделениям организации или различным организациям в принципе, при многопользовательском режиме доступа невозможно гарантировать отсутствие не только несанкционированного доступа, но и целостности информации и сервисов и их доступности.

Поэтому имеет смысл разрабатывать архитектуру, которая была бы принципиально применима для создания ЦОД для обработки информации различных классов защищенности с возможностью последующей сертификации программного комплекса.

Из уровня техники известно построение вычислительных систем в виде кластеров (многомашинных систем), которые представляют собой вычислительный комплекс, состоящий из нескольких компьютеров (узлов), а также программные и аппаратные средства связи компьютеров, которые обеспечивают работу всех компьютеров комплекса как единого целого ([1], с.43).

Кластеры применяют для повышения надежности и производительности вычислительной системы. Надежность повышается за счет того, что при отказе одного из узлов кластера вычислительная нагрузка (или часть ее) переносится на другой узел.

Однако понятие "надежность" является сложным свойством качества, которое зависит от безотказности, ремонтопригодности, сохраняемости свойств и долговечности продукта.

К показателям безотказности относятся вероятность безотказной работы, средняя наработка до первого отказа, наработка на отказ, интенсивность отказов, параметр потока отказов, гарантийная наработка. Безотказность - свойство объекта непрерывно сохранять работоспособное состояние некоторое время или в течение некоторой наработки.

Безотказность свойственна объекту в любом из режимов его эксплуатации. Именно это свойство составляет главный смысл понятия надежности. Причем последствия отказа в большинстве случаев зависят не от самого факта его появления, а от того, насколько быстро может быть восстановлена утраченная объектом работоспособность, т.е. устранен отказ.

Очевидно, что в известном из уровня техники решении не представляется возможным оперативно устранить возникшую неисправность узла кластера, поскольку в данном случае манипуляции производятся с физически независимыми устройствами, что приводит на время ремонта к снижению положительных свойств такой системы (например, вычислительной мощности).

Кроме того, указанное решение имеет большое время реконфигурации, поскольку оно связано с активацией новой копии программного процесса на другом узле.

При этом также возможна потеря части данных, находившихся в оперативной памяти отказавшего узла ([1], с.44), что также является свидетельством низкой надежности такой системы.

Наиболее близким аналогом изобретения является аппаратно-вычислительный комплекс для предоставления доступа к программному обеспечению в концепции облачных вычислений, включающий связанные между собой и соединенные с Интернет группу ЭВМ, группу ЭВМ для хранения программных сессий, файловые хранилища и высокопроизводительные вычислительные ресурсы, при этом аппаратно-вычислительный комплекс дополнительно снабжен ЭВМ учета ресурсов, через которую связаны группа ЭВМ для хранения программных сессий и высокопроизводительные вычислительные ресурсы ([2]).

Указанный комплекс, как следует из описания, обеспечивает достижение технического результата в виде расширения класса программных продуктов, которые могут быть установлены в инфраструктуру хаба (платформы, на которую можно установить программный продукт).

При этом система учета ресурсов (управления), которую предусматривает такой комплекс, обеспечивает ограничение доступа к ресурсам лицам, не прошедшим проверку ([2], с.3, с.41-43).

Однако данный комплекс не имеет средств для обеспечения надежности, а также не позволяет обеспечить защиту информации от тех нарушителей, которые обладают правами и полномочиями на доступ к ресурсам (т.е. внутренних нарушителей).

Указанные выше недостатки решаются изобретением, которое позволяет обеспечить повышенную надежность системы, а также повысить защищенность информации.

Предложен аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений.

Предпочтительная реализация предлагаемого аппаратно-вычислительного комплекса с повышенными надежностью и безопасностью в среде облачных вычислений включает в себя связанные между собой и соединенные посредством сети первую группу рабочих ЭВМ и вторую группу ЭВМ для хранения программных сессий, а также ЭВМ управления, через которую связаны вторая группа ЭВМ для хранения программных сессий, высокопроизводительные вычислительные ресурсы и разделяемые файловые хранилища.

При этом комплекс отличается тем, в него дополнительно введены гипервизор, соединенный сетью со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления; система обеспечения безопасности, включающая в себя модуль обнаружения и предотвращения вторжений (OB), модуль межсетевого экранирования (МЭ) и модуль защиты от несанкционированного доступа (МЗ) и система обеспечения отказоустойчивости, включающая в себя модуль аппаратных ресурсов (MAP), модуль служебных виртуальных машин (МВМ) и модуль сервисов (МС); при этом модуль OB соединен с модулем МЭ, модуль МЭ соединен с модулем МЗ, ЭВМ управления и связан сетью со второй группой ЭВМ для хранения программных сессий, модуль МЗ дополнительно связан с ЭВМ управления; каждый из модулей MAP, МВМ и МС связан с гипервизором, со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления.

Технический результат, достигаемый изобретением, заключается в повышении надежности комплекса и обеспечении быстрого ввода в эксплуатацию утраченных из-за неисправности оборудования ресурсов за счет представленной технологии виртуализации, обеспечиваемой гипервизором, и введения системы обеспечения отказоустойчивости. Кроме того, введение системы обеспечения безопасности с объявленными функциями позволяет обеспечить повышенную информационную защиту в предложенном комплексе.

Указанные выше и другие преимущества изобретения станут ясными специалисту из приведенного ниже подробного описания изобретения.

Необходимо отметить, что изложенные ниже сведения не следует принимать как ограничивающие объем правовой охраны изобретения, определенный формулой, поскольку они приведены лишь в качестве примера осуществления изобретения. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления изобретения, согласующиеся с сущностью и объемом изобретения.

