Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95  Откуда: Санкт-Петербург
|
Поднималась и не раз тема построения УЦ на виртуальных машинах и применение CSP на VM. Общее видение компании КриптоПРО в 2011 году - при использовании CSP на виртуальных машинах теряется свойство сертифицированности. В настоящее время стандартом построения ЦОД-ов является VM+СХД+Net. По всем регионам развернута программа построения СМЭВ/РСМЭВ, регионы делают порталы услуг, строят ЦОД-ы, применяя при этом виртуализацию в чуть более чем всех случаях. Во многих системах осуществляется применение и технологий ЭП. Все это системы, обслуживающие государственные органы (ПКЗ-2005). Теперь вопрос: существуют ли прецеденты возникновения проблем из-за использования CSP при виртуализации? Формальное это нарушение или серьезное?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Поднималась и не раз тема построения УЦ на виртуальных машинах и применение CSP на VM. Общее видение компании КриптоПРО в 2011 году - при использовании CSP на виртуальных машинах теряется свойство сертифицированности. В настоящее время стандартом построения ЦОД-ов является VM+СХД+Net. По всем регионам развернута программа построения СМЭВ/РСМЭВ, регионы делают порталы услуг, строят ЦОД-ы, применяя при этом виртуализацию в чуть более чем всех случаях. Во многих системах осуществляется применение и технологий ЭП. Все это системы, обслуживающие государственные органы (ПКЗ-2005). Теперь вопрос: существуют ли прецеденты возникновения проблем из-за использования CSP при виртуализации? Формальное это нарушение или серьезное? Прецеденты нам неизвестны. Поэтому неизвестно, как отнёсется к этому нарушению регулятор. Я бы отнёс это нарушение к формальным. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:
Прецеденты нам неизвестны. Поэтому неизвестно, как отнёсется к этому нарушению регулятор. Я бы отнёс это нарушение к формальным.
Коли так, то и УЦ развернутые на виртуальной инфраструктуре тоже имеют право на жизнь? Для владельца администрировать УЦ на vm гораздо удобнее, дешевле и надежнее. Так что, вполне можно ожидать и УЦ функционирующих в виртуальной среде, правильно?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Коли так, то и УЦ развернутые на виртуальной инфраструктуре тоже имеют право на жизнь?
Для владельца администрировать УЦ на vm гораздо удобнее, дешевле и надежнее. Так что, вполне можно ожидать и УЦ функционирующих в виртуальной среде, правильно? Я высказал мнение, что нарушение формальное. Но отсюда не следует утверждение "имеют право на жизнь". Могут и имеют право - это две большие разницы. ПАК "КриптоПро УЦ" вополне работоспособен в виртуальной среде типа vm. Но не надо обобщать! СКЗИ по классу КС1 в виртуальной среде - это можно считать как формальное нарушение. СКЗИ по классу КС2 в виртуальной среде - это можно считать как грубое нарушение. Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет. А "КриптоПро УЦ" (как и любой нормальный УЦ) - это КС2 как минимум. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:
Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет.
Это не составляет проблемы. VMWare позволяет монтировать PCI устройства физически подключенные к блейдам внутрь виртуальной машины. Пример, у меня в стойке сейчас три железных одноюнитовых сервера x35, на них стоят win2003 и софт уц. Соответственно, я у меня есть риски с выходом из строя железа, сбоя ОС и прочее. Как можно сделать: на всех трех серверах я ставлю ESXi. Поднимаю кластер из трех серверов. Создаю три виртуальные машины, которые распределяю по трем физическим серверам, монтирую внутрь виртуальных машин аккорды. Имеем кучу профитов: 1. Бэкап осуществляется в один клик целиком виртуальной машины 2. В случае выхода из строя двух из трех (или сколько угодно) железных серверов виртуальные машины переползают на оставшиеся сервера. 3. win2003 и софт уц и знать не знают что они в виртуальной среде и работают по прежнему. Таким образом, технически решение должно работать (не пробовал, пока на уровне концепта). Остается вопрос юридический, о чем речь и веду =)
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Юрий Маслов написал:
Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет.
