Astra Linux Special Edition: обзор защищенной российской ОС

Как Astra Linux устроена с точки зрения безопасности, какие средства защиты встроены в систему и от каких угроз она защищает, читайте в нашем обзоре.

Группа компаний «Астра» — один из лидеров российского рынка информационных технологий в области разработки ПО и средств защиты информации. В основе экосистемы — Astra Linux, защищенная, масштабируемая и оптимизированная для высоких нагрузок сертифицированная российская операционная система. Также в портфеле вендора — средства виртуализации, управления доменом и резервного копирования, VDI, инфраструктурные платформы, СУБД, корпоративная почта и мобильное рабочее место.

Astra Linux Special Edition — это российская операционная система со встроенными средствами защиты информации. По данным разработчиков, к 2023 году продукт используют уже порядка 20 тысяч организаций, а общее количество инсталляций превысило 2,5 млн, что обеспечивает Astra Linux долю в порядка 75% рынка отечественных ОС.

В зависимости от своих целей, компании могут выбирать специализированный вариант ОС:

• серверная. Содержит полный набор компонентов для развертывания серверной инфраструктуры организации;
• десктопная. Подходит для офисной работы, просмотра мультимедийного контента, работы с ресурсоемкими приложениями с использованием графических видеокарт;
• мобильная. Позволяет использовать планшет как обычный компьютер при подключении к периферии;
• встраиваемая (Embedded). Предназначена для IoT-устройств, систем безопасности и видеонаблюдения, промышленных компьютеров, контроллеров и систем управления, СХД, шлюзов и концентраторов, тонких клиентов, POS- и платежных терминалов, информационных киосков, касс, банкоматов, информационных и рекламных табло, электронных очередей, телекоммуникационных систем и прочих узкоспециализированных устройств для широкого спектра отраслей.

Вне зависимости от выбранной версии, компании получают систему с полным набором средств защиты информации (СЗИ), которые и составляют основное преимущество Astra Linux Special Edition.

Акцент на защите

Разработчики подчеркивают: максимальная защищенность — это ключевая особенность их системы. Она может прямо «из коробки» эффективно противостоять основным киберугрозам, снизить ущерб от вредоносной активности.

Сервисы безопасности Astra Linux позволяют блокировать попытки вредоносного ПО внедриться в систему под видом обычных программ, предотвращают нежелательные действия пользователей и администраторов, предотвращают подмену данных, подключение съемных носителей и несанкционированное копирование информации из системы и в нее.

Кроме того, это единственная операционная система в России, которая полностью соответствует требованиям безопасности информации всех основных регуляторов страны. Разработчики опирались на актуальную законодательную базу, в том числе:

• Федеральные законы No 149-ФЗ, No 44-ФЗ и No 187-ФЗ;
• Постановления Правительства Российской Федерации No 1236 и No 325;
• Распоряжение Правительства Российской Федерации No 1588-р;
• Приказ Минцифры России No 334.

Это позволяет использовать Astra Linux для обработки информации с ограниченным доступом — от персональных данных до государственной тайны «особой важности». Все это возможно благодаря встроенным в Astra Linux средствам защиты информации. Поговорим о них подробнее.

Три режима защищенности

С 2021 г. в Astra Linux Special Edition предусмотрено три режима (или уровня) защищенности в зависимости от приобретенной лицензии СЗИ: «Усиленный» («Воронеж»), «Максимальный» («Смоленск»), а также «Базовый» («Орёл») несертифицированный режим.

Режимы защищенности Astra Linux Special Edition

«Воронеж». На этом уровне в системе работают СЗИ собственной разработки ГК «Астра», входящие в подсистему безопасности PARSEC. В первую очередь это механизмы мандатного контроля целостности и замкнутой программной среды, которые противостоят угрозе целостности информации.

Эти СЗИ существенно повышают защищенность Astra Linux от взлома, заражения вредоносным ПО, внедрения программных закладок, получения несанкционированных прав и т. д. В таком режиме Astra Linux Special Edition обеспечивает формирование основного рубежа обороны от нарушителей (поверхности атаки), и разработчики рекомендуют заказчикам работать с ОС именно на этом или на «Максимальном» уровнях защищенности.

«Смоленск». Максимальный уровень защищенности дополняет возможности «Усиленного» режима функциями мандатного управления доступом (МРД) для защиты от угрозы конфиденциальности информации. Суть этого принципа в распределении информации по явно заданным уровням конфиденциальности и выполнении следующих условий:

1. Читать данные из файла или каталога могут только те процессы и пользователи, которые обладают не меньшим уровнем конфиденциальности, чем у запрашиваемых данных.
2. Записывать данные в файл или каталог могут только те процессы с уровнем конфиденциальности, равным или меньшим, чем у этого файла или каталога.
3. Действия процессов в системе не приводят к явной или неявной утечке конфиденциальных данных «сверху-вниз» – с высокого уровня конфиденциальности на низкий (т. е. к созданию так называемых скрытых каналов).

Эти прозрачные правила позволяют пользователям и администраторам систем учитывать человеческий фактор при работе с ОС. Угрозы случайной компрометации или несанкционированных изменений информации значительно сокращаются благодаря возможности четко распределить данные по условным уровням: например, «открытая», «служебная», «важная», «очень важная». А для более тонкой настройки разработчики предусмотрели неиерархические категории, позволяющие привязать информацию к структурным подразделениям: например, «отдел персонала», «бухгалтерия», «отдел продаж», «руководство компании» и т.д.

Есть также базовый уровень защищённости «Орёл» (несертифицированной операционной системы), он не может применяться в корпоративных системах, системах критической информационной инфраструктуры, а также для обработки информации ограниченного доступа, к которой предъявляются требования по защите информации.

Мандатный контроль целостности

В Astra Linux в режимах «Воронеж» и «Смоленск» организован контроль целостности системы и ее компонентов. Файлы, процессы, учетные записи пользователей и прочие компоненты ОС Astra Linux Special Edition распределяются по уровням целостности, после чего штатными средствами безопасности можно защищать компоненты более высокого уровня целостности от несанкционированной записи из компонентов с меньшим уровнем.

Этот подход формализован в ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения», который создан ГК «Астра» совместно с ИСП РАН. Это первый случай в отечественной практике стандартизации, когда мандатный контроль целостности (МКЦ) получил официальное определение.

Безопасный запуск процессов в ОС Astra Linux Special Edition

Как отмечают разработчики, явно заданные уровни целостности, в отличие от предоставляемых прав доступа при штатном дискреционном управлении доступом ОС Linux делают администрирование и настройку защиты прозрачнее. Даже суперпользователь root, который в обычных ОС семейства Linux имеет практически полный набор прав, в ОС Astra Linux Special Edition по умолчанию работает на минимальном уровне целостности 0. Таким образом, перехват его полномочий не откроет злоумышленникам доступ к управлению всей системой.

Наличие МКЦ в ОС Astra Linux Special Edition дает возможность разрабатывать и внедрять новые уникальные технологии защиты. Например, адаптированную контейнерную виртуализацию которая в сочетании с МКЦ позволяет создавать для недоверенного программного обеспечения «песочницы». В таких безопасных зонах недоверенное ПО не будет представлять опасности для всей остальной системы.

Безопасный запуск приложений в Astra Linux

Замкнутая программная среда

При включенной функции ЗПС запуск исполняемых файлов и загрузка исполняемых библиотек возможна только при наличии электронной цифровой подписи на доверительном ключе. Это значительно усложняет эксплуатацию уязвимостей, а в большинстве случаев делает ее неэффективной, поскольку остающиеся у нарушителя незначительные возможности обойти защиту практически полностью перекрываются включенным МКЦ.

Во-первых, внедрить нелегитимную ЭЦП может только пользователь с высоким уровнем целостности. Во-вторых, даже если «зараженный» файл удастся разместить в системе, а нарушитель смог проэксплуатировать заложенную в этом файле уязвимость и получил, например, root-привилегии, он продолжит работу на том же низком уровне целостности.

Помимо этого, в ОС Astra Linux Special Edition имеются еще дополнительные СЗИ, включая запрет запуска интерпретаторов, ограничение прав непривилегированных пользователей с созданием собственных профилей безопасности. Каждый такой профиль содержит перечень имен каталогов или файлов, права доступа к которым надо дополнительно ограничить.

Подробнее обо всех технологиях безопасности в Astra Linux Special Edition можно узнать в библиотеке ГК «Астра».

Подведем итоги

Разработчики ОС Astra Linux Special Edition создали прозрачный и удобный продукт, основанный на отечественных доверенных технологиях, безопасность которых научно обоснована. Система представляет привлекательный вариант для цифровизации и импортозамещения, причем разработчики заявляют о возможности построения гетерогенных систем для одновременного применения ОС Astra Linux и Windows при переходе на российскую платформу.

Соответствие требованиям регуляторов «из коробки» обеспечивает совместимость Astra Linux с ГИС. Набор встроенных средств позволяет выстраивать безопасные виртуальные среды, централизованно управлять ИТ-инфраструктурами любого масштаба. При этом компании не приходится нести расходы на многие дополнительные средства: от уже упомянутых антивирусов до систем электронной подписи.

erid: Kra248buo

* Реклама, Рекламодатель ООО «РусБИТех-Астра», ИНН 7726388700