Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6230 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Автор: Александр Самойленко
Дата: 31/10/2014

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Некоторое время назад мы писали о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры Microsoft Hyper-V. Там мы рассмотрели основные возможности продукта, а в этой статье пройдемся по основным моментам настройки и администрирования vGate R2 и рассмотрим, какие его функции помогут компаниям для обеспечения ИБ в реальных условиях.

Итак, после запуска средства vGate R2 появится мастер настройки окружения, где нужно ввести параметры доступа к защищаемому серверу Hyper-V:

Затем на сервере Hyper-V будет развернут компоненты защиты - агент vGate R2:

Первым делом необходимо настроить список пользователей vGate R2:

По умолчанию список пользователей уже содержит учетную запись главного администратора информационной безопасности (АИБ) - это и есть администратор решения vGate R2. Можно также добавить пользователей из Active Directory.

Далее можно приступать к работе с консолью vGate R2:

На вкладке "Конфигурация" можно задать основные настройки продукта. Можно задать параметры общей учетной записи, которая будет использоваться для доступа к серверам Hyper-V.

В разделе "Дополнительные настройки" можно настроить список защищаемых подсетей:

В разделе "Аудит" меню "Конфигурация" можно настроить список генерируемых системой событий, которые администратор может отслеживать:

Эти события вам помогут отследить различные действия злоумышленников. Например, в процессе анализа событий информационной безопасности мы видим, что пользователь склонировал виртуальную машину:

Это требует дальнейших разбирательств - когда и зачем он делал (может планировал забрать ее с собой на флэшке), особенно если данные внутри этой ВМ имеют важность и ценность. Уведомления о наступивших событиях могут быть посланы по SNMP и электронной почте.

Итак, когда основные настройки сделаны, надо приступить к регистрации защищаемых серверов Microsoft Hyper-V:

Добавленный сервер Hyper-V появится в списке защищаемых серверов. При успешном завершении установки агента защиты Hyper- V в разделе "Развертывание" консоли управления появится номер версии агента и сообщение о его статусе "Запущен".

Далее, если необходимо, на серверах нужно развернуть компоненты защиты. Развертывание компонентов защиты на сервере Hyper-V выполняется автоматически при добавлении сервера в список защищаемых серверов. При необходимости переустановки модуля защиты Hyper-V или временной приостановки контроля за операциями с виртуальной инфраструктурой воспользуйтесь функциями раздела "Развертывание" в консоли управления vGate.

Если вы не настроили в начале список пользователей vGate R2, то можно сделать это в разделе "Учетные записи":

Изначально управление учетными записями выполняется от имени учетной записи главного администратора vGate R2, которая создается при установке сервера авторизации vGate. В дальнейшем возможно предоставление прав на управление списком пользователей другой учетной записи администратора информационной безопасности (АИБ).

АИБ может зарегистрировать пользователей двух типов — администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). Если управлением vGate занимаются несколько АИБ, то для каждого АИБ следует настроить дополнительные учетные записи.

Для учетных записей неплохо бы задать политики паролей, которые используются в вашей организации:

Настройка доступа к ресурсам виртуальной инфраструктуры

После этого пора приступать к настройке меток безопасности в разделе "Метки безопасности":

Метка безопасности определяют принадлежность ресурса или пользователя к какой-либо категории (то есть, например, отдел - бухгалтерия, либо класс информации - например, секретно). Есть три типа меток конфиденциальности, которые "накладываются" на ресурсы и учетные записи пользователей:

  • Иерархическая метка - это метка, которая содержит уровень конфиденциальности. Уровень конфиденциальности - это сущность, которая строго иерархически (Неконфиденциально->Для Служебного пользования->Секретно->Совершенно Секретно) определяет возможность доступа пользователей к ресурсам и ресурсов друг к другу. То есть, пользователь с уровнем ДСП не сможет работать с секретными и совсекретными ресурсами, а секретные виртуальные машины не могут находиться на неконфиденциальных хранилищах. Наоборот же, например, на уровень ниже пользователь или ресурс сможет работать с ресурсами, но только если для него установлено соответствующее разрешение (например для хоста - "Может исполнять машины с меньшим уровнем"). Как становится понятным, этот вариант защиты от НСД больше всего востребован госструктурами (гостайна) или организациями, обрабатывающими персональные данные.
  • Неиерархическая метка - это "плоская" метка, которая содержит категорию конфиденциальности. В вашей инфраструктуре может быть сколько угодно категорий, при этом все они будут находиться на одном уровне иерархии. Поэтому механизм прост - если у ресурса есть такая метка (категория) - то пользователь из этой категории может его использовать. Понятное дело, что на одном ресурсе может быть несколько меток - это значит, что несколько категорий пользователей используют его совместно (например, финансисты и бухгалтерия). Здесь становится понятно, что данная модель защиты от НСД вполне подходит коммерческим компаниям. По умолчанию, у вас есть пять категорий, обозначенных цветом ("Синий", "Зеленый", "Желтый" и т. д.), его можно просто менять.
  • Составная метка - это метка, которая содержит одновременно один уровень конфиденциальности и одну или несколько категорий конфиденциальности. Например, они могут пригодиться для работы с совсекретными данными (уровень), но с которыми работают разные отделы (категория). Тут все понятно.

Уровни конфиденциальности:

Допустим мы задали вот такую конфигурацию уровней конфиденциальности (иерархические метки):

В этом примере сервер Hyper-V используется как для обработки неконфиденциальной информации, так и для обработки сведений, составляющих служебную тайну (ДСП). Поэтому серверу Hyper-V присвоен уровень конфиденциальности "ДСП" и задан дополнительный параметр "Разрешено исполнять ВМ с меньшим уровнем". Пользователи с уровнем конфиденциальности "ДСП" будет иметь доступ ко всем ВМ на хосте, а пользователь с уровнем "неконфиденциально" (НК) - только к одной виртуальной машине.

При назначении иерархическихметок (уровней конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задать уровень конфиденциальности для каждой учетной записи АВИ в
соответствии с уровнем допуска пользователя к конфиденциальным
ресурсам.

2. Задать уровень конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с уровнем конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper-V планируется обрабатывать информацию разного уровня конфиденциальности, то:

  • отметить поле "Разрешено исполнять ВМ с меньшим уровнем";
  • установить уровень конфиденциальности сервера Hyper- V, равный максимальному уровню конфиденциальности обрабатываемой на нем информации.

3. Задать уровни конфиденциальности для всех существующих ВМ. Уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности сервера Hyper- V, на котором она выполняется (если отмечено поле "Разрешено исполнять ВМ с меньшим уровнем"), или равен уровню сервера Hyper-V (если поле не отмечено). Если ВМ планируется перемещать на другой сервер Hyper-V, то уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности этого сервера Hyper-V.

В процессе дальнейшего функционирования виртуальной инфраструктуры администратор информационной безопасности должен своевременно назначать уровни конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру (серверам Hyper-V), а также новым учетным записям пользователей.

Категории конфиденциальности:

Посмотрим на пример с категориями конфиденциальности:

В этом примере сервер Hyper-V используется одновременно для обработки информации категорий "Синий" и "Красный" (допустим, это два разных отдела).

Серверу Hyper-V назначены категории "Синий" и "Красный". Виртуальным машинам назначены категории конфиденциальности в соответствии с категорией информации, которая на них находится ("Синий" и "Красный", соответственно). Таким образом, пользователи категории "Синий" будут работать только с одной виртуальной машиной, а пользователи с меткой "Красный" - с двумя ВМ.

При назначении неиерархических меток (категорий конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задать категории конфиденциальности для каждой учетной записи администратора виртуальной инфраструктуры в соответствии с допуском пользователя к определенным категориям ресурсов. Каждый пользователь может быть допущен к одной или нескольким категориям ресурсов.

2. Задать одну или несколько категорий конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с категорией конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper- V будет обрабатываться информация разных категорий, то нужно задать список из этих категорий.

В случае назначения категорий конфиденциальности для объектов новой виртуальной инфраструктуры процедура окончена. Новые ВМ получат метки конфиденциальности автоматически при их создании. При этом ВМ назначается категория из списка категорий хранилища, совпадающая с категорией из списка категорий пользователя, создающего ВМ. Если таковых несколько, то ВМ назначается список категорий. В случае назначения категорий конфиденциальности для объектов существующей виртуальной инфраструктуры необходимо перейти к шагу 3.

3. Задать категории конфиденциальности для всех существующих ВМ. Список категорий ВМ должен иметь хотя бы одну общую категорию со списком категорий сервера Hyper-V, на котором она выполняется.

В процессе дальнейшего функционирования виртуальной инфраструктуры администратор vGate R2 должен своевременно назначать категории конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру.

Более подробно об уровнях и категориях конфиденциальности в vGate R2 мы рассказывали вот тут.

Настройка политик безопасности

Политики безопасности содержат настройки для серверов Hyper-V и ВМ, позволяющие обеспечить определенную степень защиты данных и соответствие требованиям некоторых стандартов безопасности.

В текущей версии vGate R2 пока присутствует только один набор политик - "vGate for Hyper-V ". Это специально разработанный для vGate набор политик, позволяющий задать более безопасный режим работы серверов Hyper-V и виртуальных машин.

В этом шаблоне находятся следующие политики:

Назначение политики объекту осуществляется следующим образом:

  • на базе шаблона формируется набор политик
  • набор политик назначается для категории или уровня конфиденциальности
  • объекту (серверу Hyper-V или ВМ) назначается метка безопасности

То есть политика действует на уровне меток безопасности, а не отдельных объектов.

Пример настройки политик на основе стандартного шаблона:

Для назначения набора политик в консоли управления выберите функцию "Метки безопасности". В области параметров будут отображены значения параметров меток безопасности. Выберите категорию или уровень конфиденциальности, которым необходимо назначить политики, и нажмите кнопку "Назначить политики".

На экране появится список настроенных администратором наборов политик:

Укажите нужный набор политик и нажмите кнопку "Назначить".

Управление доступом к серверам Hyper-V

Перед настройкой доступа к серверам Hyper-V должны быть выполнены следующие процедуры:

  • зарегистрированы пользователи vGate (см. начало статьи)
  • установлены агенты аутентификации на компьютеры сервисных служб, которым требуются входящие соединения в защищаемый периметр для организации санкционированного доступа служб и сервисов компьютеров к защищаемым серверам Hyper-V и другим узлам защищаемой сети.

В консоли управления выбираем функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:

Выберите нужный сервер в таблице "Список защищаемых серверов". В нижней таблице отобразится список действующих правил:

Правила доступа можно создавать на основе шаблона, каждый из которых предназначен для соответствующего варианта использования:

Можно также создавать собственные правила доступа:

Контроль целостности

В vGate средства контроля целостности используются для защиты объектов на сервере авторизации, серверах Hyper-V и рабочих местах администраторов виртуальной инфраструктуры и администратора vGate.

Аудит событий безопасности

События безопасности регистрируются на всех защищаемых серверах, на которых установлены компоненты защиты vGate, а затем пересылаются на сервер авторизации для централизованного хранения.

На компьютерах внешнего периметра сети администрирования, на которых установлен агент аутентификации, сообщения хранятся локально в журнале приложений Windows (Application Event Log). Для их просмотра (локально или удаленно) необходимо использовать Windows Event Viewer.

Для просмотра журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий, а над ней — группа параметров для формирования условий отбора записей.

На самом деле, это очень полезный инструмент для просмотра подозрительных активностей и обнаружения инцидентов информационной безопасности в виртуальной инфраструктуре Hyper-V.

Например, можно узнать, что кто-то пытался подобрать пароль:

Можно увидеть нарушение целостности ВМ (то есть отклонения от эталонной конфигурации), которое явилось следствием изменения конфигурационного файла ВМ (администратор увеличил память):

Посмотрев свойства события, мы видим кто и когда это сделал с нашей машиной:

Можно также увидеть события нарушения доступности ВМ (кто-то остановил или удалил машину):

Также в разделе "Отчеты" есть множество полезных вещей, например, «Наиболее частые события ИБ»:

Здесь мы видим, что кто-то постоянно пытается получить доступ к защищенному объекту виртуальной инфраструктуры, что является основанием для начала расследования инцидента.

На этом наш обзор основной настройки решения vGate R2 для Hyper-V закончен. Вы можете больше узнать о vGate R2 для Hyper-V по этой ссылке, а бесплатно загрузить пробную версию продукта можно вот тут.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Tanzu VCF AI Intel Workstation Private AI VCP V2V HCX Aria NSX DPU Explore Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Stretched Memory Bugs Director ESA Troubleshooting Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge