Продолжаем серию статей о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. Сегодня мы поговорим о новой возможности vGate R2 версии 2.8 - режимах работы, которые позволяют обеспечивать развертывание решения, его эксплуатацию, а также обработку исключительных ситуаций.
Как мы уже писали ранее, новая версия vGate 2.8 предоставляет администраторам информационной безопасности (АИБ) три режима работы:
тестовый режим
штатный режим
аварийный режим
1. Начало эксплуатации vGate R2 - тестовый режим.
Когда вы закончили развертывание vGate R2 (про этот процесс мы писали вот тут), продукт переходит в тестовый режим, обеспечивающий фазу ввода решения в эксплуатацию. Обратите внимание на название режима в меню сверху и оранжевую полосу в верхней части консоли:
Данный режим обеспечивает доступ к серверам виртуальной инфраструктуры с рабочих мест администраторов vSphere и АИБ без предварительной настройки правил разграничения доступа и позволяет выполнить ввод в эксплуатацию или настройку конфигурации vGate, не ограничивая работу существующей сетевой инфраструктуры.
По-сути, этот режим создан, чтобы АИБ приступил с созданию правил разграничения доступа (ПРД) к различным компонентам виртуальной инфраструктуры vSphere или Hyper-V, после чего решение vGate можно было бы ввести в промышленную эксплуатацию.
Особенности работы vGate в тестовом режиме:
Для аутентифицированных пользователей vGate разрешены подключения ко всем серверам, размещенным внутри защищаемого периметра сети администрирования, с любого компьютера по всем протоколам и портам.
Для пользователей, не прошедших процедуру аутентификации в vGate, разрешен доступ ко всем серверам из защищаемого периметра по протоколу ICMP (команда ping).
При наличии правил разграничения доступа (ПРД) для серверов ESXi и Hyper-V, настроенных в консоли управления vGate, доступ пользователей vGate к защищаемым серверам обеспечивается в соответствии с этими правилами.
При наличии правил фильтрации для серверов vCenter и Hyper-V, настроенных с помощью утилиты drvmgr.exe, доступ обеспечивается в соответствии с этими правилами.
Доступ к выполнению операций с объектами виртуальной инфраструктуры контролируется в соответсвтвии с настроенными метками безопасности (механизм полномочного управления доступом действует, как в штатном режиме).
События установки соединений с серверами из защищаемого периметра регистрируются в журнале событий безопасности vGate.
Поддерживается доверенная загрузка ВМ (политика "Доверенная загрузка виртуальных машин" действует, как в штатном режиме).
Для просмотра и настройки действующих правил разграничения доступа в консоли vGate, нужно выбрать функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:
Для просмотра перечня ПРД, обеспечивающих работу vGate в тестовом режиме, можно воспользоваться утилитой drvmgr.exe, которую нужно запустить на сервере vCenter (если используется инфраструктура VMware) или на сервере Hyper-V (если у вас инфраструктура виртуализации от Microsoft):
> drvmgr
Вызов справки
> drvmgr i 0x031
Просмотр текущих правил фильтрации (для Hyper-V)
Более подробно мы писали о настройке данных правил вот тут.
Если на vCenter или хост Hyper-V установлена операционная система Windows Server 2008 R2 или 2012 R2 и включен контроль учетных записей (UAC, UserAccount Control), то для настройки правил фильтрации соединений утилиту drvmgr.exe следует запускать от имени администратора.
После завершения редактирования списка защищаемых серверов, настройки правил разграничения доступа к защищаемым серверам и настройки уровней и категорий конфиденциальности, необходимо перевести vGate в штатный режим работы.
2. Штатный режим работы - эксплуация vGate.
После того, как вы настроили всю инфраструктуру vGate, можно переводить ее в производственный (штатный) режим, когда все правила и доступы начнут работать по-серьезному. Но предварительно нужно сделать 3 вещи:
Обучить администраторов работе в защищенной среде (мы писали об этом вот тут). Кром того, они должны понимать, что такое иерархические и плоские метки безопасности в виртуальной среде, к каким ресурсам им разрешен доступ со стороны АИБ, и как выглядит сообщение в vSphere Client или Web Client (или клиенте Hyper-V) об отказе в выполнении операции по причине отстутствия доступа у администратора.
Неплохо бы в каком-то виде задокументировать инфраструктуру vGate, включая правила доступа к защищенному периметру, а также принадлежность ресурсов (хосты, сети, хранилища, виртуальные машины) к уровням и категориям конфиденциальности. Например, в таком виде.
Сделать резервную копию конфигурации сервера авторизации vGate, чтобы в случае чего откатиться к эталонным настройкам.
Резервное копирование базы данных конфигурации vGate производится с помощью вспомогательной утилиты db-util.exe. Утилита располагается на установочном диске vGate в папке .\vGate\Tools или в папке, в которую был установлен компонент "Сервер автори-
зации".
Для создания резервной копии базы данных конфигурации vGate:
На основном сервере авторизации создайте папку, в которую бдет записана копия конфигурации.
Откройте редактор командной строки и выполните следующую команду:
db-util.exe -b c:\Backup
где:
db-util.exe — путь к исполняемому файлу утилиты
c:\Backup — путь к созданной папке для хранения резервной копии конфигурации
Убедитесь в том, что указанная папка содержит копию конфигурации.
