Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Режимы работы и эксплуатация vGate R2.

Режимы работы и эксплуатация vGate R2.

Режимы работы и эксплуатация vGate R2.

Автор: Александр Самойленко
Дата: 30/10/2015

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Продолжаем серию статей о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. Сегодня мы поговорим о новой возможности vGate R2 версии 2.8 - режимах работы, которые позволяют обеспечивать развертывание решения, его эксплуатацию, а также обработку исключительных ситуаций.

Как мы уже писали ранее, новая версия vGate 2.8 предоставляет администраторам информационной безопасности (АИБ) три режима работы:

  • тестовый режим
  • штатный режим
  • аварийный режим

1. Начало эксплуатации vGate R2 - тестовый режим.

Когда вы закончили развертывание vGate R2 (про этот процесс мы писали вот тут), продукт переходит в тестовый режим, обеспечивающий фазу ввода решения в эксплуатацию. Обратите внимание на название режима в меню сверху и оранжевую полосу в верхней части консоли:

Данный режим обеспечивает доступ к серверам виртуальной инфраструктуры с рабочих мест администраторов vSphere и АИБ без предварительной настройки правил разграничения доступа и позволяет выполнить ввод в эксплуатацию или настройку конфигурации vGate, не ограничивая работу существующей сетевой инфраструктуры.

По-сути, этот режим создан, чтобы АИБ приступил с созданию правил разграничения доступа (ПРД) к различным компонентам виртуальной инфраструктуры vSphere или Hyper-V, после чего решение vGate можно было бы ввести в промышленную эксплуатацию.

Особенности работы vGate в тестовом режиме:

  • Для аутентифицированных пользователей vGate разрешены подключения ко всем серверам, размещенным внутри защищаемого периметра сети администрирования, с любого компьютера по всем протоколам и портам.
  • Для пользователей, не прошедших процедуру аутентификации в vGate, разрешен доступ ко всем серверам из защищаемого периметра по протоколу ICMP (команда ping).
  • При наличии правил разграничения доступа (ПРД) для серверов ESXi и Hyper-V, настроенных в консоли управления vGate, доступ пользователей vGate к защищаемым серверам обеспечивается в соответствии с этими правилами.
  • При наличии правил фильтрации для серверов vCenter и Hyper-V, настроенных с помощью утилиты drvmgr.exe, доступ обеспечивается в соответствии с этими правилами.
  • Доступ к выполнению операций с объектами виртуальной инфраструктуры контролируется в соответсвтвии с настроенными метками безопасности (механизм полномочного управления доступом действует, как в штатном режиме).
  • События установки соединений с серверами из защищаемого периметра регистрируются в журнале событий безопасности vGate.
  • Поддерживается доверенная загрузка ВМ (политика "Доверенная загрузка виртуальных машин" действует, как в штатном режиме).

Для просмотра и настройки действующих правил разграничения доступа в консоли vGate, нужно выбрать функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:

Для просмотра перечня ПРД, обеспечивающих работу vGate в тестовом режиме, можно воспользоваться утилитой drvmgr.exe, которую нужно запустить на сервере vCenter (если используется инфраструктура VMware) или на сервере Hyper-V (если у вас инфраструктура виртуализации от Microsoft):

  • > drvmgr 
    Вызов справки
  • > drvmgr i 0x031
    Просмотр текущих правил фильтрации (для Hyper-V)

Более подробно мы писали о настройке данных правил вот тут.

Если на vCenter или хост Hyper-V установлена операционная система Windows Server 2008 R2 или 2012 R2 и включен контроль учетных записей (UAC, UserAccount Control), то для настройки правил фильтрации соединений утилиту drvmgr.exe следует запускать от имени администратора.

После завершения редактирования списка защищаемых серверов, настройки правил разграничения доступа к защищаемым серверам и настройки уровней и категорий конфиденциальности, необходимо перевести vGate в штатный режим работы.

2. Штатный режим работы - эксплуация vGate.

После того, как вы настроили всю инфраструктуру vGate, можно переводить ее в производственный (штатный) режим, когда все правила и доступы начнут работать по-серьезному. Но предварительно нужно сделать 3 вещи:

  1. Обучить администраторов работе в защищенной среде (мы писали об этом вот тут). Кром того, они должны понимать, что такое иерархические и плоские метки безопасности в виртуальной среде, к каким ресурсам им разрешен доступ со стороны АИБ, и как выглядит сообщение в vSphere Client или Web Client (или клиенте Hyper-V) об отказе в выполнении операции по причине отстутствия доступа у администратора.
  2. Неплохо бы в каком-то виде задокументировать инфраструктуру vGate, включая правила доступа к защищенному периметру, а также принадлежность ресурсов (хосты, сети, хранилища, виртуальные машины) к уровням и категориям конфиденциальности. Например, в таком виде.
  3. Сделать резервную копию конфигурации сервера авторизации vGate, чтобы в случае чего откатиться к эталонным настройкам.

Резервное копирование базы данных конфигурации vGate производится с помощью вспомогательной утилиты db-util.exe. Утилита располагается на установочном диске vGate в папке .\vGate\Tools или в папке, в которую был установлен компонент "Сервер автори-
зации".

Для создания резервной копии базы данных конфигурации vGate:

  • На основном сервере авторизации создайте папку, в которую бдет записана копия конфигурации.
  • Откройте редактор командной строки и выполните следующую команду:

    db-util.exe -b c:\Backup

    где:
    db-util.exe — путь к исполняемому файлу утилиты
    c:\Backup — путь к созданной папке для хранения резервной копии конфигурации
  • Убедитесь в том, что указанная папка содержит копию конфигурации.

Для восстановления конфигурации vGate необходимо выполнить следующие действия:

  • Остановите все службы vGate (иначе восстановление не будет произведено). В случае если на компьютере установлено ПО сервера авторизации с резервированием, необходимо дополнительно остановить службу Slony-I Service.
  • Откройте редактор командной строки и выполните следующую команду:

    db-util.exe -r c:\Backup


    где:
    db-util.exe — путь к исполняемому файлу утилиты
    c:\Backup — путь к созданной папке для хранения резервной копии
    конфигурации.
    При необходимости вы также можете использовать следующие аргументы:
    -f [--force] – команда восстановления конфигурации -r [--restore] не будет запрашивать подтверждение на операцию
    -v [--verbose] – операции резервирования и восстановления будут иметь подробный вывод

    Пример: db-util.exe -v -r c:\Backup -f

  • Из каталога установки vGate\Kerberos удалите следующие файлы:
    - krb5kt
    - k5.VGATE, где VGATE — имя реестра учетных записей vGate.
  • Запустите остановленные службы vGate.

Когда вы сделали 3 перечисленных выше вещи, настало время ввода vGate в промышленную эксплуатацию. Для переключения vGate в штатный режим:

  1. В области главного меню консоли управления нажмите кнопку-ссылку "Тестовый режим" и выберите в раскрывающемся списке вариант "Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
  2. Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим работы vGate будет включен. Соответствующее сообщение появится в виде кнопки-ссылки в области главного меню консоли управления.

Как следствие, консоль приобретет сверху синий цвет и появится пункт меню "Штатный режим":

В процессе эксплуатации vGate в штатном режиме необходимо постоянно поддерживать инфраструктуру vGate в актуальном состоянии и каждое изменение конфигурации среды VMware vSphere или Microsoft Hyper-V должно отражаться в правилах разграничения доступа, а также метках конфиденциальности (напомним, что мы писали о них вот тут). Также, понятно дело, в актуальном виде необходимо поддерживать и документацию по конфигурации инфраструктуры vGate.

Кроме того, также нужно регулярно делать резервные копии конфигурации vGate (как мы описали выше), чтобы не проводить весь массив операций по настройке в следующий раз (где, к тому же, не исключена вероятность ошибки при повторной настройке). Резервные копии создавайте по расписанию и храните их все за соответствующие даты (они занимают немного места, а в случае чего будут очень полезны).

При необходимости (например, для смягчения контроля доступа к серверам в защищаемом периметре в случае реорганизации виртуальной инфраструктуры) vGate может быть вновь переведен в тестовый режим работы.

3. Аварийный режим - обработка исключительных ситуаций.

Аварийный режим предназначен для приостановки защиты в случае выхода из строя элементов ИТ-инфраструктуры (например, сегмента сети ввиду отказа Edge-коммутаторов). Данный режим позволяет администратору обойти ограничения доступа к администрированию виртуальной среды на время восстановления работоспособности инфраструктуры.

Для переключения vGate в аварийный режим:

  • В служебной области консоли управления нажмите кнопку-ссылку с названием текущего режима работы (в обычном случае — "Штатный режим") и выберите в раскрывающемся списке вариант "Аварийный режим". На экране появится предупреждение о переключении vGate в аварийный режим.
  • Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Аварийный режим будет включен. Область главного меню консоли управления будет окрашена в красный цвет. Ссылка с названием текущего режима работы vGate изменит название на "Аварийный режим".

В аварийном режиме приостанавливается:

  • работа компонентов защиты серверов виртуализации и серверов управления виртуальной инфраструктурой (ESX-серверов и vCenter)
  • действие политик безопасности
  • действие правил разграничения доступа к защищаемым серверам и правил фильтрации сетевых подключений к vCenter
  • проверка меток безопасности

Особо надо обратить внимание, что в аварийном режиме не выполняется аудит событий безопасности для компонентов защиты ESXi-серверов и vCenter. Это значит, что в данном режиме vGate не будет регистрировать события информационной безопасности, а следовательно работа в таком режиме может быть только кратковременной. Не стоит оставлять этот режим на несколько дней, например, при реорганизации сетевой инфраструктуры. Как альтернативу можно использовать на это время общие средства логирования и аналитики платформы виртуализации (например, Log Insight от VMware).

Помните, что в процессе восстановления работоспособности инфраструктуры могут произойти изменения в конфигурации защищаемых серверов или средств администрирования виртуальной инфраструктуры. Перед переключением vGate в штатный режим необходимо проверить корректность конфигурации vGate в соответствии с планом настройки конфигурации (и, конечно же, создать бэкап).

Для переключения vGate в штатный режим:

  • В служебной области консоли управления нажмите кнопку-ссылку "Аварийный режим" и выберите в раскрывающемся списке вариант
    "Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
  • Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим будет включен. Область главного меню консоли управления будет окрашена в синий цвет. Ссылка с названием текущего режима работы vGate изменит название на "Штатный режим".

Вкратце это все об основных режимах работы средства защиты виртуальных инфраструктур vGate R2. Загрузить пробную версию решения для VMware vSphere или Microsoft Hyper-V вы можете бесплатно по этой ссылке.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V HCX vSAN Private AI VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge