Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.
Это лишь одна из новых функций нового vGate for Hyper-V, но она очень ожидаема пользователями. В следующей статье мы перечислим все возможности новой версии vGate for Hyper-V, которая действительно на поколение продвинулась от предыдущей, а пока лишь подробно остановимся на поддержке SC VMM и Failover Cluster Manager (FCM).
Поддержка средств администрирования виртуальной инфраструктуры Microsoft.
В новой версии vGate for Hyper-V появится возможность контролировать операции, выполняемые администратором с объектами виртуальной инфраструктуры с помощью System Center Virtual Machine Manager и Failover Cluster Manager. Это увеличивает степень интеграции vGate и инфраструктуры System Center, а значит позволяет защитить инвестиции в средства мониторинга и контроля состояния среды виртуализации.
В перечень защищаемых добавляются сервера System Center Virtual Machine Manager (SC VMM) и точки доступа отказоустойчивого кластера (интерфейсы администрирования кластера). При добавлении объектов в перечень защищаемых vGate автоматически определяет принадлежность сервера и устанавливает на него свой агент. Так как точки доступа отказоустойчивого кластера (access points) являются логическим объектом виртуальной инфраструктуры на них нет возможности установить агент vGate.
Вот так SC VMM выглядит в списке защищаемых серверов консоли vGate:
Как и для хостов на платформе Hyper-V, для серверов SC VMM и точек доступа отказоустойчивого кластера также создаются правила доступа. Кроме того, для них могут создаваться как стандартные правила доступа на базе шаблона (например, порт 8100 для управления SC VMM), так и кастомные правила, задаваемые администратором.
Вот пример задания стандартного правила:
Работа с Failover Cluster Manager
В рамках общей функциональности vGate, в качестве объектов доступа виртуальной инфраструктуры рассматриваются:
Серверы виртуализации (Hyper-V серверы)
Виртуальные машины
Хранилища данных
Виртуальные сети
Виртуальные коммутаторы
Сетевые адаптеры серверов виртуализации
То есть, это те объекты виртуальной инфраструктуры, на которые можно назначить метки конфиденциальности и с помощью них организовать мандатное разграничение доступа в виртуальной инфраструктуре. Подробнее об этом механизме вы можете прочитать здесь.
В новой версии vGate осуществляет контроль следующих основных операций с перечисленными объектами виртуальной инфраструктуры, осуществляемых в оснастке Failover Cluster Manager:
Добавление/исключение узла Hyper-V из кластера FC
Операции со статусом ВМ (включение, выключение, приостановка, изменение и другие)
Операции горячей миграции ВМ (Live Migration)
Операции с кластерными дисками CSV и некоторые прочие операции
Разберем это на примере плоского пространства меток (категорий конфиденциальности). Например, назначим отдельному пользователю категорию «желтый», а виртуальной машине с именем «VM_2_5» - категорию «красный».
Пользователь:
Виртуальная машина:
Попытаемся запустить VM_2_5 пользователем с желтой категорией конфиденциальности через оснастку Failover Cluster Manager:
Операция будет заблокирована vGate, так как машина принадлежит к красной категории (обратите внимание на информационное сообщение в правом нижнем углу):
Перейдем на вкладку аудит в Failover Cluster Manager. Там мы увидим следующее событие:
Попытка запуска роли виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности
Таким образом осуществляется контроль категорий и уровней конфиденциальности для объектов, работа с которыми происходит через оснастку FCM.
Помимо контроля операций мандатного доступа, vGate осуществляет контроль операций непосредственно с самим кластером (создание, изменение, удаление, смена IP-адреса, создание объектов кластера). Разрешение/запрещение этих операций выделено в отдельную привилегию пользователя, которой должен обладать администратор виртуальной инфраструктуры, имеющий полномочия по созданию и реконфигурации кластеров Hyper-V.
Вот как выглядит настройка этой привилегии (она задается на этапе создания пользователя):
Работа с System Center Virtual Machine Manager
vGate не контролирует операции с Citrix XenServer и VMware ESXi, управляемыми через SC VMM. Поэтому в гибридных инфраструктурах следует использовать соответствующую версию vGate for vSphere для контроля сегмента виртуальной инфраструктуры на платформе VMware. Для Citrix XenServer, ввиду практически нулевой распространенности платформы, отдельного решения не предоставляется.
В качестве объектов доступа виртуальной инфраструктуры SC VMM рассматриваются:
Серверы виртуализации (Hyper-V серверы)
Виртуальные машины (в том числе шаблоны виртуальных машин)
Хранилища данных (в том числе библиотеки)
Виртуальные сети (в том числе логические сети и сети виртуальных машин SC VMM)
Виртуальные коммутаторы
Сетевые адаптеры серверов виртуализации
Для Hyper-V серверов, в рамках мандатного управления доступом, vGate контролирует следующие основные операции:
Добавление/удаление Hyper-V серверов в консоль управления SC VMM
Добавление/удаление Hyper-V серверов в кластер FC
Изменение настроек Hyper-V серверов
Включение и выключение Hyper-V серверов, а также прочие операции
Для виртуальных машин vGate контролирует следующие основные операции:
Возможность создания ВМ на данном сервере Hyper-V
Возможность хранения дисков ВМ на данном хранилище
Изменение настроек ВМ
Создание, удаление и изменение шаблонов ВМ
Операции с контрольными точками ВМ
Подключение ВМ к сетям ВМ
Миграция ВМ на другой сервер Hyper-V и/или хранилище (в том числе перемещение ВМ в библиотеку)
Запуск, останов, приостанов, перезагрузка ВМ и другие операции
Для хранилищ данных vGate контролирует следующие основные операции:
Создание и удаление дисков ВМ
Изменение дисков ВМ и другие операции
Операции с объектами библиотек VMM
В части виртуальной сетевой инфраструктуры vGate контролирует следующие основные операции:
Подключение/отключение ВМ к сетям виртуальных машин
Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим сетям SC VMM
Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим коммутаторам SC VMM
Подключение/отключение сетей виртуальных машин к логическим сетям
Создание/изменение логических сетей и сетей виртуальных машин, а также прочие операции
Разберем пример мандатного контроля доступа к объектам Virtual Machine Manager. Как и в прошлом примере, назначим пользователю метку конфиденциальности «желтый», а ВМ «VM_2_6» - категорию «красный».
В консоли Virtual Machine Manager выполним миграцию хранилищ для машины VM_2_6 (пункт "Выполнить миграцию хранилища"):
При попытке выполнения операции возникнет ошибка как уровне VMM, так и на уровне агента vGate (информационное сообщение в правом нижнем углу):
Как и в предыдущем примере, на вкладке «Аудит» в Консоли управления vGate мы увидим событие с сообщением:
Попытка изменения виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности
Надо отметить, что возможность создания и удаления группы узлов, а также операции изменения настроек групп определяются привилегией пользователя.
Для всех контролируемых операций с виртуальной инфраструктурой осуществляется регистрация событий безопасности, в которых содержится информация о субъекте и объекте доступа, дата и время события, результат выполнения операции и другая информация, которая поможет при расследовании инцидентов в виртуальной инфраструктуре. Все это можно увидеть в разделе "Аудит" консоли vGate.
На этом пока все. Как мы говорили в начале статьи, доступность новой версии vGate for Hyper-V ожидается до Нового года, а до этого времени мы постараемся рассказать вам обо всех новых возможностях решения.
Не отключайтесь! А пока вы можете скачать пробную версию vGate for Hyper-V и поизучать основной функционал продукта, такой как настройка безопасной виртуальной среды средствами политик безопасности, а также механизм защиты от НСД.