Политики безопасности, реализованные в vGate R2, контролируют критичные для безопасности виртуальной среды настройки серверов ESX / ESXi и ВМ. На предмет соответствия самим политикам (то есть, настройкам безопасности) инфраструктуру виртуализации можно просканировать абсолютно бесплатно с помощью бесплатного средства vGate Compliance Checker с поддержкой vSphere 5. Ну а далее, с помощью vGate R2, эти политики можно уже централизованно контролировать.
То есть, смысл политик в vGate R2 - освободить администратора vSphere от рутинных операций за счет автоматизации настройки безопасности для хостов и виртуальных машин. Политика назначается метке безопасности (категория или уровень конфиденциальности данных ВМ или хост-сервера), после чего метка назначается серверам ESX/ESXi и виртуальным машинам (а также другим объектам), которые автоматически настраиваются с помощью агентов на хостах.
Для каждой из политик набора есть ее детальное описание и, что особенно круто, ссылка на конкретный пункт руководящего документа:
Ниже мы приведем полный список политик безопасности для хост-серверов ESX/ESXi с их описанием и рекомендациями по применению. В таблице используются 2 основных роли пользователя по отношению к продукту:
| Название политики
| Описание
| Рекомендации/ примечания |
| Список разрешенных
программ |
Обеспечивает доверенную программную среду ESX-сервера. На ESX-сервере хранится список разрешенных
по умолчанию программ. АИБ при необходимости может с
помощью консоли управления добавить или удалить из
этого списка нужные программы. |
Необходимо тогда, когда требуется применение сторонних модулей и приложений, работающих в консоли ESX/ESXi |
| Запрет локального входа на ESX-сервер |
Политика управляет списком пользователей, которым
разрешен локальный вход на ESX-сервер. |
Доступ пользователей в консоль лучше ограничить или оставить только одного администратора, который может это делать. |
| Запрет подключения
USB-носителей к
ESX/ESXi-серверу |
Блокирует возможность подключения USB Flash
накопителей к ESX/ESXi-серверу, тем самым обеспечивая
контроль монтирования устройств к ESX/ESXi-серверу.
После включения данной политики на ESX-сервере,
необходима его перезагрузка. |
Если не используются USB-устройства, политику лучше применить. |
| Правила для межсетевого экрана |
Содержит правила фильтрации трафика для межсетевого
экрана netfilter, поступающего на ESX-сервер.
По умолчанию политика запрещает административный
доступ по портам TCP 443/22 для всех объектов из
защищаемого периметра, за исключением сервера
авторизации и vCenter.
При необходимости разрешить доступ к ESX-серверу других
объектов необходимо настроить ПРД для них в формате:
"<исходный адрес/подсеть> <целевой порт>". |
Инструкция по настройке правил доступа серверов к хостам приведена в статье "Настройка взаимодействия инфраструктурных серверов с защищенным периметром vGate R2 в инфраструктуре VMware vSphere". |
| Аутентификация для однопользовательского
режима |
Политика определенным образом настраивает
конфигурационный файл /etc/inittab для обеспечения
обязательной аутентификации в однопользовательском
режиме. |
Эту политику обязательно нужно применять, чтобы не было возможности сбросить пароль сервера ESX/ESXi (подробнее и тут). |
| Установка и поддержка
целостности файловой
системы |
Политика ограничивает доступ к конфигурационным
файлам служб. |
Политику лучше применить. |
| Использование версии 2
протокола SSH |
Политика задает необходимость использования протокола
SSH версии 2. |
Политику лучше применить. |
| Ограничение входа
в систему для root |
Политика модифицирует файл /etc/securetty для
ограничения входа в систему под учетной записью root. |
Опционально - если это не создает неудобств администраторам. |
| Запрет подключения
пользовательских съемных файловых систем |
Политика ограничивает набор устройств, разрешенных
для подключения. |
Политику лучше применить, если не используется таких устройств. |
| Запрет операций с буфером обмена |
Политика устанавливает запрет на выполнение операций
с буфером обмена для каждой виртуальной машины.
После включения данной политики необходима
перезагрузка виртуальных машин. |
Политику лучше применить, если это не требуется для работы с ВМ. |
| Ограничение на выполнение назначенных заданий |
Политика ограничивает список пользователей, которым
разрешено выполнять назначенные задания (команды
cron и at). |
Политику можно применить, если это не требуется для работы с заданиями. |
| Ограничение прав на
конфигурацию планировщика заданий |
Политика ограничивает доступ к конфигурационным
файлам планировщика заданий. |
Политику можно применить, если это не требуется для работы с заданиями. |
| Установка ограничений
для системных служб |
Политика устанавливает ограниченные полномочия на
файлы по умолчанию для демонов и root. |
Политику лучше применить. |
| Разделение сетей консоли управления и виртуальных машин |
Политика проверяет, что не используется одна сеть для
Service Console и виртуальных машин. |
Политику нужно применить - сети в производственной среде должны быть разнесены. |
| Использование протокола CHAP для iSCSI
устройств |
Политика задает необходимость использования CHAP для
проверки подлинности при подключении iSCSI-устройств |
Если используются только такие таргеты - политику лучше применить. |
| Настройки логирования
виртуальных машин на
ESX/ESXi-сервере |
Политика для каждой виртуальной машины настраивает
следующие параметры логирования: log.rotateSize=100000,
log.keepOld=10. |
Политику лучше применить, чтобы логи не заполонили диск. |
| Удаление ненужных
устройств виртуальных
машин |
Для каждой виртуальной машины устанавливается
параметр <device name>.allowGuestConnectionControl=false.
После включения данной политики необходима
перезагрузка ВМ. |
Политику лучше применить. |
| Политики паролей ESX
сервера |
Политика задает политики паролей ESX-сервера. |
Подробнее о политике паролей в статье "Аутентификация и политики паролей в VMware ESX / vSphere под Service Console". |
| Проверка политики контроля доступа по сети |
Политика сохраняет указанный диапазон IPадресов в
"default" блок файла /etc/xinetd.conf в виде: only_from =
<net>/<num_bits> <net>/<num_bits>. В случае
включения данной политики в списке обязательно должен
присутствовать адрес 127.0.0.1. После включения данной
политики необходим перезапуск службы xinetd. |
Политику лучше применить. |
| Полномочия на файлы
жестких дисков виртуальных машин |
Политика запрещает просмотр, изменение и выполнение
vmdk-файлов. |
Политику лучше применить. |
| Полномочия на файлы
конфигурации виртуальных машин |
Политика запрещает изменение vmx-файлов. |
Политику лучше применить. |
| Защита от нехватки места на корневой файловой системе ESX-сервера |
Политика проверяет, что на разделы /, /boot, /tmp, /home,
swap, /var/core, /var/log или /var назначены отдельные
дисковые партиции, что уменьшает вероятность нехватки
места на рабочем разделе и соответственно
предотвращает отказ в обслуживании. |
Политику лучше применить. |
| Запрет подключения
съемных устройств к
ESX-серверу. |
Политика запрещает подключение съемных устройств. |
Политику лучше применить, если не используется таких устройств. |
| Запрет vSphere Web
Access |
Политика блокирует возможность использования веб-доступа к управлению сервером для соответствия
требованиям CIS Security Configuration Benchmark For
VMware ESX 4 v1.0 п.1.10.9 "Ensure Host Direct Web Access
is Disabled", VMware vSphere 4.1 Security Hardening Guide
п.HCM03 и PCI DSS v2.0 п.2.2.2. Политика назначается на
ESX-сервер. |
Политику лучше применить. Веб-сервер блокируется только на хостах ESX/ESXi. На vCenter он, конечно же, остается. |
| Предотвращение сжатия
виртуальных дисков |
Политика устанавливает запрет на выполнение операции
сжатия виртуального диска для каждой виртуальной
машины для соответствия требованиям CIS Security
Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.6
"Prevent Virtual Disk Shrinkage" и VMware vSphere 4.1
Security Hardening Guide п.VMX01. После включения
данной политики необходима перезагрузка виртуальных
машин. Политика назначается на ESX/ESXi-сервер. |
Имеется в виду операция shrink для виртуального диска. Подробнее о ней тут и тут. |
| Предотвращение шпионажа других пользова
телей на
администраторских уда