Под сетью в данном случае может пониматься как сеть Интернет, так и другие виды сетей (например, LAN, WLAN и т.п.).

Для преодоления указанных выше недостатков существующих в уровне техники решений в предлагаемый аппаратно-вычислительный комплекс дополнительно вводится система обеспечения безопасности и система обеспечения отказоустойчивости.

Кроме того, в заявленном решении применяется технология виртуализации аппаратных ресурсов, что также позволяет обеспечить повышение надежности комплекса.

Технология виртуализации в данном случае представлена гипервизорной виртуализацией аппаратных ресурсов. В основе гипервизорной виртуализации лежит гипервизор (монитор виртуальных машин). Он выполняет роль посредника между физическими устройствами сервера и их представлением в гостевой операционной системе. Отличается гибкостью и поддержкой практически любых операционные систем в качестве гостевых операционных систем.

Система виртуализации и управления ресурсами позволяет обеспечить выполнение следующих функций.

Обеспечение возможности виртуализации и разделения между отдельными виртуальными машинами следующих типов аппаратных (физических) ресурсов хоста: физические процессоры, оперативная память, ресурсы хранения данных, внешние аппаратные интерфейсы (USB, IEEE 1394, RS-232, FC, SAS, SCSI, IDE, LPT, СОМ). Монопольное предоставление доступа виртуальной машины к конкретному интерфейсу является частным случаем виртуализации. Виртуализация данных интерфейсов осуществляется как выборочно в соответствии с потребностями в данных интерфейсах создаваемых виртуальных машин, так и одновременно.

Обеспечение возможности запуска и выполнения (в режиме разделения ресурсов) в рамках виртуальных машин следующих типов гостевых операционных системам (далее ОС): а) ОС семейства MS Windows, сертифицированные по требованиям безопасности информации, с возможностью использования в автоматизированных системах с классом защищенности не ниже 1Г; б) ОС семейства Linux, сертифицированные по требованиям безопасности информации, с возможностью использования в автоматизированных системах с классом защищенности не ниже 1Г.

Обеспечение возможности дискретного изменения количества выделенных виртуальным машинам ресурсов (квоты процессорного времени, размеров ресурсов дискового хранения, размеров оперативной памяти).

Обеспечение диспетчеризации выполнения виртуальных машин на физических серверах (вторая группа ЭВМ) с учетом приоритетов, назначаемых отдельным виртуальным машинам в момент их запуска.

Обеспечение управления запущенными виртуальными машинами, в том числе: изменение приоритета выполнения, изменение квот выделенных ресурсов, перемещение виртуальных машин между хостами.

Обеспечение мониторинга состояния виртуальных машин (загружена/работает/остановлена, количество назначенных ресурсов).

Поддержание не менее 64 виртуальных процессоров на гостевую ОС с возможностью последующего увеличения до 128.

Поддержание не менее 64 Гб виртуальной оперативной памяти на гостевую ОС с возможностью увеличения до 128 Гб.

Поддержание не менее 2-х виртуальных сетевых интерфейсов на виртуальную машину с возможностью последующего увеличения количества в процессе эксплуатации до 8.

Обеспечение возможности виртуализации физических сетевых интерфейсов между виртуальными системами. Монопольное предоставление сетевых ресурсов выделенному виртуальному серверу является частным случаем виртуализации.

Обеспечение создания снимков состояния виртуальных машин по расписанию.

Обеспечение возможности архивирования снимков состояния виртуальных машин.

Обеспечение увеличения размера дискового пространства для гостевых ОС без перезагрузки/выключения до 10 Тб.

Предлагаемый аппаратно-вычислительный комплекс работает следующим образом.

В составе введенного в комплекс гипервизора входит модуль виртуализации, который предназначен для виртуализации аппаратных ресурсов. Под виртуализацией подразумевают маскировку аппаратных ресурсов, поскольку невозможно разделить физические ресурсы между разными вычислительными машинами.

Процесс виртуализации состоит из эмуляции устройства (аппаратного ресурса), созданием связей между устройством и его эмуляцией, назначением (при необходимости) политик доступа виртуальных машин (ВМ) к виртуализированному ресурсу.

Совокупность ВМ может быть реализована посредством второй группы ЭВМ для хранения программных сессий.

За создание виртуальных устройств отвечает модуль виртуализации, за распределение виртуальных ресурсов - модуль диспетчеризации.

Виртуализация памяти определяется как трансляция адресного пространства физической памяти в виртуальное адресное пространство.

Виртуализация сети определяется как процесс объединения аппаратных и программных сетевых ресурсов в единую виртуальную сеть. Виртуализация сети разделяется на внешнюю, то есть соединяющую несколько аппаратных сетей в одну виртуальную, и внутреннюю, создающую виртуальную сеть между ВМ, выполняющихся на одном хосте.

Виртуализация дисковых устройств (файловых хранилищ) определяется как прозрачное представление системы хранения на уровне блоков, когда логический адрес блока никак не привязан к его реальному, физическому адресу. Виртуализация разделяемых дисковых устройств позволяет объединять физические устройства хранения в виртуальные пулы дисков. Из пулов могут выделяться отдельные виртуальные диски, подключаемые при необходимости к ВМ.

Информацией, используемой при реализации алгоритма создания ВМ, являются: уникальные идентификаторы всех аппаратных ресурсов; сведения о доступности аппаратных ресурсов (ОЗУ, процессоры, хранилище); сведения о создаваемой ВМ (ОЗУ, процессоры, размер виртуального диска, сетевые параметры).

Результатом реализации алгоритма создания ВМ является создание уникального идентификатора ВМ и регистрация параметров ВМ (в ЭВМ управления или в модуле виртуализации).

Информацией, используемой при реализации алгоритма удаления ВМ, являются: уникальный идентификатор удаляемой ВМ; информация о состоянии удаляемой ВМ (запущена/не запущена).

Результатом реализации алгоритма удаления ВМ является остановка ВМ, если она запущена, и удаление метаданных ВМ и образа жесткого диска. При этом должен происходить запрос состояния ВМ, если ВМ запущена, перед удалением ее необходимо корректно завершить и освободить ресурсы.

Миграция ВМ производится в случае необходимости технического обслуживания аппаратного узла, при уплотнении малонагруженных ВМ с целью экономии ресурсов. Информацией, используемой при реализации алгоритма миграции ВМ, являются: уникальный идентификатор переносимой ВМ; метаданные переносимой ВМ; уникальные идентификаторы всех аппаратных ресурсов; сведения о доступности аппаратных ресурсов (ОЗУ, процессоры, хранилище); уникальный идентификатор узла, на который будет произведена миграция.

Результатом реализации алгоритма миграции ВМ является перенос ВМ на другой аппаратный узел.

При холодной миграции происходит остановка ВМ и запуск ее на другом узле. Согласно требованиям по отказоустойчивости все ресурсы пула равнозначны и располагают информацией о всех ВМ и доступом к единому хранилищу, следовательно переноса информации не требуется, необходимо просто дать команду на запуск ВМ модулю управления другого аппаратного узла.

При горячей миграции происходит перенос в фоновом режиме образа оперативной памяти запущенной ВМ на другой аппаратный узел, таким образом остановки ВМ не происходит. Под понятием живая миграция подразумевается процесс переключения контекста исполнения ВМ с одного хоста пула на другой.

Указанные решения позволяют существенно повысить надежность комплекса в смысле обеспечения его отказоустойчивости.

Модуль виртуализации состоит из нескольких компонентов: компонента предоставления аппаратных ресурсов, предназначенного для выделения аппаратных ресурсов, их виртуализации и предоставления для использования виртуальными машинами; компонента управления, предназначенного для управления компонентой предоставления аппаратных ресурсов и предоставления внешнего интерфейса приложений (API) для ЭВМ управления; компонента регистрации событий, предназначенного для регистрации событий в процессе виртуализации и управления.

Указанные компоненты в составе модуля могут быть выполнены в виде агентов, размещенных на машиночитаемом носителе или в памяти, при выполнении которых компьютером обеспечивается реализация описанных функций. Кроме того, такие компоненты могут быть выполнены в виде устройств, размещенных на общей шине данных, функционирующих под управлением соответствующего программного обеспечения.

Модуль диспетчеризации (в составе гипервизора соединенный с модулем виртуализации) предназначен для управления процессами выделения/возврата аппаратных ресурсов для ВМ.

В частности, распределение ресурсов процессора происходит по следующему алгоритму.

Все виртуальные процессоры (vCPU) виртуальных машин выстраиваются в очередь модуля диспетчеризации (например, в его оперативной памяти). Модуль диспетчеризации обрабатывает очередь vCPU, распределяя vCPU между доступными физическими процессорами в соответствии с политиками. Политики распределения описываются параметрами ВМ - параметрами вес и лимит. Значение веса определяет, сколько получит ВМ реального процессорного времени. Например, ВМ с весом 512 получит на хосте в два раза больше процессорного времени физического процессора, чем ВМ со значением веса 256. Значение параметра вес может изменяться в диапазоне от 1 до 65535, по умолчанию равен 256.

Значение лимита может использоваться для того, чтобы указать максимальную величину процессорного времени, которую может получить ВМ даже в случае, если хост-система простаивает. Значение выражается в процентах: 100- это 1 физический процессор, 50 - это половина процессора, 400 - 4 процессора. При этом значение лимита не может быть большим чем VCPU*100, т.е. одному виртуальному процессору не может соответствовать больше чем один реальный процессор.

Ресурсы процессора могут быть выбраны из состава высокопроизводительных вычислительных ресурсов (которые могут представлять собой, например, пул процессоров).

Распределение памяти происходит по следующему алгоритму.

Модуль диспетчеризации выделяет память виртуальной машине в монопольное пользование. Выделение памяти ВМ больше, чем имеется физической памяти, невозможно. Доступная для ВМ память определяется как объем физической памяти хоста, входящего в пул, за минусом объема памяти, необходимой для работы служебных ВМ. Максимальное количество памяти, выделяемой ВМ, определяется параметрами ВМ при запуске ВМ на исполнение. В случае, если объема доступной виртуальной памяти недостаточно для запуска ВМ с указанным объемом памяти, запуск ВМ невозможен.

Ресурсы физической памяти могут быть выбраны из состава второй группы ЭВМ для хранения программных сессий.

Распределение сетевых ресурсов между виртуальными машинами выполняется средствами управления графиком.

Приоритизация обращений ВМ к дисковой подсистеме может выполняться с помощью механизма планировщика CFQ (Completely Fair Queuing) Linux.

Алгоритм распределения дискового пространства между ВМ аналогичен алгоритму распределения памяти.

Модуль диспетчеризации состоит из нескольких компонентов: компонента выделения/возврата аппаратных ресурсов, предназначенного для управления процессами выделения/возврата аппаратных ресурсов для виртуальных машин и управляющими структурами, контролирующими распределение оперативной памяти между процессами комплекса и виртуальными машинами; компонента управления, предназначенного для управления программной компонентой выделения/возврата аппаратных ресурсов и предоставления внешнего API для ЭВМ управления; компонента регистрации событий, предназначенного для регистрации событий в процессе диспетчеризации и управления.

ЭВМ управления обеспечивает ведение мониторинга и учета выделенных и потребленных отдельными виртуальными машинами ресурсов и обменивается полученной информацией с модулем виртуализации, модулем диспетчеризации и средством управления графиком.

Модули виртуализации, диспетчеризации и средства управления графиком могут быть выполнены в виде аппаратно-программного комплекса на базе существующих ЭВМ под управлением соответствующего программного обеспечения.

Компоненты модулей, указанные ниже в описании, могут быть выполнены аналогично тому, как описано выше выполнение компонентов модулей виртуализации и диспетчеризации.

В состав системы обеспечения безопасности входят модуль обнаружения и предотвращения вторжений, модуль межсетевого экранирования и модуль защиты от несанкционированного доступа.

Модуль обнаружения и предотвращения вторжений (OB) предназначен для обнаружения и блокирования преднамеренного несанкционированного доступа или воздействий на информацию со стороны внешних относительно комплекса и внутренних нарушителей, обладающих правами и полномочиями на доступ к ресурсам.

Модуль OB обеспечен служебной ВМ системы обеспечения безопасности за модулем межсетевого экрана (МЭ).

Модуль OB, состоящий из нескольких компонентов, работает следующим образом: компонент перехвата сетевых пакетов на уровне сетевого драйвера перехватывает из сетевого драйвера устройства сетевые пакеты для передачи их в компонент обработки сетевых пакетов.

Компонент обработки сетевых пакетов в соответствии с заданными правилами анализа обрабатывает полученные сетевые пакеты в соответствии с заданными правилами обработки пакетов.

Компонент анализа данных на наличие сигнатур возможных атак проводит анализ проходящих сетевых пакетов на предмет наличия в их структуре сигнатур возможных сетевых атак, причем компонент хранения базы сигнатур возможных сетевых атак хранит актуальные базы сигнатур возможных сетевых атак.

Компонент обновления базы сигнатур возможных атак предназначен для обновления баз возможных сетевых атак с указанных сетевых ресурсов или локально путем указания ему файла с базой сигнатур возможных сетевых атак.

Компонент резервного копирования предназначен для проведения резервного копирования конфигурационных файлов и компонентов модуля обнаружения и предотвращения вторжений, а также предоставления внешнего API для ЭВМ управления.

Компонент идентификации и аутентификации предназначен для идентификации и аутентификации для проведения конфигурирования и управляющих воздействий.

Компонент контроля целостности предназначен для проведения контроля целостности компонентов, входящих в модуль обнаружения и предотвращения вторжений, а также предоставления внешнего API для ЭВМ управления.

Компонент регистрации событий предназначен для регистрации событий процесса функционирования программного модуля обнаружения и предотвращения вторжений.

Компонент управления предназначен для управления функционированием компонентов модуля обнаружения и предотвращения вторжений и предоставления внешнего API для ЭВМ управления.

Компонент перехвата сетевых пакетов использует технологию высокоскоростного захвата пакетов PF_RING, затем перенаправляя трафик компоненту обработки сетевых пакетов и далее - компоненту анализа, функционирующего в многопоточном (многопроцессном) режиме.

Компонент перехвата сетевых пакетов осуществляет следующие операции:

1) Обнаружение фрагментированных пакетов, которые могут использоваться в методах обхода СОВ (системы обнаружения вторжений);

2) Осуществляет обнаружение флагов {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;

3) Осуществляет обнаружение множественных попыток ошибочной авторизации;

4) Осуществляет обнаружение множества ложных запросов к объектам комплекса;

5) Осуществляет обнаружение пакетов, не соответствующих техническим спецификациям RFC;

6) Осуществляет обнаружение активности известных троянских программ;

7) Осуществляет обнаружение вредоносного программного обеспечения и пакетов с распознанными сигнатурами.

Компонент обработки сетевых пакетов осуществляет следующие операции:

1) Обрабатывает фрагментированные пакеты, которые могут использоваться в методах обхода СОВ;

2) Обрабатывает флаги {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;

3) Обрабатывает множественные попытки ошибочной авторизации;

4) Обрабатывает множество ложных запросов к объектам комплекса;

5) Обрабатывает пакеты, не соответствующие техническим спецификациям RFC;

6) Обрабатывает проявления активности известных троянских программ;

7) Обрабатывает факт обнаружения вредоносного программного обеспечения и пакетов с распознанными сигнатурами.

Компонент анализа данных осуществляет следующие операции:

1) Анализирует и принимает решение в отношении фрагментированных пакетов, которые могут использоваться в методах обхода СОВ;

2) Анализирует состояние флагов {SYN}, {FIN}, {NULL}, {SYNFIN} или {XMAS} в пакетах, отправленных более чем на N портов за время, меньшее Т;

3) Анализирует множественные попытки ошибочной авторизации;

4) Анализирует содержимое множества ложных запросов к объектам ПКВ;

5) Анализирует и принимает решение в отношении пакетов, не соответствующих техническим спецификациям RFC;

6) Анализирует и принимает решение в отношении случаев обнаружения активности известных троянских программ;

7) Анализирует и принимает решение в случае обнаружения вредоносного программного обеспечения и пакетов с распознанными сигнатурами.

