Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6280 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Автор: Александр Самойленко
Дата: 18/01/2012

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Напомним, что совсем недавно компания «Код Безопасности» выпустила технический релиз новой версии vGate R2 с поддержкой VMware 5. Сейчас она проходит инспекционный контроль во ФСТЭК для получения соответствующих сертфикатов, наличие которых позволит вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Сегодня мы более подробно расскажем о новых политиках настройки безопасной среды виртуализации.

Среди основных возможностей новой версии продукта:

  • Полная поддержка VMware vSphere 5
  • Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
  • Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
  • Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
  • Поддержка 64-битных систем в качестве платформы для vGate Server.
  • Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
  • Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).

Рассмотрим подробнее функционал новой версии в части политик и шаблонов.

Политики безопасности, реализованные в vGate R2, контролируют критичные для безопасности виртуальной среды настройки серверов ESX / ESXi и ВМ. На предмет соответствия самим политикам (то есть, настройкам безопасности) инфраструктуру виртуализации можно просканировать абсолютно бесплатно с помощью бесплатного средства vGate Compliance Checker с поддержкой vSphere 5. Ну а далее, с помощью vGate R2, эти политики можно уже централизованно контролировать.

То есть, смысл политик в vGate R2 - освободить администратора vSphere от рутинных операций за счет автоматизации настройки безопасности для хостов и виртуальных машин. Политика назначается метке безопасности (категория или уровень конфиденциальности данных ВМ или хост-сервера), после чего метка назначается серверам ESX/ESXi и виртуальным машинам (а также другим объектам), которы автоматически настраиваются с помощью агентов на хостах.

Алгоритм применения политик выглядит так:

  • На базе одного или нескольких шаблонов формируются наборы политик для вашей организации
  • Набор политик назначается для категории или уровня конфиденциальности
  • Объекту (хост ESX\ESXi, виртуальная машина, сетевой адаптер, виртуальная сеть или хранилище) назначается метка безопасности
  • Если необходимо запускается формирование отчета о соответствии инфраструктуры политикам безопасности

Для каждой из политик набора есть ее детальное описание и, что особенно круто, ссылка на конкретный пункт руководящего документа:

Новая версия  vGate R2 с поддержкой vSphere 5 теперь включает в себя более 10 встроенных шаблонов (разработанных аналитиками компании на основании регламентирующих документов и многолетнего опыта в области защиты информации) на соответствие рекомендациям и требованиям:

  • PCI DSS 2.0
  • CIS VMware ESX Server Benchmark 4
  • VMware Security Hardening 4.1
  • Автоматизированные системы класса 1Г
  • Автоматизированные системы класса 1В
  • Автоматизированные системы класса 1Б
  • Стандарт Банка России для ИСПДн-Д
  • Стандарт Банка России для ИСПДн-Б
  • Стандарт Банка России для ИСПДн-И
  • Стандарт Банка России для ИСПДн-С
  • Информационные системы обработки персональных данных класса К1
  • Информационные системы обработки персональных данных класса К2
  • Информационные системы обработки персональных данных класса К3

Из списка, кстати, видно, что если вы - банк, то vGate - это как раз то, что нужно, чтобы соответствовать требованиям Центробанка по защите вычислительной среды для виртуальной инфраструктуры.

Напомним, кстати, что согласно ФЗ-152 «О персональных данных», личные сведения сотрудников, такие как ФИО, дата и место рождения, адрес и другая информация, должны быть защищены от несанкционированного доступа. Поэтому, если в ваших виртуальных машинах обрабатываются такие данные (что очень часто бывает в медицинских и финансовых организациям), то без vGate R2 вам просто не обойтись, поскольку это единственное на рынке сертифицированное средство их защиты.

Каждый шаблон содержит большое количество политик и настроек которые приводят виртуальную инфраструктуру в соответствие необходимым требованиям безопасности. После принятия администратором ИБ шаблона, все действия администратора vSphere проходят через призму этого шаблона и не могут привести к наступлению несоответствия (он просто не сможет изменить настройки безопасности заданные администратором ИБ).