ленных консолях |
Политика защищает открытую удаленную консоль
Администратора от других подключений. Будет разрешено
соединение удаленной консоли только с одной
виртуальной машиной. Другие запросы будут отклоняться
до окончания первой сессии. Соответствует требованиям
CIS Security Configuration Benchmark For VMware ESX 4
v1.0 п.1.16.7 "Set RemoteDisplay.maxConnections to One",
VMware vSphere 4.1 Security Hardening Guide п.VMX02 и
PCI DSS v2.0 п.7.1. После включения данной политики
необходима перезагрузка виртуальных машин. Политика
назначается на ESX/ESXi-сервер. |
Политику лучше применить. Подробнее об этом тут. |
| Запрет удаленных опраций в гостевой системе |
Политика блокирует возможность использования VIX API,
что позволяет предотвратить запуск запрещенных
операций на гостевой ОС для соответствия требованиям
CIS Security Configuration Benchmark For VMware ESX 4
v1.0 п.1.16.10 "Disable VIX API" и VMware vSphere 4.1
Security Hardening Guide п.VMX30. После включения
данной политики необходима перезагрузка виртуальных
машин. Политика назначается на ESX/ESXi-сервер. |
Политику лучше применить - этот API используется редко. Подробнее тут. |
| Запрещение отсылки
информации о производительности ESX
сервера гостевым системам |
Политика отключает отсылку информации о загрузке ESX
сервера на гостевую OC, так как нарушитель
потенциально может использовать эту информацию для
получения информации об узле для осуществления
дальнейших атак на хост. Соответствует требованиям CIS
Security Configuration Benchmark For VMware ESX 4 v1.0
п.1.16.11 "Disable ESX Host Performance Data Delivery to a
VM" и VMware vSphere 4.1 Security Hardening Guide
п.VMX31. После включения данной политики необходима
перезагрузка виртуальных машин. Политика назначается
на ESX/ESXi-сервер. |
Политику лучше применить. |
| Запрет коммуникаций
между виртуальными
машинами через VMCI-интерфейс |
Политика блокирует возможность использования VMCI-интерфейса для соединения между виртуальными
машинами. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.5 и
VMware vSphere 4.1 Security Hardening Guide п.VMX12
"Disable VM to VM communication through VMCI". После
включения данной политики необходима перезагрузка
виртуальных машин. Политика назначается на ESX/ESXi
сервер. |
Политику лучше применить, если не используете VMCI в настройках ВМ. |
| Ограничение размера
vmx-файла |
Политика устанавливает максимальный размер для vmx-файла. Неконтролируемый размер VMX-файла может
привести к отказу в обслуживании при заполнении
хранилища данных. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0
п.1.16.2 и VMware vSphere 4.1 Security Hardening Guide
п.VMX21 "Limit informational messages from the VM to the
VMX file". После включения данной политики необходима
перезагрузка виртуальных машин. Политика назначается
на ESX/ESXi-сервер. |
Политику лучше применить. |
| Избегать использования
несохраняющихся
(nonpersistent) дисков |
Политика проверяет и информирует об использовании
independentnonpersistent дисков у виртуальных машин.
Соответствует требованиям CIS Security Configuration
Benchmark For VMware ESX 4 v1.0 п.1.16.9 и VMware
vSphere 4.1 Security Hardening Guide п.VMX22 "Avoid using
independent nonpersistent disks". После включения данной
политики необходима перезагрузка виртуальных машин.
Политика назначается на ESX/ESXi-сервер |
Политику лучше применить, так как такие диски используются для заметания следов - выключил ВМ, диска больше нет. |
| Контроль использования
SSL-сертификатов |
Позволяет настроить параметры HTTPS-соединения, а
также информирует об использовании VMware SSL
сертификатов, установленных по умолчанию.
Соответствует требованию VMware vSphere 4.1 Security
Hardening Guide п.HCM01 "Do not use default selfsigned
certificates for ESX/ESXi Communication" и PCI DSS v2.0
п.2.1. Политика назначается на ESX/ESXi-сервер. |
Подробнее о сетификатах тут. |
| Запрет использования
Managed Object Browser |
Политика блокирует возможность использования Managed
Object Browser. Соответствует требованиям CIS Security
Configuration Benchmark For VMware ESX 4 v1.0 п.1.15.4,
VMware vSphere 4.1 Security Hardening Guide п.HCM02
"Disable Managed Object Browser" и PCI DSS v2.0 п.2.2.2.