Компонент хранения базы сигнатур возможных сетевых атак реализует функцию хранения в виде файлов (дерева файлов и папок) либо в СУБД данных о сигнатурах атак.

Компонент обновления базы сигнатур возможных атак реализует функцию обеспечения получения (обмена) актуальных данных о сигнатурах возможных атак.

Компонент резервного копирования осуществляет операцию обеспечения проведения резервного копирования конфигурационных файлов и компонентов модуля обнаружения и предотвращения вторжений, а также предоставляет внешний API для ЭВМ управления.

Компонент контроля целостности осуществляет функцию обеспечения проведения контроля целостности компонентов, входящих в модуль обнаружения и предотвращения вторжений по контрольным суммам, а также предоставляет внешний API для ЭВМ управления.

Компонент регистрации событий осуществляет функцию уведомления о зафиксированных событиях нарушений безопасности, сохраняет их в формате unified2 и пересылает в едином формате обмена сообщениями согласно спецификации IDMEF (RFC4567) в систему оповещения (регистрации) и обмена данными.

Компонент управления осуществляет функцию управления функционированием компонентов модуля обнаружения и предотвращения вторжений и предоставления внешнего API для ЭВМ управления.

Модуль OB функционирует с использованием единого унифицированного протокола обмена данными с МЭ, отправляя последнему управляющие сигналы в случае необходимости блокирования вредоносной активности в соответствии с данными базы решающих правил. СОВ разрабатывается с учетом требований Методического документа ФСТЭК России «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты».

Программный модуль межсетевого экранирования (МЭ) предназначен для защиты сетевого взаимодействия между виртуальными машинами и средой передачи данных.

Модуль МЭ разрабатывается с целью использования в составе комплекса для решения задач защиты сетевого взаимодействия между виртуальными машинами и средой передачи данных.

Модуль разрабатывается с учетом требований руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» п.2.4 «Требования к третьему классу защищенности МЭ». И, таким образом, обеспечивает:

1) фильтрацию на транспортном уровне запросов на установление виртуальных соединений;

2) фильтрацию на прикладном уровне запросов к прикладным сервисам;

3) возможность обработки поля QOS (качество обслуживания) заголовка сетевого пакета;

4) при удаленных запросах администратора МЭ на доступ идентификация и аутентификация будет обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

Модуль МЭ состоит из следующих компонентов:

1) компонент перехвата сетевых пакетов на уровне сетевых интерфейсов;

2) компонент обработки пакетов в соответствии с правилами фильтрации;

3) компонент трансляции сетевых адресов;

4) компонент идентификации и аутентификации;

5) компонент резервного копирования;

6) компонент контроля целостности;

7) компонент регистрации событий;

8) компонент управления.

Модуль МЭ решает две основные задачи:

1) фильтрация сетевого графика в соответствии с правилами фильтрации;

2) трансляция сетевых адресов (функции NAT).

В рамках комплекса модуль МЭ выполняется на служебных виртуальных машинах системы управления безопасностью.

Любой трафик комплекса как внешний, так и внутренний (между виртуальными машинами) перехватывается модулем МЭ. После перехвата заголовок пакета анализируется в соответствии с заданными правилам фильтрации. В соответствии с резолюцией над сетевым пакетом выполняются требуемые действия. Возможные виды резолюций:

1) пропустить пакет;

2) блокировать (удалить) пакет;

3) передать пакет на анализ внешней программе.

Правила фильтрации сетевых пакетов имеют два уровня приоритета:

1) 1 приоритет - правила, заданные администратором обеспечения безопасности информации (ОБИ) комплекса;

2) 2 приоритет - правила, заданные администратором потребителя.

В случае конфликтов между правилами 1-го и 2-го уровней приоритета модуль МЭ отдает предпочтение фильтрации сетевых пакетов с уровнем приоритета 1, т.е. заданных администратором ОБИ комплекса. Конфликтом правил признается наличие явно заданных и противоположных по резолюции правил фильтрации сетевых пакетов. В случае, если правило фильтрации на каком-либо уровне приоритета не было задано явно (т.е. фильтрация выполняется в соответствии с правилом по умолчанию), конфликта не происходит и модуль МЭ отдает предпочтение правилу фильтрации, заданному явно. В случае конфликта, когда одно из правил фильтрации предусматривает передачу сетевого пакета во внешнюю программу для анализа, вне зависимости от уровня приоритета конфликтующих правил модуль МЭ действует согласно следующей политике:

1) Если второе правило блокирующее - выполняется блокировка пакета;

2) Если второе правило разрешающее - выполняется передача сетевого пакета во внешнюю программу для анализа.

Правила фильтрации сетевых пакетов могут быть индивидуальными для каждой сети, существующей в рамках комплекса.

После перехвата транзитных сетевых пакетов модуль МЭ проводит преобразования их IP-адресов в соответствии с заданными правилами маршрутизации. Правила маршрутизации задаются Администратором ОБИ ПКВ. Модулем МЭ будут поддерживаться следующие виды трансляции сетевых адресов: статическая (SNAT), динамическая (DNAT) и маскарадная (PAT).

Модуль МЭ взаимодействует со следующими компонентами и модулями комплекса.

С модулем OB. Модуль МЭ в соответствии с правилами фильтрации сетевых адресов может передавать сетевые пакеты в модуль OB для анализа и получения ответа.