Для восстановления конфигурации vGate необходимо выполнить следующие действия:
Остановите все службы vGate (иначе восстановление не будет произведено). В случае если на компьютере установлено ПО сервера авторизации с резервированием, необходимо дополнительно остановить службу Slony-I Service.
Откройте редактор командной строки и выполните следующую команду:
db-util.exe -r c:\Backup
где:
db-util.exe — путь к исполняемому файлу утилиты
c:\Backup — путь к созданной папке для хранения резервной копии
конфигурации.
При необходимости вы также можете использовать следующие аргументы:
-f [--force] – команда восстановления конфигурации -r [--restore] не будет запрашивать подтверждение на операцию
-v [--verbose] – операции резервирования и восстановления будут иметь подробный вывод
Пример: db-util.exe -v -r c:\Backup -f
Из каталога установки vGate\Kerberos удалите следующие файлы:
- krb5kt
- k5.VGATE, где VGATE — имя реестра учетных записей vGate.
Запустите остановленные службы vGate.
Когда вы сделали 3 перечисленных выше вещи, настало время ввода vGate в промышленную эксплуатацию. Для переключения vGate в штатный режим:
В области главного меню консоли управления нажмите кнопку-ссылку "Тестовый режим" и выберите в раскрывающемся списке вариант "Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим работы vGate будет включен. Соответствующее сообщение появится в виде кнопки-ссылки в области главного меню консоли управления.
Как следствие, консоль приобретет сверху синий цвет и появится пункт меню "Штатный режим":
В процессе эксплуатации vGate в штатном режиме необходимо постоянно поддерживать инфраструктуру vGate в актуальном состоянии и каждое изменение конфигурации среды VMware vSphere или Microsoft Hyper-V должно отражаться в правилах разграничения доступа, а также метках конфиденциальности (напомним, что мы писали о них вот тут). Также, понятно дело, в актуальном виде необходимо поддерживать и документацию по конфигурации инфраструктуры vGate.
Кроме того, также нужно регулярно делать резервные копии конфигурации vGate (как мы описали выше), чтобы не проводить весь массив операций по настройке в следующий раз (где, к тому же, не исключена вероятность ошибки при повторной настройке). Резервные копии создавайте по расписанию и храните их все за соответствующие даты (они занимают немного места, а в случае чего будут очень полезны).
При необходимости (например, для смягчения контроля доступа к серверам в защищаемом периметре в случае реорганизации виртуальной инфраструктуры) vGate может быть вновь переведен в тестовый режим работы.
3. Аварийный режим - обработка исключительных ситуаций.
Аварийный режим предназначен для приостановки защиты в случае выхода из строя элементов ИТ-инфраструктуры (например, сегмента сети ввиду отказа Edge-коммутаторов). Данный режим позволяет администратору обойти ограничения доступа к администрированию виртуальной среды на время восстановления работоспособности инфраструктуры.
Для переключения vGate в аварийный режим:
В служебной области консоли управления нажмите кнопку-ссылку с названием текущего режима работы (в обычном случае — "Штатный режим") и выберите в раскрывающемся списке вариант "Аварийный режим". На экране появится предупреждение о переключении vGate в аварийный режим.
Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Аварийный режим будет включен. Область главного меню консоли управления будет окрашена в красный цвет. Ссылка с названием текущего режима работы vGate изменит название на "Аварийный режим".
В аварийном режиме приостанавливается:
работа компонентов защиты серверов виртуализации и серверов управления виртуальной инфраструктурой (ESX-серверов и vCenter)
действие политик безопасности
действие правил разграничения доступа к защищаемым серверам и правил фильтрации сетевых подключений к vCenter
проверка меток безопасности
Особо надо обратить внимание, что в аварийном режиме не выполняется аудит событий безопасности для компонентов защиты ESXi-серверов и vCenter. Это значит, что в данном режиме vGate не будет регистрировать события информационной безопасности, а следовательно работа в таком режиме может быть только кратковременной. Не стоит оставлять этот режим на несколько дней, например, при реорганизации сетевой инфраструктуры. Как альтернативу можно использовать на это время общие средства логирования и аналитики платформы виртуализации (например, Log Insight от VMware).
Помните, что в процессе восстановления работоспособности инфраструктуры могут произойти изменения в конфигурации защищаемых серверов или средств администрирования виртуальной инфраструктуры. Перед переключением vGate в штатный режим необходимо проверить корректность конфигурации vGate в соответствии с планом настройки конфигурации (и, конечно же, создать бэкап).
Для переключения vGate в штатный режим:
В служебной области консоли управления нажмите кнопку-ссылку "Аварийный режим" и выберите в раскрывающемся списке вариант
"Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим будет включен. Область главного меню консоли управления будет окрашена в синий цвет. Ссылка с названием текущего режима работы vGate изменит название на "Штатный режим".
Вкратце это все об основных режимах работы средства защиты виртуальных инфраструктур vGate R2. Загрузить пробную версию решения для VMware vSphere или Microsoft Hyper-V вы можете бесплатно по этой ссылке.