Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Автор: Александр Самойленко
Дата: 26/09/2015

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Недавно мы писали том, что компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 версии 2.8. Эта версия прошла инспекционный контроль в ФСТЭК России и доступна для загрузки и покупки. В обновленную версию vGate R2 добавлены новые механизмы защиты и расширенные функции по администрированию системы. Сегодня мы расскажем о том, как в vGate R2 выглядит рабочий процесс для пользователей в защищенной среде.

Доступ к администраторов к виртуальной инфраструктуре

Для доступа к виртуальной инфраструктуре администратору инфраструктуры vSphere (назовем его администратор информационной безопасности, АВИ) необходимо создать учетную запись в среде vGate. Полномочия АВИ по работе с vSphere контролируются со стороны специального человека - администратора информационной безопасности (АИБ).

Для АИБ должен быть создан специальный аккаунт в среде vSphere, для которого ограничены полномочия по управлению виртуальной инфраструктурой - он должен только иметь возможность просмотра конфигураций. Ну и АИБ должен понимать основные принципы администрирования платформы vSphere.

Напомним, как выглядит референсная архитектура решения vGate:

Доступ на управление виртуальной инфраструктурой vSphere или Hyper-V получают только пользователи, прошедшие аутентификацию. В vGate предусмотрена процедура аутентификации пользователей (администраторов виртуальной инфраструктуры) и компьютеров. Аутентификация компьютеров выполняется автоматически.

Чтобы аутентифицировать в среде vGate, нужно выбрать "Программы -> Код Безопасности -> vGate -> Вход в систему":

Здесь основные параметры таковы:

  • Сервер авторизации - это имя или IP-адрес сервера авторизации vGate. Если в сети используется несколько серверов авторизации, то при подключении к защищенной среде пользователь может выбрать нужный сервер из списка (если параметры сервера были указаны заранее, например, при установке агента аутентификации) или указать его самостоятельно.
  • Способ аутентификации - для подключения к защищенной среде с использованием учетной записи vGate выберите вариант "Имя пользователя и пароль" (предлагается по умолчанию). Чтобы использовать учетные данные пользователя Windows, выберите из списка вариант "Данные текущей сессии Windows".
  • Домен - для учетной записи из Active Directory выберите из списка домен. При аутентификации пользователя vGate укажите имя реестра учетных записей vGate, указанное при установке сервера авторизации (например, "VGATE").
  • Пользователь - имя учетной записи администратора виртуальной инфраструктуры.
  • Пароль - пароль администратора виртуальной инфраструктуры.
  • Подключать автоматически - установите отметку в этом поле, чтобы последующие подключения пользователя к защищенной среде выполнялись без запроса пароля (установите эту галку для удобства).

Кстати, в верхней части окна аутентификации есть ссылка "Конфигурация" - там можно настроить язык интерфейса агента аутентификации vGate R2.

Для аутентификации пользователя можно использовать персональный идентификатор eToken. Если на рабочем месте АВИ установлена система Secret Net от компании Код Безопасности, то также возможно использование персонального идентификатора iButton.

В этом случае выберите нужный способ аутентификации в комбобоксе:

Введите учетные данные пользователя, при необходимости измените остальные параметры соединения и нажмите кнопку "Подключить". После успешной аутентификации будет выполнено подключение к виртуальной инфраструктуре. Подтверждением этому будет появление всплывающего сообщения к значку vGate на панели задач в области уведомлений:

В любой момент пользователь vGate R2 может сменить свой пароль путем выбора в контекстном меню меню иконки в трее пункта "Сменить пароль":

Само собой, для учетных записей из Active Directory изменение пароля при помощи vGate не поддерживается. Для этого нужно использовать оснастки администрирования Active Directory.

Обработка несанкционированных операций

После аутентификации пользователь vSphere может использовать обычный vSphere Client или vSphere Web Client для выполнения операций с виртуальной инфраструктурой. Права на управление правилами разграничения доступа к защищаемым vGate элементам управления виртуальной инфраструктурой закреплены за администратором безопасности (АИБ).

Поэтому если пользователю/администратору vSphere для выполнения своих задач требуются иные права, или он не может получить доступ к необходимым элементам управления, ему нужно обратиться к АИБ.

Права доступа аутентифицированного пользователя vGate R2 контролируются следующим образом:

  • В случае отсутствия у пользователя прав доступа к серверу виртуализации ESXi, при попытке авторизации в vSphere Client или при запуске vSphere Web Client рядом с областью уведомлений на панели задач отображается сообщение агента аутентификации vGate "Соединение заблокировано".
  • В случае отказа в выполнении операции по управлению виртуальной инфраструктурой соответствующее уведомление отображается в vSphere Client и vSphere Web Client с сообщением о том, что операция заблокирована vGate.

Работа с конфиденциальными ресурсами

Каждому пользователю назначается уровень конфиденциальности, позволяющий ему выполнять операции с ресурсами (ESXi-серверы, виртуальные машины, хранилища, виртуальные сети) определенного уровня конфиденциальности. При этом пользователь может выполнять операции с ресурсами, уровень конфиденциальности которых не выше его собственного уровня конфиденциальности, который был определен ему администратором безопасности. То есть, существует иерархия этих уровней, которая и определяет возможности доступа конкретного пользователя.

На основании этого правила и осуществляется управление доступом к выполнению таких операций, как запуск и остановка ВМ, редактирование параметров ВМ (в том числе и сетевых), доступ к хранилищу ВМ, перемещение ВМ и т. д.

Каждый сеанс работы пользователя при подключении к защищенной среде получает уровень сессии, равный уровню конфиденциальности, который назначен пользователю. При этом пользователь может выполнять операции с ресурсами того же или меньшего уровня конфиденциальности.

Пользователям может быть предоставлена возможность контроля уровня сессии. В этом случае при подключении к защищенной среде уровень сессии также равен уровню конфиденциальности пользователя, но пользователь может выполнять операции только с ресурсами такого же уровня.

Для доступа к ресурсам другого уровня конфиденциальности пользователь может в процессе работы изменить уровень сессии, но, понятное дело, не выше имеющегося у него уровня конфиденциальности. Однако возможность изменения уровня сессии в агенте аутентификации vGate контролируется администратором информационной безопасности. По умолчанию возможность отключена.

Если же пользователям предоставлена возможность изменять уровень сессии, и, если его текущий уровень - ДСП (для служебного пользования), он может принимать одно из следующих значений (указаны в порядке возрастания):

  • неконфиденциально
  • для служебного пользования

Таким образом, выбирая необходимый уровень сессии, пользователь сможет выполнять операции с ресурсами разного уровня конфиденциальности (от уровня "неконфиденциально" до максимально доступного для данного пользователя уровня - ДСП).

Например, администратор vSphere может запускать ВМ 1 или ВМ 2, выбрав уровень сессии, соответствующий уровню конфиденциальности одной из этих ВМ:

 

Для выбора уровня сессии нужно просто дважды щелкнуть на значок в трее:

Выберите нужный уровень сессии:

Также можно сменить текущий уровень сессии через контекстное меню значка в трее:

Добавление/удаление ресурсов виртуальной инфраструктуры

Если вы администратор vSphere или Hyper-V и работаете в защищенной среде vGate, то при вводе в эксплуатацию нового оборудования в качестве хоста ESXi или Hyper-V или списания старых серверов нужно проинформировать об этом администратора безопасности, чтобы он соответствующим образом настроил окружение и доступ к конфиденциальным ресурсам. Аналогичным образом нужно поступать и для виртуальных машин. При добавлении новой ВМ АИБ должен определить уровень ее конфиденциальности.

А вот для безопасного вывода ВМ из эксплуатации, т. е. удаления ВМ без возможности последующего восстановления, настоятельно рекомендуется перед удалением машины выполнить очистку ее дисков.

Если для удаляемой ВМ задана соответствующая политика безопасности, очистка дисков виртуальных машин выполняется автоматически. Если политика не задана, для этого может использоваться специальная утилита командной строки vmdktool.exe, входящая в состав vGate.

Формат ее использования таков:

>vmdktool.exe –s [arg] --port [arg] –u [arg] -p [arg] -v [arg] –d [arg] –t [arg]

Значениея параметров:

  • -s [arg] - сетевое имя или IP-адрес ESX-сервера
  • --port [arg] - номер порта ESX-сервера. Значение по умолчанию: 902
  • -u [arg] - имя учетной записи администратора ESXi-сервера
  • -p [arg] - пароль администратора ESXi-сервера
  • -v [arg] - полный путь к файлу конфигурации ВМ (*.vmx)
  • -d [arg] - полный путь к диску ВМ (*.vmdk)
  • -t [arg] - число, указывающее на код байта, которым заполняется диск ВМ. Значение аргумента: от 0 до 255. Значение по умолчанию: 255

Например, команда на безопасное удаление виртуальной машины может быть такой:

>vmdktool.exe -s esx5.esx.local -u root -p P@ssw0rd -v "[storage1] vm4/vm4.vmx" -d "[storage1] vm4/vm4.vmdk" -t 55

Завершение работы пользователя в защищенной среде

Тут все просто. Вызовите контекстное меню для значка в трее и в контекстном меню выберите команду "Отключить". Примечание. Если же вы выберете пункт "Выход" - это закроет программу и агент аутентификации vGate нужно будет запускать снова.

Более подробно о продукте vGate R2 рассказано на этой странице. Демо-версии vGate для Hyper-V или VMware vSphere можно бесплатно скачать по этой ссылке.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V HCX vSAN Private AI VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Docs Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge