Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6230 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / vGate R2 для защиты среды Microsoft Hyper-V - зачем он нужен, и что он умеет?

vGate R2 для защиты среды Microsoft Hyper-V - зачем он нужен, и что он умеет?

vGate R2 для защиты среды Microsoft Hyper-V - зачем он нужен, и что он умеет?

Автор: Александр Самойленко
Дата: 30/09/2014

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Некоторое время назад мы писали о том, что компания Код Безопасности, известная многим по решению vGate R2 для защиты инфраструктуры VMware vSphere, выпустила версию vGate R2 для инфраструктур Microsoft Hyper-V. Это решение позволяет проводить защищенную аутентификацию администраторов, разграничивать доступ к различным объектам инфраструктуры и проводить аудит событий безопасности.

Так выглядит красивая и защищенная средствами vGate R2 инфраструктура Microsoft Hyper-V:

Начнем с того, что решение vGate R2 является российской разработкой и версия для Hyper-V имеет сертификат ФСТЭК, что позволит пройти проверку на обеспечение защиты персональных данных (до первого класса включительно) в контролирующих органах. Ну и российский качественный продукт для обеспечения безопасности - это всегда приятно и полезно, особенно в контексте развивающихся сейчас внешнеполитических сценариев.

Зачем нужен vGate R2 для Hyper-V?

Перечислим основные возможности vGate R2 для Hyper-V с описанием их полезности для защиты виртуальной среды:

  • Аутентификация субъектов доступа

Эта возможность позволяет проводить аутентификацию пользователей и компьютеров, которые пытаются получить доступ к защищаемым объектам, осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и предотвращающим вмешательство в передачу данных.

  • Дискреционное разграничение доступа к средствам управления виртуальной инфраструктурой

Данные функции реализуют дискреционное разграничение доступа к объектам, которые размещены внутри защищаемого периметра. Это осуществляется на основе заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписывается, тем самым обеспечивается защита от атак типа Man in the Middle в процессе сетевого взаимодействия.

Средства управления виртуальной инфраструктурой размещаются внутри защищаемого периметра, доступ пользователей и компьютеров к которым осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и предотвращающим вмешательство в передачу данных.

В vGate реализован механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины.

Эта и предыдущая функции позволят вам убедиться в том, что все коммуникации в виртуальной инфраструктуре Hyper-V надежно защищены.

  • Ограничение полномочий АИБ по управлению виртуальной инфраструктурой

Полномочия администратора информационной безопасности (АИБ) по управлению виртуальной инфраструктурой ограничены только возможностью просмотра конфигурации элементов виртуальной инфраструктуры (так как АИБ должен следить за соблюдением процедур доступа к данным, но сам к этим данным он не имеет отношения). По умолчанию АИБ не имеет доступа к дискам ВМ и не может получить доступ к находящейся на них конфиденциальной информации. Паролей администратора виртуальной инфраструктуры (АВИ) он также не знает, поскольку они в обязательном порядке должны быть изменены АВИ при первом входе в систему. Таким образом, АИБ не имеет возможности производить потенциально опасные действия с виртуальной инфраструктурой.

Отличия ролей АИБ и АВИ представлены в таблице ниже (для вашей инфраструктуры будет хорошо, если это будут два разных человека):

Роль Полномочия
АИБ
  • Дискреционное разграничение доступа к средствам управления виртуальной
    инфраструктурой.
  • Настройка полномочного управления доступом к конфиденциальным
    ресурсам.
  • Управление политиками безопасности средств управления виртуальной
    инфраструктурой и объектов защищаемого периметра.
  • Аудит событий безопасности.
  • Настройка vGate.
  • Управление учетными записями пользователей (создание, удаление,
    редактирование), кроме учетной записи главного АИБ.
  • Настройка и управление резервным сервером (при его наличии).
  • Просмотр настроек элементов управления виртуальной инфраструктурой
    Hyper-V (в случае если настроены соответствующие правила разграничения
    доступа)
АВИ
  • Управление виртуальной инфраструктурой с помощью средств управления Hyper-V.
  • Выбор уровня конфиденциальности сессии при работе с конфиденциальными ресурсами (для использования данной возможности необходима настройка vGate, по умолчанию функция отключена).
  • Настройка учетной записи АИБ для просмотра настроек элементов управления виртуальной инфраструктурой с помощью средств управления Hyper-V

