Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6230 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Автор: Александр Самойленко
Дата: 30/11/2015

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.

Это лишь одна из новых функций нового vGate for Hyper-V, но она очень ожидаема пользователями. В следующей статье мы перечислим все возможности новой версии vGate for Hyper-V, которая действительно на поколение продвинулась от предыдущей, а пока лишь подробно остановимся на поддержке SC VMM и Failover Cluster Manager (FCM).

Поддержка средств администрирования виртуальной инфраструктуры Microsoft.

В новой версии vGate for Hyper-V появится возможность контролировать операции, выполняемые администратором с объектами виртуальной инфраструктуры с помощью System Center Virtual Machine Manager и Failover Cluster Manager. Это увеличивает степень интеграции vGate и инфраструктуры System Center, а значит позволяет защитить инвестиции в средства мониторинга и контроля состояния среды виртуализации.

В перечень защищаемых добавляются сервера System Center Virtual Machine Manager (SC VMM) и точки доступа отказоустойчивого кластера (интерфейсы администрирования кластера). При добавлении объектов в перечень защищаемых vGate автоматически определяет принадлежность сервера и устанавливает на него свой агент. Так как точки доступа отказоустойчивого кластера (access points) являются логическим объектом виртуальной инфраструктуры на них нет возможности установить агент vGate.

Вот так SC VMM выглядит в списке защищаемых серверов консоли vGate:

Как и для хостов на платформе Hyper-V, для серверов SC VMM и точек доступа отказоустойчивого кластера также создаются правила доступа. Кроме того, для них могут создаваться как стандартные правила доступа на базе шаблона (например, порт 8100 для управления SC VMM), так и кастомные правила, задаваемые администратором.

Вот пример задания стандартного правила:

Работа с Failover Cluster Manager

В рамках общей функциональности vGate, в качестве объектов доступа виртуальной инфраструктуры рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины
  • Хранилища данных
  • Виртуальные сети
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

То есть, это те объекты виртуальной инфраструктуры, на которые можно назначить метки конфиденциальности и с помощью них организовать мандатное разграничение доступа в виртуальной инфраструктуре. Подробнее об этом механизме вы можете прочитать здесь.

В новой версии vGate осуществляет контроль следующих основных операций с перечисленными объектами виртуальной инфраструктуры, осуществляемых в оснастке Failover Cluster Manager:

  • Добавление/исключение узла Hyper-V из кластера FC
  • Операции со статусом ВМ (включение, выключение, приостановка, изменение и другие)
  • Операции горячей миграции ВМ (Live Migration)
  • Операции с кластерными дисками CSV и некоторые прочие операции

Разберем это на примере плоского пространства меток (категорий конфиденциальности). Например, назначим отдельному пользователю категорию «желтый», а виртуальной машине с именем «VM_2_5» - категорию «красный».

Пользователь:

Виртуальная машина:

Попытаемся запустить VM_2_5 пользователем с желтой категорией конфиденциальности через оснастку Failover Cluster Manager:

Операция будет заблокирована vGate, так как машина принадлежит к красной категории (обратите внимание на информационное сообщение в правом нижнем углу):

Перейдем на вкладку аудит в Failover Cluster Manager. Там мы увидим следующее событие:

Попытка запуска роли виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Таким образом осуществляется контроль категорий и уровней конфиденциальности для объектов, работа с которыми происходит через оснастку FCM.

Помимо контроля операций мандатного доступа, vGate осуществляет контроль операций непосредственно с самим кластером (создание, изменение, удаление, смена IP-адреса, создание объектов кластера). Разрешение/запрещение этих операций выделено в отдельную привилегию пользователя, которой должен обладать администратор виртуальной инфраструктуры, имеющий полномочия по созданию и реконфигурации кластеров Hyper-V.

Вот как выглядит настройка этой привилегии (она задается на этапе создания пользователя):

Работа с System Center Virtual Machine Manager

vGate не контролирует операции с Citrix XenServer и VMware ESXi, управляемыми через SC VMM. Поэтому в гибридных инфраструктурах следует использовать соответствующую версию vGate for vSphere для контроля сегмента виртуальной инфраструктуры на платформе VMware. Для Citrix XenServer, ввиду практически нулевой распространенности платформы, отдельного решения не предоставляется.

В качестве объектов доступа виртуальной инфраструктуры SC VMM рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины (в том числе шаблоны виртуальных машин)
  • Хранилища данных (в том числе библиотеки)
  • Виртуальные сети (в том числе логические сети и сети виртуальных машин SC VMM)
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

Для Hyper-V серверов, в рамках мандатного управления доступом, vGate контролирует следующие основные операции:

  • Добавление/удаление Hyper-V серверов в консоль управления SC VMM
  • Добавление/удаление Hyper-V серверов в кластер FC
  • Изменение настроек Hyper-V серверов
  • Включение и выключение Hyper-V серверов, а также прочие операции

Для виртуальных машин vGate контролирует следующие основные операции:

  • Возможность создания ВМ на данном сервере Hyper-V
  • Возможность хранения дисков ВМ на данном хранилище
  • Изменение настроек ВМ
  • Создание, удаление и изменение шаблонов ВМ
  • Операции с контрольными точками ВМ
  • Подключение ВМ к сетям ВМ
  • Миграция ВМ на другой сервер Hyper-V и/или хранилище (в том числе перемещение ВМ в библиотеку)
  • Запуск, останов, приостанов, перезагрузка ВМ и другие операции

Для хранилищ данных vGate контролирует следующие основные операции:

  • Создание и удаление дисков ВМ
  • Изменение дисков ВМ и другие операции
  • Операции с объектами библиотек VMM

В части виртуальной сетевой инфраструктуры vGate контролирует следующие основные операции:

  • Подключение/отключение ВМ к сетям виртуальных машин
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим сетям SC VMM
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим коммутаторам SC VMM
  • Подключение/отключение сетей виртуальных машин к логическим сетям
  • Создание/изменение логических сетей и сетей виртуальных машин, а также прочие операции

Разберем пример мандатного контроля доступа к объектам Virtual Machine Manager. Как и в прошлом примере, назначим пользователю метку конфиденциальности «желтый», а ВМ «VM_2_6» - категорию «красный».

В консоли Virtual Machine Manager выполним миграцию хранилищ для машины VM_2_6 (пункт "Выполнить миграцию хранилища"):

При попытке выполнения операции возникнет ошибка как уровне VMM, так и на уровне агента vGate (информационное сообщение в правом нижнем углу):

Как и в предыдущем примере, на вкладке «Аудит» в Консоли управления vGate мы увидим событие с сообщением:

Попытка изменения виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Надо отметить, что возможность создания и удаления группы узлов, а также операции изменения настроек групп определяются привилегией пользователя.

Для всех контролируемых операций с виртуальной инфраструктурой осуществляется регистрация событий безопасности, в которых содержится информация о субъекте и объекте доступа, дата и время события, результат выполнения операции и другая информация, которая поможет при расследовании инцидентов в виртуальной инфраструктуре. Все это можно увидеть в разделе "Аудит" консоли vGate.

На этом пока все. Как мы говорили в начале статьи, доступность новой версии vGate for Hyper-V ожидается до Нового года, а до этого времени мы постараемся рассказать вам обо всех новых возможностях решения.

Не отключайтесь! А пока вы можете скачать пробную версию vGate for Hyper-V и поизучать основной функционал продукта, такой как настройка безопасной виртуальной среды средствами политик безопасности, а также механизм защиты от НСД.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Tanzu VCF AI Intel Workstation Private AI VCP V2V HCX Aria NSX DPU Explore Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Stretched Memory Bugs Director ESA Troubleshooting Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge