Віртуалізація - Резервування сервера авторизації vGate R2.

Наша взаимовыгодная связь https://banwar.org/

Резервування сервера авторизації vGate R2.
Автор: Олександр Самойленко
Дата: 20/04/2012

Ми вже не раз писали про продукт номер 1 - vGate R2 , Який є лідером на ринку захисту віртуальних інфраструктур за рахунок коштів автоматичної настройки віртуального середовища VMware vSphere і механізмів захисту від несанкціонованого доступу . Також нагадаємо, що реліз продукту vGate R2 з підтримкою VMware vSphere 5 вже випущений і отримав сертифікат ФСТЕК Росії .

Сьогодні ми поговоримо про резервування сервера авторизації vGate R2. Сервер авторизації - це основний компонент vGate R2, який здійснює авторизацію і аутентифікацію користувачів, без якого не можна буде адмініструвати середу VMware vSphere, якщо він раптом вийде з ладу. Він виконує наступні функції:

• Централізоване управління СЗІ vGate
• Аутентифікація користувачів і комп'ютерів
• Розмежування доступу до засобів управління віртуальною
  інфраструктурою
• Реєстрація подій безпеки
• Зберігання даних (облікової інформації, журналів аудиту та
  конфігурації СЗІ vGate)
• Реплікація даних з основного на резервний сервер авторизації

У загальній картинці інфраструктури захисту VMware vSphere сервер авторизації vGate R2 займає центральне місце:

Відповідно, цей сервер потребує резервування для підвищення відмовостійкості. Резервування сервера авторизації в vGate R2 реалізовано за принципом "active-passive". Один сервер авторизації (основний) виконує всі функції по управлінню vGate і авторизації адміністраторів віртуальної інфраструктури. Другий сервер авторизації (резервний) є пасивним.

У разі виходу з ладу основного сервера авторизовані сесії адміністраторів vSphere розриваються; на кожному з підключених робочих місць видається повідомлення про
необхідності повторної аутентифікації.

У разі виходу з ладу основного сервера авторизації адміністратор ІБ може передати управління резервному сервера. Отримавши управління, резервний сервер починає виконувати всі функції основного. Після повторної аутентифікації адміністратора vSphere агенти аутентифікації на їх робочих місцях переключаються на роботу з новим основним сервером автоматично.

Таким чином, робота системи не блокується надовго. Оскільки на резервному сервері зберігаються актуальна інформація про конфігурацію системи, облікові записи і т. Д., Заміна сервера авторизації стане практично непомітною для адміністраторів VMware vSphere, що працюють в захищеній віртуальному середовищі. Після відновлення або заміни основного сервера авторизації можна повернути управління системою цього сервера або залишити ці функції за колишнім резервним сервером.

Основний і резервний сервери авторизації можуть працювати у віртуальних машинах, для яких потрібно обов'язково зробити правило (Anti-affinity rule) неможливості існування їх на одному хост-сервері VMware ESXi, щоб обидва сервера одночасно не вийшли з ладу.

Встановлюється резервний сервер авторизації vGate R2 дуже просто - потрібно запустити інсталятор на тій машині, яка буде резервної і вказати IP-адресу основного сервера, а також порт для каналу реплікації даних:

Якщо ви використовуєте конфігурацію з резервним сервером авторизації, то DNS-сервер рекомендується розмістити у зовнішній (по відношенню до захищається периметру) мережі.

Передача управління резервному сервера авторизації виглядає наступним чином:

• Відключення живлення на основному сервері.
• Додавання в властивості мережевого адаптера резервного сервера, підключеного до захищається периметру, IP-адреси, що збігається з основним IP-адресою мережевого адаптера основного сервера авторизації, підключеного до захищається периметру. Основний IP-адреса повинна знаходитися першим в списку IP-адрес мережевого адаптера.
• На резервному сервері виконується Пуск> Програми-> Код безпеки-> Реплікація-> Збій основного сервера. Чекаємо завершення процесу блокування реплікації даних.
• У DNS адміністратор змінює настройки псевдоніма (CName), налаштувавши посилання на повне доменне ім'я (FQDN) резервного сервера.

Після відновлення колишнього основного сервера його можна залишити резервним для нового основного.

Наостанок зазначимо, що ліцензія на резервний сервер авторизації купується окрема (на екземпляр), тому не забудьте цей момент при плануванні бюджету і складання специфікації.

Завантажити пробну версію продукту vGate R2 можна по цим посиланням . Презентації по захисту віртуальних інфраструктур доступні тут , А сертифікати ФСТЕК продукту - тут .