Проще говоря, АИБ - это человек, который определяет правила доступа к ресурсам виртуальной инфраструктуры, накатывает политики безопасности, делает аудит и администрирует инфраструктуру vGate, а АВИ для решения vGate - обычный пользователь, который делает свою привычную работу - администрирует серверы Hyper-V и виртуальные машины.

  • Контроль действий АВИ

В vGate реализована возможность контроля действий администратора виртуальной инфраструктуры (АВИ) на уровне отдельных команд управления виртуальной инфраструктурой.

Процедура аутентификации АВИ осуществляется с помощью отдельного приложения, которое устанавливается на его рабочее место (агент аутентификации). До соединения с виртуальной инфраструктурой АВИ требуется запустить эту программу и ввести свои учетные данные, которые определяют его уровень доступа к компонентам виртуальной среды.

  • Управляемые парольные политики

Управляемые парольные политики позволяют обеспечить соблюдение отраслевых требований к парольной защите при аутентификации на хост-серверах. Многим администраторам это ужасно не нравится, но, что поделаешь, это часть отраслевых стандартов информационной безопасности.

  • Полномочное управление доступом к конфиденциальным ресурсам

Функция полномочного управления доступом позволяет обеспечить более гранулированный доступ (по сравнению с дискреционным разграничением доступа) к конфиденциальным сведениям.

В vGate реализован мандатный принцип контроля доступа на основе меток конфиденциальности. При выполнении ряда стандартных операций с объектами виртуальной инфраструктуры осуществляется сравнение меток безопасности учетных записей администратора информационной безопасности и ресурсов. Благодаря этому возможно создание логических групп и сфер администрирования через бизнес – категоризацию, например, финансовый и коммерческий отделы и т.д.

Вот пример разграничения доступа на основе меток конфиденциальности для пользователей и данных различных отделов предприятия:

Также есть и иерархические уровни конфиденциальности для пользователей и данных (по-сути, это уровень доступа к данным - от информации для всех до совершенно секретных данных). Вот пример того, как это работает:

Пользователь без уровня доступа (то есть, с уровнем "неконфиденциально") не имеет доступа к ресурсам для служебного пользования. Это все (метки и уровни конфиденциальности) для инфраструктуры безопасности настраивает АИБ.

  • Защита настроек серверов Hyper-V и виртуальных машин от НСД

С помощью содержащихся в продукте шаблонов можно создавать политики безопасности для защиты наиболее критичных объектов виртуальной инфраструктуры- серверов Hyper-V и виртуальных машин. Назначение сформированного на основе шаблонов набора политик объектам осуществляется с помощью меток конфиденциальности. В процессе работы с инфраструктурой vGate автоматически проверяет и поддерживает целостность назначенных политик безопасности.

Подводя итог этого раздела, можно сказать, что vGate R2 - это комплексное средство защиты виртуальных инфраструктур Hyper-V, которое с одной стороны контролирует действия ваших системных администраторов и коммуникацию между компонентами виртуальной среды (внутренние угрозы, инсайдеры), а с другой стороны - обеспечивает защиту периметра инфраструктуры виртуализации от внешних угроз (действий злоумышленников).

Но это еще не все - плюсом к защите самих компонентов виртуальной инфраструктуры и коммуникаций vGate R2 для Hyper-V способствует также и защите виртуальных машин.

Функции защиты виртуальных машин в vGate R2

Давайте посмотрим на функции, которые есть у vGate R2 lля обеспечения защиты ВМ и данных, обрабатываемых в них.

