Подготовка сервера с виртуализацией на базе ОС Astra Linux (QEMU/KVM) для развертывания платформы ViPNet Prime

Введение. 

1.Обзор аппаратной платформы. 

2.Схема расположения компонентов ViPNet Prime. 

3.Установка Astra Linux Воронеж. 

4.Создание сетевого моста. 

5.Создание виртуальных машин. 

6.Установка ОС Astra Linux Common Edition (CE) на созданные виртуальные машины. 

Заключение

Введение.

В мире современных информационных технологий безопасность данных - это неотъемлемый компонент успешной работы любой организации. В контексте защиты конфиденциальной информации, особое внимание уделяется средствам криптографической защиты, и одной из ведущих платформ в этой области является ViPNet Prime от ИнфоТеКС.

В данной статье мы рассмотрим ключевые этапы подготовки сервера виртуализации для развертывания ViPNet Prime на ОС Linux. Мы погрузимся в процесс подготовки и настройки сервера Linux, начиная с основных шагов установки и заканчивая рекомендациями по оптимизации и конфигурации.

Хорошо спланированная и правильно настроенная инфраструктура информационной безопасности играет важную роль в современном бизнесе, и ViPNet Prime является важной частью этого уравнения. 

1.Обзор аппаратной платформы для развертывания ViPNet Prime.

К выбору аппаратной платформы для развертывания ViPNet Prime нужно подходить весьма основательно. Она должна соответствовать необходимым системным требованиям, а также отличаться надежностью и отказоустойчивостью. 

Основные требования рассмотрим в таблице ниже:

Таблица 1. Системные требования

Оптимальным вариантом будет служить сервер размером 1U. Данное решение, является подходящим по производительности и надежности, занимает минимум пространства в серверной стойке и обладает такими мерами отказоустойчивости, как дублирующий блок питания и использование аппаратного RAID контроллера с резервированием данных (1, 5, 6 RAID).

В данной статье, мы рассмотрим пошаговое развертывание платформы ViPNet Prime на сервер с виртуализацией: AquaServer T50 D14 

Технические характеристики AquaServer T50 D14:

ЦП: Intel® Xeon® CPU E5-2620 v2 @ 2.10GHz (2 шт.)

ОЗУ: 40 Гб

SSD: 512 Гб

2.Схема расположения компонентов ViPNet Prime.

После выбора аппаратной платформы приступаем к реализации следующей схемы расположения компонентов ViPNet Prime:

Рис.1 Схема расположения компонентов ViPNet Prime

Для создания виртуальных машин, будем использовать ПО “Менеджер виртуальных машин”, основанное на qemu kvm (*данное программное обеспечение идет в комплекте дистрибутива Astra Linux уровень защищенности Усиленный Воронеж). Для реализации указанной выше схемы, его функционала будет достаточно.  

QEMU и KVM часто используются вместе, а их совместное использование создает полноценное решение для виртуализации на уровне машины с высокой производительностью и широким спектром возможностей. Это позволяет пользователям создавать, управлять и масштабировать виртуальные машины на своей хост-системе, что является удобным для разработки, тестирования и управления приложениями и инфраструктурой. Если нужен комплексный подход к виртуализации, с поддержкой аппаратной виртуализации и эмуляции различных аппаратных сред, то создание виртуальных машин с помощью QEMU KVM на Linux является отличным выбором.

ОС Astra Linux релиз Воронеж возможно использовать в следующих типах информационных систем:

• до 1 класса защищенности ГИС включительно, до 1 уровня защищенности ИСПДн включительно;

• до 1 категории значимости ЗО КИИ включительно;

• до 1 класса защищенности АСУ ТП включительно.

Разбиение на 2 виртуальные машины (далее -“ВМ”) связано с распределением нагрузки между модулями ViPNet Prime и предупреждением переполнения диска компонента NVS (Network Visibility System), поскольку при большом количестве узлов и активной их эксплуатации, генерируется большое кол-во событий мониторинга.

(Напоминание: обязательными компонентами являются Ядро и модуль VPN).

3.Установка Astra Linux Special Edition Воронеж.

Установка Astra Linux Воронеж довольно проста. Для начала необходимо создать загрузочный usb-флеш-накопитель, с помощью программы Rufus. 

Рис.2 Интерфейс программы Rufus

Далее, записать образ в режиме iso и после окончания создания загрузочной флешки Rufus, загрузиться с неё на выбранном сервере.

Для настройки и установки ОС Astra Linux SE Воронеж  выполните 12 шагов, согласно инструкции ниже:

Шаг 1. Принятие лицензионного соглашения. 

На этом шаге необходимо прочитать и принять условия лицензионного соглашения.