Это не составляет проблемы. VMWare позволяет монтировать PCI устройства физически подключенные к блейдам внутрь виртуальной машины. Пример, у меня в стойке сейчас три железных одноюнитовых сервера x35, на них стоят win2003 и софт уц. Соответственно, я у меня есть риски с выходом из строя железа, сбоя ОС и прочее. Как можно сделать: на всех трех серверах я ставлю ESXi. Поднимаю кластер из трех серверов. Создаю три виртуальные машины, которые распределяю по трем физическим серверам, монтирую внутрь виртуальных машин аккорды. Имеем кучу профитов: 1. Бэкап осуществляется в один клик целиком виртуальной машины 2. В случае выхода из строя двух из трех (или сколько угодно) железных серверов виртуальные машины переползают на оставшиеся сервера. 3. win2003 и софт уц и знать не знают что они в виртуальной среде и работают по прежнему. Таким образом, технически решение должно работать (не пробовал, пока на уровне концепта). Остается вопрос юридический, о чем речь и веду =) Если концепт удастся реализовать технически (у других не получалось датчик физический подключить), то нарушение категорируем как формальное. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow
|
Юрий Маслов написал:Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет.
А "КриптоПро УЦ" (как и любой нормальный УЦ) - это КС2 как минимум.
http://www.securitycode....roducts/sobol/sobol_new/Реализована поддержка операционных систем: Mandriva 2008 Spring x86/x64 ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86; ALT Linux Server 4.0.0 Secure Edition x86/x64; Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64; Debian 5.0.3 x86 vSphere ESX 4.1 x64Отредактировано пользователем 1 июня 2012 г. 18:02:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
ridick7770 написал:Юрий Маслов написал:Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет.
А "КриптоПро УЦ" (как и любой нормальный УЦ) - это КС2 как минимум.
http://www.securitycode....roducts/sobol/sobol_new/Реализована поддержка операционных систем: Mandriva 2008 Spring x86/x64 ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86; ALT Linux Server 4.0.0 Secure Edition x86/x64; Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64; Debian 5.0.3 x86 vSphere ESX 4.1 x64 А где сертификат соответствия ФСБ и на что он? |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow
|
Юрий Маслов написал:ridick7770 написал:Юрий Маслов написал:Ибо для КС2 нужен физический датчик случайных чисел. А где Вы найдёте такой датчик, сертифицированный ФСБ, что бы он физически работал в виртуальной среде? Ни Соболя ни Аккорда с датчиками для vm или иной виртуалки нет.
А "КриптоПро УЦ" (как и любой нормальный УЦ) - это КС2 как минимум.
http://www.securitycode....roducts/sobol/sobol_new/Реализована поддержка операционных систем: Mandriva 2008 Spring x86/x64 ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86; ALT Linux Server 4.0.0 Secure Edition x86/x64; Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64; Debian 5.0.3 x86 vSphere ESX 4.1 x64 А где сертификат соответствия ФСБ и на что он? http://www.itsec.ru/newstext.php?news_id=80387пока нашел только это... А ФСТЭКовского сертификата разве не достаточно для того, чтобы вести деятельность в сфере регулирования ФСБ? Отредактировано пользователем 1 июня 2012 г. 18:30:35(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.07.2011(UTC)
Сообщений: 50
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 5 раз в 4 постах
|
Добрый день, возникает вопрос, а если Виртуальная машина является основным компонентом СЕРТИФИЦИРОВАННОЙ ОС ? Я говорю об Альт-линуксе, который недавно сертифицировали. Его основным компонентом является ВМ VirtualBOX, статья по этому поводу на Хабр http://habrahabr.ru/post/117916/ .
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