  • Запрет экспорта виртуальных машин

Помните мы писали о том, как украсть виртуальную машину? Так вот эта функция позволяет ограничить несанкционированное перемещение (экспорт) виртуальных машин, обрабатывающих данные ограниченного доступа. Реализована в рамках политик безопасности.

  • Запрет создания и удаления контрольных точек (checkpoints) виртуальных машин

Эта функция применяется для противодействия нарушению целостности работы систем, обрабатывающих данные ограниченного доступа. Реализована в рамках политик безопасности.

  • Затирание остаточных данных на СХД при удалении ВМ

Функция гарантирует отсутствие остаточной информации об обрабатываемых данных на жестких дисках после удаления ВМ. Затирание остаточных данных может выполняться посредством однократной записи нулевых значений. Реализована в рамках политик безопасности.

  • Запрет включения репликации ВМ

Функция позволяет ограничить возможность несанкционированного копирования (репликации) виртуальных машин. Реализована в рамках политик безопасности.

  • Запрет миграции ВМ

Функция позволяет ограничить несанкционированное перемещение (миграцию) виртуальных машин, обрабатывающих данные ограниченного доступа. Реализована в рамках политик безопасности.

  • Ограничение скачивания файлов ВМ

С помощью данного механизма можно ограничить круг лиц, которым разрешено скачивание файлов ВМ. Механизм реализован как привилегия пользователя.

Регистрация событий и аудит инфраструктуры Hyper-V

События безопасности регистрируются на всех защищаемых серверах, на которых установлены компоненты защиты vGate, а затем пересылаются на сервер авторизации для централизованного хранения.

vGate регистрирует большой спектр событий:

  • События аутентификации (регистрируются попытки доступа к элементам управления виртуальной инфраструктурой).
  • События, связанные с контролем доступа к виртуальной инфрастуктуре Hyper-V (серверу Hyper-V и виртуальным машинам)
  • События, относящиеся к системе в целом. Например, события, связанные с превышением числа лицензий
  • События, касающиеся политик безопасности
  • События, относящиеся к установке модулей защиты хост-серверов
  • События, относящиеся к запуску или остановке служб (системных сервисов)
  • События, связанные с правилами разграничения доступа
  • События, связанные с нарушением контроля целостности

Все эти события потом можно посмотреть и проанализировать в разделе "Аудит":

Каждое событие очень подробно описано:

По умолчанию в журнале vGate регистрируются все возможные события информационной безопасности. Если такой детальный мониторинг не требуется, АИБ может отключить те события,регистрация которых не нужна (например, настроить только регистрацию ошибок).

В итоге

vGate R2 для Hyper-V - это комплексное средство защиты инфраструктур виртуализации. Оно позволит вам настроить безопасную коммуникацию компонентов виртуальной среды, управлять доступом к объектам на базе иерархической и плоской модели, защищать хост-серверы и виртуальные машины средствами политик, контролировать конфигурации, проводить аудит событий безопасности и многое другое.

Для чего использовать продукт? Да для того, чтобы привести защиту среды виртуализации в соответствие отраслевым стандартам и требованиям российского законодательства. С развитием виртуальных инфраструктур возрастают риски, связанные с ИБ, а vGate позволяет их свести к минимуму. Продукт существует уже много лет, а значит вы можете быть уверены, что ваша инфраструктура безопасности всегда будет "up-to-date", поскольку его поддержка и развитие осуществляется непрерывно. Ну и к тому же, vGate - это единственное средство на рынке, обладающим таким спектром возможностей и мощным функционалом за вполне приемлемые деньги.

Вы можете больше узнать о vGate R2 для Hyper-V по этой ссылке, а бесплатно загрузить пробную версию продукта можно вот тут.

В следующей статье мы детально расскажем об архитектуре vGate R2 для Hyper-V и его развертывании, а также более подробно остановимся на ключевых функциях продукта, таких как управление доступом и политики безопасности.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Tanzu VCF AI Intel Workstation Private AI VCP V2V HCX Aria NSX DPU Explore Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Stretched Memory Bugs Director ESA Troubleshooting Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge