Сегодня мы поговорим о резервировании сервера авторизации vGate R2. Сервер авторизации - это основной компонент vGate R2, который осуществляет авторизацию и аутентификацию пользователей, без которого нельзя будет администрировать среду VMware vSphere, если он вдруг выйдет из строя. Он выполняет следующие функции:
Централизованное управление СЗИ vGate
Аутентификация пользователей и компьютеров
Разграничение доступа к средствам управления виртуальной
инфраструктурой
Регистрация событий безопасности
Хранение данных (учетной информации, журналов аудита и
конфигурации СЗИ vGate)
Репликация данных с основного на резервный сервер авторизации
В общей картинке инфраструктуры защиты VMware vSphere сервер авторизации vGate R2 занимает центральное место:
Соответственно, этот сервер нуждается в резервировании для повышения отказоустойчивости. Резервирование сервера авторизации в vGate R2 реализовано по принципу "active-passive". Один сервер авторизации (основной) выполняет все функции по
управлению vGate и авторизации администраторов виртуальной инфраструктуры. Второй сервер авторизации (резервный) является пассивным.
В случае выхода из строя основного сервера авторизованные сессии администраторов vSphere разрываются; на каждом из подключенных рабочих мест выдается сообщение о
необходимости повторной аутентификации.
В случае выхода из строя основного сервера авторизации администратор ИБ может передать
управление резервному серверу. Получив управление, резервный сервер начинает выполнять все функции основного. После повторной аутентификации
администратора vSphere агенты аутентификации на их рабочих местах переключаются на работу с
новым основным сервером автоматически.
Таким образом, работа системы не блокируется надолго. Поскольку на резервном сервере хранятся актуальная информация о конфигурации системы, учетные записи и т. д., замена сервера авторизации станет практически незаметной для администраторов VMware vSphere, работающих в защищенной виртуальной среде. После восстановления или замены основного сервера авторизации можно вернуть управление системой этому серверу или оставить эти функции за бывшим резервным сервером.
Основной и резервный серверы авторизации могут работать в виртуальных машинах, для которых нужно обязательно сделать правило (Anti-affinity rule) невозможности существования их на одном хост-сервере VMware ESXi, чтобы оба сервера одновременно не вышли из строя.
Устанавливается резервный сервер авторизации vGate R2 очень просто - нужно запустить установщик на той машине, которая будет резервной и указать IP-адрес основного сервера, а также порт для канала репликации данных:
Если вы используете конфигурацию с резервным сервером авторизации, то DNS-сервер рекомендуется разместить во внешней (по отношению к защищаемому периметру) сети.
Передача управления резервному серверу авторизации выглядит следующим образом:
Отключение питания на основном сервере.
Добавление в свойства сетевого адаптера резервного сервера, подключенного
к защищаемому периметру, IP-адреса, совпадающего с основным IP-адресом
сетевого адаптера основного сервера авторизации, подключенного к защищаемому периметру. Основной IP-адрес должен находиться первым в списке IP-адресов сетевого адаптера.
На резервном сервере выполняется Пуск->Программы->Код Безопасности->Репликация->Сбой основного сервера. Дожидаемся завершения процесса блокировки репликации данных.
В DNS администратор изменяет настройки псевдонима (CName), настроив ссылку на полное доменное имя (FQDN) резервного сервера.
После восстановления бывшего основного сервера его можно оставить резервным для нового основного.
Напоследок отметим, что лицензия на резервный сервер авторизации приобретается отдельная (на экземпляр), поэтому не забудьте этот момент при планировании бюджета и составления спецификации.
Скачать пробную версию продукта vGate R2 можно по этой ссылке. Презентации по защите виртуальных инфраструктур доступны тут, а сертификаты ФСТЭК продукта - здесь.
RSS