Политика назначается на ESX/ESXi-сервер. |
Если администраторы не используют MOB - лучше применить. О том, что может делать MOB - тут и тут. |
| Отключение приветственной страницы
(Welcome Web Page)
при подключении к интерфейсу управления
ESX-сервера |
Политика отключает показ приветственной страницы
(Welcome Web Page) при подключении к интерфейсу
управления ESX-сервера. Соответствует требованию
VMware vSphere 4.1 Security Hardening Guide п.HCM05
"Disable Welcome web page". Политика назначается на
ESX/ESXi-сервер. |
Политику можно применить. |
| Отключение неиспользуемого vSphere функционала. |
Политика отключает у виртуальной машины функции для
работы с VMware Workstation и Fusion. Остановка HGFS-сервера приведет к тому, что API, использующее его для
отправки/приема файлов на/с гостевую систему (некоторые
VIX команды или VMware Tools autoupgrader) не будет
работать. Соответствует требованию VMware vSphere 4.1
Security Hardening Guide п.VMX24 "Disable certain unexposed
features" и PCI DSS v2.0 п.2.2.4. После включения данной
политики необходима перезагрузка виртуальных машин.
Политика назначается на ESX/ESXi-сервер. |
Опционально - этот функционал угрозы не представляет. |
| Контроль за доступом
через VMsafe CPU/Mem
API |
Если не используются продукты, работающие с VMsafe
CPU/Mem API, то необходимо контролировать его
применение. Политика проверяет, что у всех виртуальных
машин сервера это API отключено и не настроено.
Соответствует требованиям CIS Security Configuration
Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware
vSphere 4.1 Security Hardening Guide п.VMX52 "Control access to VMs through VMsafe CPU/Mem API". После
включения данной политики необходима перезагрузка
виртуальных машин. Политика назначается на ESX/ESXi
сервер, но можно отменить контроль для некоторых
виртуальных машин, назначив на них одноименную
политику. Подробности в документации |
Политику лучше применить, если нет продуктов с VMsafe. |
| Контроль за доступом
через VMsafe Network
API |
Если не используются продукты, работающие с VMsafe
Network API, то необходимо контролировать его
применение. Политика проверяет, что у всех виртуальных
машин сервера это API отключено и не настроено.
Соответствует требованиям CIS Security Configuration
Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware
vSphere 4.1 Security Hardening Guide п.VMX55 "Control access to VMs through VMsafe Network API". После включения
данной политики необходима перезагрузка виртуальных
машин. Политика назначается на ESX/ESXi-сервер, но
можно отменить контроль для некоторых виртуальных
машин, назначив на них одноименную политику.
Подробности в документации. |
Политику лучше применить, если нет продуктов с VMsafe. |
| Настройка постоянного
журналирования на ESXi |
Политика позволяет задать путь к журнальному файлу в
хранилище данных, что исключает потерю журнальных
данных при перезагрузке сервера. Соответствует
требованию VMware vSphere 4.1 Security Hardening Guide
п.HLG02 "Configure persistent logging". Политика
назначается на ESXi-сервер. |
Политику лучше применить. |
| Ограничение доступа к
VMsafe Network API |
Политика позволяет ограничить доступ к VMsafe Network
API путем задания единственного IPадреса, который
выступает в качестве VMsafe Network security appliance.
Если указать "0" вместо IP, то доступ к VMsafe Network API
будет запрещен. Соответствует требованию VMware
vSphere 4.1 Security Hardening Guide п.VMX56 "Restrict access to VMsafe network APIs" и п.HMT12 "Prevent unintended use of VMsafe network APIs". Политика назначается
на ESX/ESXi-сервер |
Политику лучше применить, если нет продуктов с VMsafe. |
| Проверка настроек
SNMP-агента (только для
ESXi) |
Политика позволяет проверить и задать в случае
необходимости настройки для SNMP-агента. Используйте
";" в качестве разделителя для указания нескольких
обществ и приемников SNMP-данных. Соответствует
требованию VMware vSphere 4.1 Security Hardening Guide
п.HMT02 "Ensure proper SNMP configuration (ESXi ONLY)".
Политика назначается на ESXi-сервер. |
Если используете SNMP-политику нужно применить. |
| Включить Lockdown
Mode |
Политика включает Lockdown Mode, который обязывает
использовать vCenter для управления сервером
(http://kb.vmware.com/kb/1008077). Соответствует
требованию VMware vSphere 4.1 Security Hardening Guide
п.HCN02 "Enable lockdown mode to restrict remote access".
