8.1. АРМ, используемые для выполнения задач администрирования серверных компонентов виртуализации, рекомендуется располагать в специально выделенном сегменте вычислительных сетей. Размещение в указанном выделенном сегменте вычислительных сетей СВТ, не связанных с выполнением задач управления и администрирования, не рекомендуется. Рекомендуется использование сертифицированных сетевых технических средств для реализации запрета использования иных АРМ для выполнения задач управления и администрирования серверных компонентов виртуализации.
8.2. Доступ к средствам управления и администрирования серверных компонентов виртуализации рекомендуется осуществлять с использованием СЗИ от несанкционированного доступа, прошедшим оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
8.3. СЗИ от несанкционированного доступа, используемые для организации доступа к серверным компонентам виртуализации, рекомендуется размещать только на физическом СВТ.
8.4. Не рекомендуется организация функционирования серверных компонентов виртуализации в рамках виртуальных машин.
8.5. Для обеспечения штатного функционирования серверных компонентов виртуализации рекомендуется использовать минимально необходимый и регламентированный набор ПО СВТ, используемых для размещения серверных компонентов виртуализации. Для указанных СВТ рекомендуется выполнять регламентированные процедуры контроля целостности ПО, в том числе выполняемые при загрузке указанного ПО.
Установка и наличие средств, предназначенных для разработки и отладки ПО, на АРМ, используемых для выполнения задач управления и администрирования серверных компонентов виртуализации, не рекомендуется.
8.6. Для обеспечения штатного функционирования серверных компонентов виртуализации рекомендуется использовать минимально необходимый и регламентированный набор устройств (портов) ввода-вывода информации на СВТ, используемых для функционирования серверных компонентов виртуализации.
С применением технических средств рекомендуется осуществлять контроль использования устройств (портов) ввода-вывода информации на СВТ, используемых для функционирования серверных компонентов виртуализации.
8.7. Техническими средствами, в том числе средствами серверных компонентов виртуализации, рекомендуется осуществлять протоколирование следующих событий:
- запуск (остановка) виртуальных машин;
- изменение настроек виртуальных сетевых сегментов, реализованных средствами гипервизора;
- создание и удаление виртуальных машин;
- создание, изменение, копирование, удаление образов виртуальных машин;
- копирование текущих образов виртуальных машин;
- изменение полномочий доступа к серверным компонентам виртуализации, создание и удаление учетных записей, необходимых для доступа к серверным компонентам виртуализации;
- изменение настроек серверных компонентов виртуализации;
- аутентификация и авторизация эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации;
- запуск (остановка) ПО серверных компонентов виртуализации, в том числе ПО гипервизора;
- изменение настроек физических СВТ (хост-серверов), используемых для функционирования серверных компонентов виртуализации;
- изменение настроек СЗИ, используемых для реализации доступа к серверным компонентам виртуализации;
- изменение настроек СЗИ, используемых для целей обеспечения защиты информации виртуальных машин.
8.8. Средствами гипервизора или иными техническими средствами рекомендуется осуществлять:
- контроль информационного обмена (взаимодействия) между виртуальными машинами с использованием общих (разделяемых) ресурсов физического СВТ (хост-сервера);
- контроль использования виртуальными машинами оперативной памяти физического СВТ (хост-сервера);
- выявление проявлений ПО, функционирующего на виртуальных машинах, связанного с возможными нарушениями установленного режима использования ресурсов физического СВТ (хост-сервера);
- выявление вредоносного кода.
8.9. Для серверных компонентов виртуализации рекомендуется осуществлять защиту от воздействия вредоносного кода, реализованную в соответствии с требованиями, установленными в организации БС РФ, в том числе функционирующую на уровне гипервизора.