Начнем с перечисления основных функций продукта vGate 2.6:
Разделение прав на управление виртуальной инфраструктурой и на управление безопасностью.
Аутентификация администраторов виртуальной инфраструктуры, заданных компьютеров и администраторов информационной безопасности.
Полномочное управление доступом к конфиденциальным ресурсам.
Реализация политик безопасности средств управления виртуальной инфраструктурой и объектов защищаемого периметра.
Контроль целостности конфигурации ВМ и файлов гостевых систем ВМ, доверенная загрузка.
Регистрация событий, связанных с информационной безопасностью.
Централизованное управление и аудит событий безопасности.
Отправка уведомлений о событиях аудита по протоколам SNMP и SMTP.
Резервирование сервера авторизации для повышения отказоустойчивости.
Подготовка отчетов о состоянии и событиях ИБ.
Автоматизация развертывания агентов vGate на ESXi-серверах.
Сертифицированная версия vGate R2 2.6 ожидается в конце этого года, а пока перечислим основные новые возможности продукта, появившиеся в версии 2.6 с их детальным описанием:
Поддержка новых версий продуктов VMware
Теперь vGate поддерживает VMware vSphere 5.5, VMware View 5.1, VMware Horizon View 5.2. Таким образом, vGate 2.6 поддерживает следующие решения VMware:
VMware vSphere 4.1
VMware vSphere 5
VMware vSphere 5.1
VMware vSphere 5.5
VMware Horizon View 5.2
Новый режим развертывания
Теперь есть возможность развертывать систему без реконфигурации топологии сети. В данном режиме фильтрация трафика к защищаемым серверам осуществляется имеющимся межсетевым экраном (маршрутизатором), а не сервером vGate.
Простой режим
В этом режиме сервер авторизации размещается в cети администрирования инфраструктуры. Простой режим не требует реконфигурации существующей сети и предусматривает наличие во внешней сети администрирования сертифицированного межсетевого экрана (маршрутизатора), фильтрующего сетевой трафик к защищаемым серверам. На маршрутизаторе необходимо закрыть доступ с рабочих мест АВИ и АИБ в защищаемую подсеть или к серверам по отдельности и разрешить доступ к серверу авторизации.
Таким образом, больше нет никакой необходимости использовать сервер авторизации vGate как шлюз к сети администрирования виртуальной инфраструктуры, который одним адаптером "смотрит" во внешний периметр, а вторым - в защищенную сеть управления.
Соответственно, теперь на сервере авторизации можно иметь только один сетевой адаптер, а задача по обеспечению доступа к сети управления ложится на межсетевой экаран, который тоже, конечно, должен быть соответствующим образом сертифицирован.
Режим шлюза
В режиме шлюза защищаемые серверы должны быть расположены в отдельной подсети. На всех компьютерах защищаемого периметра (ESXi-серверы, vCenter) в качестве шлюза по умолчанию следует указать IP-адрес адаптера защищаемого периметра сервера авторизации. На всех рабочих местах АВИ в качестве шлюза по умолчанию следует указать IP-адрес внешнего сетевого адаптера сервера авторизации. При выборе данного режима не требуется дополнительная настройка маршрутизатора.
Это режим, в котором, собственно, и раньше работал vGate - здесь ничего не изменилось. Здесь нужно как минимум два сетевых интерфейса (один для внешнего периметра, второй - для сети управления), ну а третий опционален (если используется резервирование сервера авторизации).
Интеграция с Active Directory
Пользователи домена теперь могут авторизоваться в vGate:
Если предполагается использование Active Directory, необходимо ввести компьютер, предназначенный для сервера авторизации vGate, в домен. Если же компьютер сервера авторизации был добавлен в домен после установки ПО vGate, то необходимо изменить параметры Active Directory при помощи мастера установки.
При использовании режима интеграции с Active Directory, в котором сервер авторизации vGate входит в домен Windows, нужно придерживаться следующих рекомендаций:
Не размещайте контроллер домена внутри защищаемого периметра.
Сервер авторизации не поддерживает автоматическую смену паролей для служебных учетных записей vGate в домене Windows. Поэтому необходимо создать отдельное организационное подразделение (Organization Units — OU), в котором будут размещаться такие учетные записи, и отключить для него автоматическую смену паролей. Для этого назначьте данному OU групповую политику, в которой в ветви "Computer Configuration\Windows Settings\Security Settings\Security Options" присвойте параметру "Domain member: Disable machine account password changes" значение "TRUE" или параметру "Domain member: maximum machine account password age" — значение "999". Данное OU выбирается на определенном шаге установки сервера авторизации.
Если вы используете версию vGate 2.4, то для корректной поддержки Active Directory в версии 2.6 нужно проделать следующее:
1. Удалить ПО сервера авторизации vGate 2.4 и ПО резервного сервера авторизации.
2. Присоединить компьютеры серверов авторизации к домену Active Directory.
3. Установить на компьютеры ПО vGate 2.6, используя существующую базу конфигураций vGate 2.4.
Улучшенный механизм контроля целостности виртуальных машин
В vGate 2.6 теперь добавлена поддержка контроля целостности ВМ VMware Horizon View, а также машин со снапшотами.
Для предоставления доступа View Connection Server к vCenter необходимо настроить определенный набор правил доступа к vCenter для учетной записи компьютера, где находится View Connection Server. Набор правил для предоставления доступа View Connection Server к vCenter содержится в шаблоне "Доступ View Connection сервера к vCenter".
Контроль целостности теперь происходит для следующих файлов:
Кроме перечисленных возможностей, появились новые административные функции vGate R2 2.6:
Возможность развертывания компонента защиты vCenter через терминальную сессию.
Возможность администрирования из различных подсетей, что позволяет администраторам аутентифицироваться на сервере vGate, даже если их рабочие места находятся в разных подсетях.
Возможность отправки почтовых уведомлений о событиях аудита по протоколу SMTP.
vGate позволяет настроить отправку почтовых уведомлений о событиях аудита по протоколу SMTP. Для настройки отправки уведомлений в области параметров справа от названия настройки "Настройка соединения для отправки уведомлений о событиях по протоколу SMTP" нужно нажать кнопку "Настроить".
На экране появится следующий диалог:
Для включения отправки уведомлений нужно отметить поле "Включить отправку уведомлений" и задать необходимые параметры SMTP-сервера.
Добавлена роль администратора информационной безопасности (АИБ) по управлению учетными записями.
Скачать обновленную демо-версию продукта для защиты виртуальной среды vGate 2.6 можно по этой ссылке, а более подробно о продукте можно узнать тут.