С ЭВМ управления. Модуль МЭ предоставляет программный интерфейс ЭВМ управления для централизованного решения следующих задач:

а) идентификации и аутентификация для предоставления пользователю прав доступа (изменение параметров и конфигурирование МЭ) в соответствии с его категорией (ролью).

б) Конфигурирование МЭ и изменение его параметров, в т.ч.:

- правила фильтрации сетевых пакетов;

- правила трансляции сетевых адресов пакетов;

- параметры резервного копирования;

- параметры регистрации событий.

С модулем защиты от несанкционированного доступа (МЗ). Модуль МЭ взаимодействует с модулем МЗ в части контроля содержимого сетевых пакетов в соответствии с правилами и политикой разграничения доступа.

Назначением модуля защиты от несанкционированного доступа (МЗ) является:

1) Защита от несанкционированного доступа;

2) Разграничение прав доступа к виртуальным машинам. Состав модуля МЗ:

1) компонент реализации правил разграничения доступа;

2) компонент контроля целостности;

3) компонент идентификации и аутентификации;

4) компонент регистрации событий;

5) компонент резервного копирования;

6) компонент управления.

Компонент реализации правил разграничения доступа предназначен для реализации правил разграничения доступа к объектам файловой системы комплекса и виртуальным машинам.

В указанном модуле обеспечена регистрации системных событий, а именно:

1) Создание/удаление виртуальных машин;

2) Запуск/останов виртуальных машин;

3) Перемещения виртуальных машин между хостами;

4) Модификация параметров виртуальных машин;

5) События, связанные с резервным копированием;

6) События, связанные с функционированием аппаратных средств хостов;

7) События информационной безопасности.

Взаимодействие клиента с комплексом осуществляется через защищаемый канал связи. Защита канала связи осуществляется путем создания тоннеля поверх общего канала связи с одновременным присвоением клиенту метки безопасности (мандатной метки), по которой определяется полномочия на подключение пользователя к защищаемой инфраструктуре потребителя, развернутой средствами комплекса.

Перед доступом к комплексу осуществляется проверка предъявленной пользователем метки безопасности, на основании которой принимается решение о допуске пользователя к системе управления. Метка безопасности, предъявляемая пользователем, может содержать дополнительные по отношению к роли пользователя, сведения, определяющие уровни и категории доступа к инфраструктуре потребителя.

Взаимодействие модуля МЗ с клиентом при использовании механизмов защиты можно описать с помощью следующего алгоритма.

Модуль МЗ находится в режиме ожидания входящих соединений от клиента. При поступлении запроса от клиента у него запрашивается метка безопасности.

Предоставленная метка безопасности проверяется на валидность модулем МЗ.

Если предоставленная клиентом метка не валидна, то соединение с клиентом не устанавливается и работа с ним завершается.

Если предоставленная метка валидна, то с клиентом устанавливается защищенный канал связи поверх протокола TCP, действующий в течение всего времени работы клиента с комплексом. После установления соединения с комплексом посредством ЭМВ управления клиенту предоставляется Web-интерфейс, содержащий форму ввода логина и пароля.

После ввода логина и пароля ЭВМ управления передает их модулю МЗ, который осуществляет процесс аутентификации, идентификации и авторизации пользователя.

Если все процессы аутентификации, идентификации и авторизации завершены успешно, модуль МЗ передает ЭВМ управления роль и список прав пользователя.

Ориентируясь на список прав и роль пользователя ЭВМ управления формирует Web-интерфейс пользователя с доступными ему функциями и действиями.

Любое действие пользователя через предоставленный интерфейс посредством ЭВМ управления передается модулю МЗ для фиксации его в журнале.

Если любой из процессов аутентификации, идентификации или авторизации завершен с ошибкой, то модуль МЗ передает ЭВМ управления команду сформировать сообщение об ошибке и передать его пользователю посредством Web-интерфейса.

После завершения сеанса работы с клиентом канал связи с ним разрывается, данные о сеансе заносятся в журнал модулем МЗ.

Система обеспечения отказоустойчивости предназначена для поддержания непрерывного функционирования сервисов комплекса и пользовательских виртуальных машин, включенных в отказоустойчивую конфигурацию.

Данная система включает в себя три уровня (модуля):

1) модуль аппаратных ресурсов (MAP);

2) модуль служебных виртуальных машин (МВМ);

3) модуль сервисов (МС).

Модуль аппаратных ресурсов обеспечивает базовое обеспечение отказоустойчивости с абстрагированием от сервисов, запущенных в ВМ. Новые экземпляры ВМ получают те же сетевые реквизиты и, таким образом, для других ресурсов комплекса авария является незначительным простоем в работе ВМ, и изменение конфигурации не требуется.

Информацией, используемой при реализации алгоритма обеспечения отказоустойчивости модулем аппаратных ресурсов, являются:

1) уникальные идентификаторы всех аппаратных ресурсов;

2) сведения о доступности каждого аппаратного ресурса (доступен/не доступен);

3) уникальные идентификаторы виртуальных машин, запущенных на каждом аппаратном ресурсе;

Результатом реализации алгоритма обеспечения отказоустойчивости на уровне аппаратных ресурсов является перенос виртуальных машин на работоспособный аппаратный ресурс и исключение аварийного ресурса из конфигурации.

Обеспечение отказоустойчивости модулем аппаратных ресурсов происходит по следующему алгоритму.

1. Опрос доступности аппаратных ресурсов.

2. В случае недоступности аппаратного ресурса происходит его исключение из конфигурации пула ресурсов (данная мера позволяет в дальнейшем пресечь попытки запустить виртуальные машины на данном узле).

3. В случае, если узел являлся головным в пуле, данная роль передается другому узлу из числа доступных.

4. Запрос в гипервизор с целью определения виртуальных машин, которые были запущены на узле.

5. Перезапуск виртуальных машин на других доступных узлах.

Модуль служебных виртуальных машин обеспечивает мониторинг сервисных виртуальных машин, входящих в состав комплекса, при этом система обеспечения отказоустойчивости различает плановые отключения ВМ и аварийные.

Информацией, используемой при реализации алгоритма обеспечения отказоустойчивости модулем служебных ВМ, являются:

4) уникальные идентификаторы всех аппаратных ресурсов;

5) уникальные идентификаторы служебных ВМ;

6) сведения о состоянии служебных ВМ (включена/отключена);

7) сведения о доступности каждой служебной ВМ (доступна/не доступна);

Результатом реализации алгоритма обеспечения отказоустойчивости модулем служебных ВМ является перезапуск служебных ВМ на другом аппаратном узле.

Обеспечение отказоустойчивости модулем служебных ВМ происходит по следующему алгоритму.

1) опрос доступности служебных ВМ;

2) в случае недоступности служебной ВМ происходит проверка статуса ВМ (включена/отключена);

3) если статус ВМ «включена» (т.е. отключение не было запланировано), то инициируется перезапуск ВМ на другом аппаратном ресурсе.

В модуле обеспечения отказоустойчивости сервисов происходит мониторинг конкретных сетевых сервисов, запущенных в служебных виртуальных машинах. Данный уровень позволяет обнаружить сбои в работе комплекса, когда все ВМ выполняются и с точки зрения системы виртуализации аварий не произошло.

По типу обеспечения отказоустойчивости сервисы разделяются на две группы:

- дублирующиеся, реплицируемые - база данных состояния и служба сообщений;

- не дублирующиеся - все остальные сервисы комплекса.

Дублирующиеся сервисы запущены одновременно в двух экземплярах в разных ВМ на разных узлах и используют репликацию для обеспечения идентичности текущих и хранимых данных. Реализована схема "актив-пассив", при которой все внешние запросы от других служб комплекса могут быть направлены только на один сервис. При этом используется единый виртуальный IP-адрес независимо от того, на каком узле в данный момент запущен сервис.

Опрос состояния может быть реализован любым способом, начиная от сетевой доступности и заканчивая тестовыми API-запросами, запросами в БД.

Информацией, используемой при реализации алгоритма модулем обеспечения отказоустойчивости сервисов, являются:

1) уникальные идентификаторы всех аппаратных ресурсов;

2) перечень запущенных сервисов;

3) информация о типе каждого сервиса (дублирующийся/не дублирующийся);

4) сведения о доступности каждого сервиса (доступен/не доступен).

Результатом реализации алгоритма модулем обеспечения отказоустойчивости сервисов является перезапуск сервисов на другом аппаратном узле с присвоением виртуального IP-адреса.

Обеспечение отказоустойчивости происходит по следующему алгоритму.

1) опрос доступности сервиса;

2) в случае недоступности - получение информации о типе сервиса (дублирующийся/не дублирующийся);

3) если сервис не дублирующийся - запуск сервиса на другом узле.

Следует отметить, что множество служебных ВМ может быть обеспечено частью второй группы ЭВМ, предназначенных для хранения программных сессий (которые, как показано выше, могут входить в пул хоста).

Кроме того, указанные выше модули MAP, МВМ и МС могут обмениваться собранной информацией и соответствующими командами для ее сбора/получения/отправки с ЭВМ управления.

Источники информации

[1] Олифер В.Г., Олифер Н.А. Компьютерные сети, учебник для вузов. - СПб, 2005.

[2] RU 122505 U1, 27.11.2012, Бюл. №33.

Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений, включающий в себя связанные между собой и соединенные посредством сети первую группу рабочих ЭВМ и вторую группу ЭВМ для хранения программных сессий, а также ЭВМ управления, через которую связаны вторая группа ЭВМ для хранения программных сессий, высокопроизводительные вычислительные ресурсы и разделяемые файловые хранилища, отличающийся тем, что в него дополнительно введены гипервизор, соединенный сетью со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления; система обеспечения безопасности, включающая в себя модуль обнаружения и предотвращения вторжений (ОВ), модуль межсетевого экранирования (МЭ) и модуль защиты от несанкционированного доступа (МЗ) и система обеспечения отказоустойчивости, включающая в себя модуль обеспечения отказоустойчивости на уровне аппаратных ресурсов (MAP), модуль мониторинга сервисных виртуальных машин (МВМ) и модуль обеспечения отказоустойчивости сервисов (МС); при этом модуль ОВ соединен с модулем МЭ, модуль МЭ соединен с модулем МЗ, ЭВМ управления и связан сетью со второй группой ЭВМ для хранения программных сессий, модуль МЗ дополнительно связан с ЭВМ управления; каждый из модулей MAP, МВМ и МС связан с гипервизором, со второй группой ЭВМ для хранения программных сессий и с ЭВМ управления.

Изобретение относится к вычислительной технике. Технический результат заключается в устранении нарушений в работе операционной системы за счет загрузки кода по меньшей мере одного программного модуля в главную память посредством процессора системы безопасности.

Способ защиты информации планшетного компьютера с помощью создания идентичного ложного электромагнитного излучения // 2557443

Изобретение относится к вычислительной технике и может быть использовано для защиты информации планшетного компьютера от утечки обрабатываемой или хранимой на нем информации по побочным электромагнитным излучениям и наводкам (ПЭМИН).

Способ и радиотехническая система идентификации летательных аппаратов // 2556426

Изобретение относится к радиотехническим системам извлечения информации, а именно к радиолокационным системам с активным ответом, и может быть использовано для удаленного идентифицирования летательных аппаратов при решении различных задач, связанных с контролем нахождения летательных аппаратов в охраняемых зонах и/или их опознавания.

Способ предотвращения несанкционированного использования оборудования транспортного средства // 2556383

Изобретение относится к вычислительной технике. Технический результат заключается в эффективном воспрепятствовании несанкционированного использования украденного оборудования в другом транспортном средстве.

Способ электронного нотариального заверения (варианты) // 2556379

Изобретение относится к вычислительной технике. Технический результат заключается в подтверждении факта отправки документа или файла с указанием даты и времени отправки по электронной почте.

Браузер с состоящей из двух частей машиной обработки сценариев для защиты конфиденциальности // 2556338

Изобретение относится к области обработки данных. Техническим результатом является обеспечение защиты конфиденциальных данных пользователя.

Способ и устройство для безопасной передачи данных // 2554532

Изобретение относится к способу памяти данных для хранения компьютерного программного продукта и устройству для безопасной передачи данных. Технический результат заключается в повышении безопасности передачи данных.

Активация услуги с использованием алгоритмически заданного ключа // 2554529

Изобретение относится к области активации услуг с использованием алгоритмически заданных ключей. Технический результат - предотвращение нарушения безопасности системы обработки данных.

Управление доступом пользователя к мультимедийному контенту // 2554122

Изобретение относится к мультимедийному устройству и системе для управления доступом пользователя к мультимедийному контенту. Техническим результатом является управление доступом пользователя к мультимедийному контенту, причем доступ разрешается именно на выбранном мультимедийном устройстве.

Связь между устройствами // 2553102

Изобретение относится к средствам предоставления возможности одному устройству связи получать доступ к данным, таким как набор мультимедийных объектов, доступных посредством другого устройства связи.

Сеть с топологией расширенного обобщенного гиперкуба // 2556458

Изобретение относится к области высокопроизводительных многопроцессорных вычислительных систем. Техническим результатом является обеспечение надежных высокоэффективных сетей с большим числом процессорных узлов.

Интеллектуальные ярусы данных резервного копирования // 2555230

Изобретение относится к области распределения информации резервного копирования по местоположениям хранения в основанной на сети архитектуре резервного копирования.

Использование предварительной обработки на сервере для развертывания представлений электронных документов в компьютерной сети // 2555219

Изобретение относится к области компьютерных сетей, а именно к клиент-серверным компьютерным сетям. Технический результат заключается в увеличении производительности сети и снижении задержки в доставке электронных документов, запрошенных пользователями.

Синхронизация частей файла с использованием серверной модели хранения информации // 2554845

Изобретение относится к области синхронизации частей файла с помощью серверной модели хранения информации в клиент-серверной компьютерной сети. Техническим результатом является повышение защищенности данных при синхронизации.

Способ и устройство для безопасной передачи данных // 2554532

Устройство и способ синхронизации контента электронной книги с видеоконтентом, и система для этого // 2550522

Изобретение относится к средствам синхронизации контента. Технический результат заключается в обеспечении синхронизации мультимедийного контента и контента электронной книги.

Обеспечение возможностей конфигурируемого технологического процесса // 2550520

Изобретение относится к области администрирования и анализа данных. Техническим результатом является повышение точности и надежности обработки информации заданного технологического процесса.

Система прогнозирования и оценки безопасности опасного производственного объекта с использованием комплексной модели обеспечения безопасности // 2549514

Изобретение относится к области автоматизированных систем управления безопасностью опасного производственного объекта и может быть использовано на всех этапах жизненного цикла объекта, а именно при проектировании, строительстве, эксплуатации и ликвидации опасного производственного объекта.

Расширение возможностей сотрудничества при использовании внешних данных // 2546322

Изобретение относится к области компьютерных систем. Техническим результатом является обеспечение эффективного доступа к внешним хранилищам данных.

Система поиска информации с обратной связью в реальном времени // 2546308

Изобретение относится к компьютерной технике, а именно к поисковым системам в сети Интернет. Техническим результатом является минимизация вычислительных издержек за счет генерации предлагаемого терма запроса в реальном времени на основании оперативного контента.

Способ и устройство выбора предпочтительного средства защиты информации // 2558238

Изобретение относится к компьютерной технике, а именно к цифровым вычислительным системам для определения качества сравниваемых сложных систем, средств, изделий и различных объектов, описываемых значительным числом разнородных единичных показателей. Технический результат - расширение арсенала технических средств для повышения защиты информации. Устройство выбора предпочтительного средства защиты информации, содержащее коммутатор и первый блок памяти, отличающееся тем, что в его состав введены блок формирования шкалы оценки качества, блок определения комплексных показателей качества, второй блок памяти, блок выбора максимума, блок визуализации и блок управления, при этом выходы коммутатора подключены к информативным входам первого блока памяти, выход которого соединен с входом блока формирования шкалы оценки качества, выходы которого и выход первого блока памяти соединены со входами блока определения комплексных показателей качества, подключенного своим выходом ко входу второго блока памяти, выход которого соединен через блок выбора максимума и блок визуализации со входом блока управления, управляющие выходы которого подключены к управляющим входам всех блоков. 2 н.п. ф-лы, 2 ил., 3 табл.