Политика применяется только для ESXi-серверов, которые
добавлены в vCenter. |
Про этот режим у нас написано в статье "Что такое и как работает VMware ESXi Lockdown Mode". Политику можно применить. |
| Отключение Direct Console User Interface |
Политика блокирует возможность использования Direct
Console User Interface. Соответствует требованию VMware
vSphere 4.1 Security Hardening Guide п.HCN05 "Disable
DCUI to prevent all local administrative control" и PCI DSS
v2.0 п.7.1. Политика назначается на ESXi-сервер. |
Политику можно применить, если есть необходимость. |
| Отключение Tech
Support Mode |
Политика блокирует возможность использования Tech
Support Mode. Локальный и удаленный Tech Support Mode
могут быть отключены независимо друг от друга.
Соответствует требованию VMware vSphere 4.1 Security
Hardening Guide п.HCN06 "Disable Tech Support Mode
unless needed for diagnostics and breakfix" и PCI DSS v2.0
п.2.2.2. Политика назначается на ESXi-сервер. |
Политику можно применить, если есть необходимость. |
| Установка таймаута для
работы в Tech Support
Mode |
Политика устанавливает таймаут для работы в Tech
Support Mode, по истечении которого Tech Support Mode
будет отключен. Соответствует требованию VMware
vSphere 4.1 Security Hardening Guide п.HCN07 "Set a timeout for Tech Support Mode". Политика назначается на ESXi
сервер. |
Политику лучше применить. |
| Запрет NFS и NIS клиентов |
Политика блокирует работу NFS или NIS клиентов.
Использование этих клиентов отключает межсетевой
экран ESX-сервера для исходящих соединений.
Соответствует требованию VMware vSphere 4.1 Security
Hardening Guide п.CON03 "Do not run NFS or NIS clients in
the Service Console". Политика назначается на ESX-сервер. |
Политику лучше применить. |
| Установка прав на важные файлы и запускаемые утилиты |
Политика устанавливает права на важные файлы
журналов и утилит, контролирует их владельцев.
Соответствует требованию VMware vSphere 4.1 Security
Hardening Guide п.COH04 "Ensure permissions of important
files and utility commands have not been changed from default". Политика назначается на ESX-сервер. |
Политику лучше применить. |
| Контроль за использованием VMsafe API для
защитного модуля |
VMsafe позволяет использовать одну из виртуальных
машин как защитный модуль для инспектирования
CPU/Memory или сетевых ресурсов других виртуальных
машин. На всех виртуальных машинах, кроме
исполняющей роль защитного модуля, эта
функциональность должна быть отключена. Соответствует
требованию CIS Security Configuration Benchmark For
VMware ESX 4 v1.0 п.1.17.1. Политика назначается на
ESX/ESXi-сервер, но виртуальные машины-защитные
модули могут быть исключены из обработки
соответствующей политикой. |
Политику лучше применить. |
| Проверка использования аутентификации через Active Directory |
Политика проверяет, что на сервере используется Active
Directory аутентификация. По умолчанию проверяются
настройки Kerberos и LDAP-соединения. Проверка LDAP
опциональна. Политика соответствует требованию CIS Security Configuration Benchmark For VMware ESX 4 v1.0
п.1.10.12 "Use Directory Service Authentication". Политика
назначается на ESX-сервер. |
Если есть AD - политику лучше применить. |
| Проверка настроек https |
Политика проверяет, что все браузерные сессии на
сервере используют https. Проверяет соответствие
требованию CIS Security Configuration Benchmark For
VMware ESX 4 v1.0 п.1.14.1 "Ensure all Host Browser Sessions are https" и PCI DSS v2.0 п.2.3. Политика
назначается на ESX-сервер. |
Политику лучше применить. |
| Аудит модулей ядра гипервизора без цифровой подписи |
Политика проверяет загруженные модули ядра и
информирует об использовании неподписанных модулей.
Список разрешенных к загрузке неподписанных модулей
можно расширить. Соответствует требованию VMware
vSphere 4.1 Security Hardening Guide п.HMT15 "Audit for
loading of unauthorized kernel modules". |
Политику лучше применить. |
| Мониторинг использования хранилища |
Политика проверяет текущее заполнение хранилища и
информирует, если оно превышает заданный лимит.
Кроме того, контролируется превышение предполагаемого
размера thin provisioned виртуальных дисков по
отношению к суммарному размеру хранилища.
Соответствует требованию CIS Security Configuration
Benchmark For VMware ESX 4 v1.0 п.1.17.6 "Monitor Thin
Provisioned Use to Avoid Storage Overcommitment".
Политика назначается на ESX-сервер. |
Политику лучше применить. |
| Отключить протокол
IPv6 |
Политика позволяет отключить протокол IPv6, если он не
используется. Соответствует требованию PCI DSS v2.0
п.1.2.1 "Restrict inbound and outbound traffic to that which
is necessary for the cardholder data environment". Политика
назначается на ESX/ESXi-сервер. После применения
политики необходим перезапуск сервера. |
Опционально. |
| Защита от переполнения
буфера |
Политика включает защиту от переполнения буфера,
устанавливая при этом соответствующие переменные
ядра. Обеспечивает соответствие требованию PCI DSS
v2.0 п.2.2.3 "Configure system security parameters to prevent misuse". Политика назначается на ESX-сервер. |
Политику лучше применить. |
| Минимизация списка
служб |
Политика проверяет список работающих служб на
соответствие требованию CIS Security Configuration
Benchmark For VMware ESX 4 v1.0 п.1.9.1 "Minimize Boot
services". Политика назначается на ESX-сервер. |
Политику лучше применить. |
| Установка пароля загрузчика ESX-сервера |
Политика назначает пароль на случай попытки изменить
штатный способ загрузки. |
Политику нужно применять, чтобы избежать угроз, связанных с физическим доступом к хост-серверу. |
| Настройка параметров
ядра ESX-сервера |
Политика позволяет настроить сетевые параметры ядра
Kernel. После включения данной политики необходима
перезагрузка ESX-сервера. |
Политику лучше применить. |
| Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин |
Политика запрещает гостевой операционной системе
виртуальной машины контролировать устройства
ESX/ESXi-сервера. |
Политику лучше применить. |
| Запрет отсылки сообщений ESX-серверу со стороны виртуальных
машин |
Политика для каждой виртуальной машины устанавливает
параметр: isolation.tools.setinfo.disable=true. После
включения данной политики необходима перезагрузка
виртуальных машин. |
Политику лучше применить. |
| Полномочия на файлы
системного журнала
ESX-сервера |
Политика позволяет настроить права на файлы журнала
событий ESX-сервера. |
Политику лучше применить. |
| Настройка параметров
логирования ESX
сервера |
Политика позволяет настроить параметры логирования
ESX-сервера. |
Политику лучше применить. Выставьте в настройках нужную политику хранения логов. |
| Текст приглашения для
сетевого и локального
доступа к ESX-серверу |
Политика позволяет задать текст приглашения в консоли
для сетевого и локального доступа. |
Опционально. |
| Ограничение на под
ключение устройств
к ESX-серверу |
Политика позволяет ограничить возможность
подключения устройств. |
Политику лучше применить. |
| Синхронизация времени |
Политика позволяет настроить синхронизацию времени. |
Политику лучше применить. |
| Полномочия на доступ
к файлам паролей пользователей |
Политика позволяет ограничить доступ к файлам,
содержащим пароли пользователей. |
Политику лучше применить. |
| Полномочия на файлы
конфигурации протокола SNMP |
Политика ограничивает доступ к конфигурационным
файлам протокола SNMP. |
Политику лучше применить. |
| Настройка параметров
безопасности для протокола SSH |
Политика позволяет настроить конфигурационный файл
sshd_config . |
Если необходимо. |
| Ограничение на возможность удаления
файлов ESX-сервера |
Политика ограничивает возможность удаления файлов из
перезаписываемых каталогов. |
Политику можно применить. |
| Ограничение на использование привилегий суперпользователя |
Политика гарантирует, что привилегии суперпользователя
разрешены только членам группы wheel. |
Политику лучше применить. |
| Отсылка событий ESX
сервера на syslog
сервер |
Политика позволяет настроить ведение журнала событий
ESX/ESXi-сервера на удаленном сервере syslog. |
Политику нужно применить. Подробнее о Syslog в нашей статье "Установка VMware Syslog Collector для удаленного сбора логов ESXi". |
| Отсутствие программ
с setuid или setgid-флагами |
Политика гарантирует отсутствие программ с setuid или
getuid-флагами. |
Политику лучше применить. |
| Ограничение права перезаписи файлов ESX
сервера |
Политика ограничивает право перезаписи файлов для
всех пользователей. |
Политику лучше применить. |
| Отсутствие файлов без
владельца на ESX
сервере |
Политика устанавливает в качестве владельца
пользователя root и доступ только для чтения всем
файлам, в атрибутах которых не определен владелец. |
Опционально. |
| Очистка памяти виртуальных машин |
Политика обеспечивает очистку памяти после завершения
работы ВМ. После включения данной политики требуется
перезагрузка виртуальной машины. |
Политику лучше применить. Одно из требований к ИСПДн. |
| Очистка памяти виртуальных машин (двукратная запись) |
Политика обеспечивает двукратную очистку памяти после
завершения работы ВМ. После включения данной
политики требуется перезагрузка виртуальной машины. |
Политику лучше применить. Одно из требований к ИСПДн. |
| Настройки безопасности
для виртуальных комму
таторов |
Политика задает более строгие настройки работы
виртуального коммутатора (запрещены смешанный
режим, смена MAC-адреса и несанкционированные
передачи). |
Политику нужно применять, если вы не используете Host Profiles для настройки этих параметров. |
| Группы портов не настроены на значения
VLAN из зарезервированных диапазонов |
Некоторые физические коммутаторы резервируют за собой
определенные идентификаторы VLAN для внутренних нужд,
и часто блокируют весь трафик с данными значениями.
Например, коммутатор Cisco Catalyst обычно резервирует
значения VLAN 1001, 1024 и 4094, тогда как коммутатор
Nexus обычно резервирует значения 3968, 4047 и 4094.
Конкретные значения можно найти в документации по
коммутатору. Политика назначается на ESX/ESXi-сервер и
блокирует возможность указания данных значений VLAN.
При указании диапазонов в качестве разделителя
используется дефис, а отдельные порты указываются через
точку с запятой. Пример: 100121;23;150160. |
Политику лучше применить. |
| Имена всех виртуальных коммутаторов
(vSwitches) соответст
вуют заданному требованию |
Политика гарантирует, что нельзя создать (изменить)
группу портов (Port Groups) с именем, несоответствующим
заданному требованию. Политика соответствует
требованию VMware vSphere 4.1 Security Hardening Guide
п.HCN10 "Ensure that Port Groups are Configured with a
clear network label". Политика назначается на ESX/ESXi-сервер. |
Политику лучше применить. |
| Имена всех групп портов соответствуют за
данному требованию |
Политика гарантирует, что нельзя создать (изменить)
группу портов (Port Groups) с именем несоответствующим
заданному требованию. Политика соответствует
требованию VMware vSphere 4.1 Security Hardening Guide
п.HCN10 "Ensure that Port Groups are Configured with a clear
network label". Политика назначается на ESX/ESXi-сервер. |
Политику лучше применить. |
| Группы портов не на
строены на значения
VLAN 4095, кроме как
для Virtual Guest Tagging |
Когда группе портов назначен номер VLAN 4095, то
считается, что активируется режим Virtual Guest Tagging
(VGT). В этом режиме виртуальный коммутатор передает
весь трафик внутрь гостевой ОС виртуальной машины без
каких либо модификаций тегов VLAN. VLAN 4095 следует
использовать только в случае, если гостевая ОС
специально настроена для самостоятельного управления
тегами VLAN. Политика назначается на ESX/ESXi-сервер и
блокирует возможность указания значения VLAN 4095 |
Политику лучше применить. |
| Группы портов не на
строены на значения
native VLAN |
ESX не использует концепцию native VLAN. Сетевые
пакеты с VLAN, указанным в группе портов, будут
помечены специальным тегом. Пакеты с VLAN, не
указанным в группе портов, не будут помечены и,
следовательно, будут считаться относящимися к native
VLAN физического коммутатора. Например, пакеты с VLAN
1, исходящие из физического коммутатора Cisco, не будут
помечены, поскольку они трактуются как пакеты с native
VLAN. В то же время, пакеты с VLAN 1, исходящие с ESX
сервера, будут отмечены тегом "1". Таким образом,
трафик с ESX-сервера, предназначенный для native VLAN,
будет маршрутизироваться некорректно (так как пакеты
помечены тегом), а трафик, исходящий из физического
коммутатора с native VLAN не будет виден (так как пакеты
без тегов). Политика назначается на ESX/ESXi-сервер и
блокирует возможность указания значения native VLAN. |
Политику лучше применить. |
Напомним, что некоторые из этих политик поддерживаются или на ESX-серверах, или на ESXi-серверах, или на обоих типах гипервизора.
RSS