Рис.3 Скриншот лицензионного соглашения по использованию ОС Astra Linux

Шаг 2. Выбор комбинации клавиш для переключения языка.

Далее нужно указать наиболее удобный способ переключения клавиатуры между национальной и латинской раскладкой.

Рис.4 Настройка клавиатуры

Шаг 3. Выбор имени устройства. 

На этом шаге нужно ввести имя компьютера - одно слово, которое идентифицирует вашу систему в сети.

Рис.5 Настройка сети

Шаг 4. Указание имени локального администратора.

Далее нужно ввести в поле имя учетной записи администратора.

Рис.6 Настройка учетной записи администратора

Шаг 5. Указание пароля для локального администратора.

Следующим шагом придумайте пароль для учетной записи.

Рис.7 Настройка пароля учетной записи администратора

Шаг 6. Выбор часового пояса.

На этом шаге требуется выбрать нужный часовой пояс из предложенных.

Рис.8 Настройка времени

Шаг 7. Разметка диска. 

Из списка разделов выберите нужный,чтобы изменить его настройки. Для удобства можно выбрать автоматическую разметку. Система сама оптимальным образом создаст все необходимые ей разделы.

Рис.9 Разметка дисков

Шаг 8. Выбор дополнительных компонентов. 

Выберите устанавливаемое программное обеспечение, исходя из ваших потребностей. Для удобства администрирования можно выбрать графический интерфейс и сервер ssh.

Рис.10 Выбор программного обеспечения

Шаг 9. Выбор уровня защищенности. 

В данном случае, из предложенных уровней защищенности, выбираем усиленный уровень “Воронеж”.

Рис.11 Дополнительные настройки ОС

Шаг 10. Выбор дополнительных настроек безопасности.

Выберите настройки параметров безопасности в зависимости от выбранного режима работы.

Рис.12 Выбор настроек параметров безопасности ОС

Шаг 11. Установка пароля для загрузчика GRUB.

Чтобы защититься от несанкционированного доступа к системе, задайте настройку пароля для системного загрузчика GRUB.

Рис.13 Установка пароля системного загрузчика GRUB

Шаг 12. Завершение установки Astra linux

Завершите установку ОС. Для этого извлеките установочный носитель и нажмите “Продолжить”. После завершения процесса система перезапустится автоматически.

Рис.14 Завершение установки ОС

4.Создание сетевого моста для доступа к виртуальным машинам ViPNet Prime.

После того как система завершила установку ОС Astra Linux Special Edition, необходимо войти в учетную запись администратора и создать сетевой мост.

В операционной системе (ОС) Linux, сетевой мост (bridge) представляет собой механизм, позволяющий объединить несколько сетевых интерфейсов в единое устройство уровня 2, что позволяет им работать как одна сетевая сущность. Таким образом, происходит коммутация пакетов на уровне кадров сетевого уровня (Data Link Layer, OSI Layer 2).

Сетевой мост в Linux позволяет передавать трафик между физическими и виртуальными интерфейсами, а также между различными сетевыми сегментами, создавая сегментацию сети и повышая ее эффективность. Этот процесс может быть полезен для объединения локальных сетей, организации виртуальных сетей, агрегации пропускной способности сети (link aggregation), а также для развертывания виртуальных сред с использованием программ виртуализации.

Правой кнопкой мыши кликните на апплет “NetworkManager” и перейдите в пункт “Изменить соединение”.

Рис.15 Пункты для выбора в меню NetworkManager

Нажмите на кнопку”+” далее  “Добавить соединение”.

Рис.16 Настройка NetworkManager.Раздел “Сетевые соединения”

Из выпадающего списка выберите пункт “Мост”. Нажмите кнопку “Создать…”

Рис.17 Выбор типа соединения

В параметрах подчиненных сетевых интерфейсов, добавьте ethernet интерфейс eth0. Для удобства администрирования можно использовать под сетевой мост, отдельный физический сетевой интерфейс - во вкладке “Мост” настроить ip адресацию, но в нашем случае мост получит статический адрес по dhcp.

Рис.18 Изменение параметров соединения

5.Создание виртуальных машин.

После создания сетевого моста приступайте к конфигурированию виртуальных машин с помощью менеджера виртуальных машин для Linux. Процесс создания займет у Вас 6 шагов, описанных ниже.

Virt-Manager - это графический менеджер виртуализации для управления виртуальными машинами с использованием гипервизора KVM в операционной системе Linux. Он обеспечивает простой способ создания, настройки, запуска и контроля виртуальных окружений через удобный графический интерфейс.

Рис.19 Графический интерфейс менеджера виртуальных машин для Linux Virt-Manager

Шаг 1. Выбор способа установки ОС. 

Выберите метод установки ОС. В нашем случае предлагается загружать iso образ.

Рис.20 Выбор метода установки новой виртуальной машины qemu kvm

Шаг 2. Выбор iso образа, который будем запускать. 

Нажмите “Обзор” и выберите файл образа ISO для установки. Согласно документации, ViPNet Prime поддерживает две системы - это Astra Linux Common Edition 2.12 и Ubuntu Server 20.04.

Рис.21 Выбор iso образа для установки

Шаг 3. Выделение ресурсов оперативной памяти и процессора. 

Выберите параметры памяти и количество процессоров.

Рис.22 Выбор параметров памяти и процессора

Шаг 4. Создание образа диска для хранения данных. 

Настройте пространство для хранения данных. На него будет установлена ОС для ViPNet Prime. Выберите объем занимаемой памяти.

Рис.23 Создание образа диска для виртуальной машины

Шаг 5. Указание имени виртуальной машины и выбор сетевого моста.

Здесь укажите название виртуальной машины и выберите ранее созданный сетевой мост “bridge0”.

Рис.24 Указание имени виртуальной машины

Шаг 6. Создание виртуальной машины для модуля NVS (Network Visibility System). 

Далее повторите шаги 1-5, но уже для виртуальной машины NVS.

Рис.25 Создание виртуальной машины для модуля NVS

Итого:  Вы создали две виртуальные машины.

Рис.26 Созданные виртуальные машины

6.Установка ОС Astra Linux Common Edition (CE) на созданные виртуальные машины.

После нажатия кнопки “Готово” виртуальная машина автоматически запустится. Установка Astra Linux Common Edition (CE) практически не отличается от установки Astra Linux Special Edition (SE) за исключением пары пунктов.

Шаг 1. Выбор метода установки Astra Linux Common Edition. 

Выберите способ установки ОС Astra Linux CE. Можно выбрать любой, тут дело вкуса.

Рис.27 Начало установки Astra Linux CE

Шаг 2. Принятие лицензионного соглашения.

На этом шаге ознакомьтесь с лицензионным соглашением и нажмите “Продолжить”

Рис.28 Лицензионное соглашение Astra Linux CE

Шаг 3. Выбор сочетания клавиш для переключения языка.

На данном этапе выберите удобный способ переключения раскладки.

Рис.29 Настройка клавиатуры

Шаг 4. Указание имени хоста.

Введите имя компьютера.

Рис.30 Настройка сети. Ввод имени хоста. 

Шаг 5. Указание имени локального администратора.

Введите в поле имя учетной записи администратора Astra Linux CE.

Рис.31 Ввод учетной записи пользователя 

Шаг 6. Настройка пароля локального администратора.

Введите в поля пароль для нового администратора.

Рис.32 Ввод пароля учетной записи пользователя 

Шаг 7. Выбор часового пояса.

Выберите нужный часовой пояс из предложенных.

Рис.33 Настройка времени

Шаг 8. Разметка диска.

Выберите нужное из списка настроенных разделов и их точек монтирования.

Рис.34 Разметка дисков

Шаг 9. Выбор версии ядра Astra Linux.

Выберите из списка одно из доступных ядер, чтобы система могла загрузиться с жесткого диска.

Рис.35 Выбор версии ядра Linux для установки

Шаг 10. Выбор дополнительного ПО. 

Отключите лишние пакеты, оставив ssh для администрирования.

Рис.36 Выбор программного обеспечения

Шаг 11. Выбор дополнительных настроек безопасности.

Отметьте нужное в списке дополнительных настроек безопасности.

Рис.37 Выбор дополнительных настроек ОС Astra Linux CE

Шаг 12. Установка системного загрузчика grub.

Примите соглашение с установкой системного загрузчика GRUB в главную учетную запись.

Рис.38 Установка системного загрузчика GRUB

Шаг 13. Завершение установки.

Завершите установку ОС Astra Linux Common Edition и извлеките установочные носители, чтобы система могла загрузиться.

Рис.39 Завершение установки ОС Astra Linux CE

Шаг 14. Повторить шаги 1-13 для второй виртуальной машины.

Заключение

Инфраструктура для  ViPNet Prime требует обеспечения высокой степени надежности, безопасности и эффективности серверной среды. Подготовка сервера Astra Linux является ключевым шагом в создании стабильной и устойчивой инфраструктуры, для развертывания ViPNet Prime.

В процессе подготовки сервера Linux, мы уделили внимание таким аспектам как:

• установка хостовой операционной системы;

• настройка сетевого моста;

• возможные способы обеспечения отказоустойчивости аппаратной платформы;

• установка гостевых операционных систем

благодаря описанной выше пошаговой подготовке сервера, вы без труда осуществите развертывание программного обеспечения ViPNet Prime.