Кроме того, напоминаем, что вы можете создать свой индивидуальный шаблон безопасности на основании принятых в конкретно вашей компании регламентов информационной безопасности (то есть компиляция нужных вам настроек). И из огромного списка политик выбрать для шаблона своей компании только те, которые нужно. В последствии вы можете настроить отчетность о соответствии выбранному шаблону и получать по требованию или по расписанию, как вами удобно, красивые отчеты с логотипом своей компании о состоянии информационной безопасности вашей инфраструктуры.

Самих отдельных политик в vGate R2 очень много, например, для хостов ESX/ESXi они приведены в списке ниже:

  • Список разрешенных программ
  • Запрет локального входа на ESX-сервер
  • Запрет подключения USB-носителей к ESX/ESXi-серверу
  • Правила для межсетевого экрана
  • Аутентификация для однопользовательского режима
  • Установка и поддержка целостности файловой системы
  • Использование версии 2 протокола SSH
  • Ограничение входа в систему для root
  • Запрет подключения пользовательских съемных файловых систем
  • Запрет операций с буфером обмена
  • Ограничение на выполнение назначенных заданий
  • Ограничение прав на конфигурацию планировщика заданий
  • Установка ограничений для системных служб
  • Разделение сетей консоли управления и виртуальных машин
  • Использование протокола CHAP для iSCSI-устройств
  • Настройки логирования виртуальных машин на ESX/ESXi-сервере
  • Удаление ненужных устройств виртуальных машин
  • Политики паролей ESX-сервера
  • Проверка политики контроля доступа по сети
  • Полномочия на файлы жестких дисков виртуальных машин
  • Полномочия на файлы конфигурации виртуальных машин
  • Защита от нехватки места на корневой файловой системе ESX-сервера
  • Запрет подключения съемных устройств к ESX-серверу
  • Запрет vSphere Web Access
  • Предотвращение сжатия виртуальных дисков
  • Предотвращение шпионажа других пользователей на администраторских удаленных консолях
  • Запрет удаленных операций в гостевой системе
  • Запрещение отсылки информации о производительности ESX-сервера гостевым системам
  • Запрет коммуникаций между виртуальными машинами через VMCI интерфейс
  • Ограничение размера vmx-файла
  • Избегать использования несохраняющихся (nonpersistent) дисков
  • Контроль использования SSL-сертификатов
  • Запрет использования Managed Object Browser
  • Отключение приветственной страницы (Welcome Web Page) при подключении к интерфейсу управления ESX-сервера
  • Отключение неиспользуемого vSphere функционала
  • Контроль за доступом через VMsafe CPU/Mem API
  • Контроль за доступом через VMsafe Network API
  • Настройка постоянного журналирования на ESXi
  • Ограничение доступа к VMsafe Network API
  • Проверка настроек SNMP агента (только для ESXi)
  • Включить Lockdown Mode
  • Отключение Direct Console User Interface
  • Отключение Tech Support Mode
  • Установка тайм-аута для работы в Tech Support Mode
  • Запрет NFS и NIS клиентов
  • Установка прав на важные файлы и запускаемые утилиты
  • Контроль за использованием VMsafe API для защитного модуля
  • Проверка использования аутентификации через Active Directory
  • Проверка настроек https
  • Аудит модулей ядра гипервизора без цифровой подписи
  • Мониторинг использования хранилища
  • Отключить протокол IPv6
  • Защита от переполнения буфера
  • Минимизация списка служб
  • Установка пароля загрузчика ESX-сервера
  • Настройка параметров ядра ESX-сервера
  • Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин
  • Запрет отсылки сообщений ESX-серверу со стороны виртуальных машин
  • Полномочия на файлы системного журнала ESX-сервера
  • Настройка параметров логирования ESX-сервера
  • Текст приглашения для сетевого и локального доступа к ESX-серверу
  • Ограничение на подключение устройств к ESX-серверу
  • Синхронизация времени
  • Полномочия на доступ к файлам паролей пользователей
  • Полномочия на файлы конфигурации протокола SNMP
  • Настройка параметров безопасности для протокола SSH
  • Ограничение на возможность удаления файлов ESX-сервера
  • Ограничение на использование привилегий суперпользователя
  • Отсылка событий ESX-сервера на syslog-сервер
  • Отсутствие программ с setuid- или setgid-флагами
  • Ограничение права перезаписи файлов ESX-сервера
  • Отсутствие файлов без владельца на ESX-сервере
  • Очистка памяти виртуальных машин
  • Очистка памяти виртуальных машин (двукратная запись)
  • Настройки безопасности для виртуальных коммутаторов
  • Группы портов не настроены на значения VLAN из зарезервированных диапазонов
  • Имена всех виртуальных коммутаторов (vSwitches) соответствуют заданному требованию
  • Имена всех групп портов соответствуют заданному требованию
  • Группы портов не настроены на значения VLAN 4095 кроме как для Virtual Guest Tagging
  • Группы портов не настроены на значения native VLAN
  • Обратите внимание, что некоторые политики доступны либо только для хостов ESXi (например Lockdown Mode), а некоторые - только для ESX. Большая часть политик - общая для обоих типов гипервизора.

    Для виртуальных машин есть такие политики (они независимы от типа хост-сервера):

    • Список запрещенных устройств
    • Запрет клонирования виртуальных машин
    • Запрет создания снимков виртуальных машин
    • Доверенная загрузка виртуальных машин
    • Запрет доступа к консоли виртуальной машины
    • Запрет доступа к файлам виртуальных машин
    • Затирание остаточных данных на СХД при удалении ВМ
    • Затирание остаточных данных на СХД при удалении ВМ (двукратная запись)
    • Отменить контроль за использованием VMsafe API для защитного модуля

    Для более подробной информации о политиках безопасности и о том, как в целом работает vGate R2, рекомендую к прочтению интересную и свежую презентацию «Построение комплексной системы обеспечения информационной безопасности в виртуальной среде»:

    Если у вас остались вопросы по продукту, вы можете написать все, что думаете о vGate R2 вот в этой форме http://www.securitycode.ru/products/sn_vmware/otzyv/

    Технический релиз vGate R2 с поддержкой vSphere 5 можно скачать по этой ссылке - http://www.securitycode.ru/products/demo/

    Интересное:





    Зал Славы Рекламодателя
    Ближайшие события в области виртуализации:

    Быстрый переход:
    VMware Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VCF vSAN Workstation Labs Backup Private AI Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V HCX Aria NSX DPU Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Memory SIOC Troubleshooting Stretched Bugs Director ESA Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
    Полезные постеры:

    Постер VMware vSphere PowerCLI 10

    Постер VMware Cloud Foundation 4 Architecture

    Постер VMware vCloud Networking

    Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

    Постер Azure VMware Solution Logical Design

    Постер Google Cloud VMware Engine Logical Design

    Постер Multi-Cloud Application Mobility

    Постер VMware NSX (референсный):

    Постер VMware vCloud SDK:

    Постер VMware vCloud Suite:

    Управление памятью в VMware vSphere 5:

    Как работает кластер VMware High Availability:

    Постер VMware vSphere 5.5 ESXTOP (обзорный):

     

    Популярные статьи:
    Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

    Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

    Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

    Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

    Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

    Сравнение Oracle VirtualBox и VMware Workstation.

    Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

    Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

    Работа с дисками виртуальных машин VMware.

    Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

    Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

    Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

    Инфраструктура виртуальных десктопов VMware View 3 (VDI)

    Как использовать возможности VMware vSphere Management Assistant (vMA).

    Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

    Интервью:

    Alessandro Perilli
    virtualization.info
    Основатель

    Ратмир Тимашев
    Veeam Software
    Президент


    Полезные ресурсы:

    Последние 100 утилит VMware Labs

    Новые возможности VMware vSphere 8.0 Update 1

    Новые возможности VMware vSAN 8.0 Update 1

    Новые документы от VMware

    Новые технологии и продукты на VMware Explore 2022

    Анонсы VMware весной 2021 года

    Новые технологии и продукты на VMware VMworld 2021

    Новые технологии и продукты на VMware VMworld 2020

    Новые технологии и продукты на VMware VMworld Europe 2019

    Новые технологии и продукты на VMware VMworld US 2019

    Новые технологии и продукты на VMware VMworld 2019

    Новые технологии и продукты на VMware VMworld 2018

    Новые технологии и продукты на VMware VMworld 2017



    Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
    vExpert Badge