Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Организация разграничения доступа с использованием средств виртуализации

Ancud LTD
March 29, 2017

Организация разграничения доступа с использованием средств виртуализации

Ancud LTD

March 29, 2017
Tweet

More Decks by Ancud LTD

Other Decks in Technology

Transcript

  1. View Slide

  2. Традиционные системы разграничения доступа – минимальная конфигурация
    Правила разграничения доступа:
    • пользователь – ресурс
    или
    • пользователь + процесс – ресурс
    2
    Блок идентификации и
    аутентификации
    БД
    полномочий
    Служебные утилиты администрирования
    Драйвер разграничения
    доступа

    View Slide

  3. 3
    Полнофункциональная конфигурация традиционной СРД
    Служебные утилиты администрирования
    БД
    полномочий
    Блок аудита
    Аппаратные средства защиты Драйвер разграничения
    доступа
    Драйвер фильтрации
    устройств USB
    Реализация режима паузы
    неактивности
    Блок идентификации и
    аутентификации
    Блок управления
    Блок разграничения
    доступа

    View Slide

  4. Аппаратура
    АПМДЗ
    Уровень ядра
    Драйвер
    разграничения
    доступа
    Ring 0
    Уровень приложений
    Ring 3
    Приложение
    Приложение с НДВ
    4
    Принцип работы традиционной СРД

    View Slide

  5. 5
    Аппаратура
    АПМДЗ
    Уровень ядра
    Драйвер
    разграничения
    доступа
    Ring 0
    Уровень приложений
    Ring 3
    Приложение
    Драйвер с НДВ
    5
    Возможность атаки на традиционную СРД

    View Slide

  6. Аппаратура
    АПМДЗ
    Уровень ядра
    Драйвер
    разграничения
    доступа
    Ring 0
    Гипервизор
    Hook
    MSR-регистров
    Функции защиты
    СЗИ
    Ring -1
    6
    Устранение потенциальной уязвимости с помощью гипервизора

    View Slide

  7. Разрешённые сетевые ресурсы
    ОС и приложения пользователя
    Виртуальный диск с разрешёнными данными
    Сеть Данные
    Виртуальная машина для пользователя
    Гипервизор
    Функции защиты СЗИ и
    разграничения доступа
    Доверенная ОС
    Межсетевой
    экран
    Виртуальная машина
    для защиты сети
    Антивирус
    Виртуальная машина
    для контроля данных
    7
    Перспективы дальнейшего развития

    View Slide

  8. 8

    View Slide