На проходящей сейчас конференции VMworld 2010 компания VMware сделала несколько важных анонсов, один из которых мы сейчас рассмотрим. Серьезное улучшение, которое VMware сделала в плане обеспечения информационной безопасности инфраструктуры VMware vSphere - это полное обновление линейки продуктов vShield, представителем которой ранее было только средство VMware vShield Zones.
Теперь появляются 3 компонента решения VMware vShiled 4.1, приобретаемых отдельно:
vShield Edge
vShield App
vShield Endpoint
vShiled Edge - это средство защиты всего виртуализованного ЦОД на базе правил и политик, которое включает в себя следующие компоненты под инфраструктуру vSphere:
Stateful Inspection Firewall
Контроль входящих и исходящих соединений на базе правил, основанных на IP-адресах и портах источника и получателя
Network Address Translation
Трансляция IP-адресов в среду виртуальных машин и обратно
Максарадинг IP-адресов виртуальных машин для недоверенных адресатов
Dynamic Host Configuration Protocol
Автоматическое назначение IP-адресов развертываемым виртуальным машинам
Определяемые администратором параметры: address pools, lease times, dedicated IP addresses.
Site-to-Site VPN
Безопасное взаимодействие между виртуальными датацентрами
IPsec VPN основанный на протоколе Internet Key Exchange (IKE)
Web Load Balancing
Балансировка входящего HTTP-траффика
Алгоритм Round-robin
Поддержка соединений "sticky sessions"
Port Group Isolation
Изоляция траффика в пределах датацентра на уровне групп портов, контролируемая на уровне гипервизора
Аналог VLAN для виртуальных или физических коммутаторов
Flow Statistics
Контроль использования сетевых ресурсов
Статистика доступна через REST API и может быть использована в биллинговом ПО
Policy Management
Поддержка интеграции с корпоративными средствами обеспечения безопасности
vShield App - это средство, работающее на уровне сетевых адаптеров vNIC на хосте ESX и позволяющее контролировать весь входящий и исходящий траффик для виртуальных машин (включая траффик между машинами в одной портгруппе) на базе политик.
Hypervisor-Level Firewall
Контроль входящего и исходящего трафика на уровне vNIC
Возможность работы на следующих уровнях: network, application port, protocol type (TCP, UDP), application type
Динамическая защита перемещаемых VMotion виртуальных машин
Фаервол и шлюз уровня приложения (Application Layer Gateway) для широкого спектра протоколов: Oracle, Sun Remote Procedure Call (RPC), Microsoft RPC, LDAP и SMTP
Flow Monitoring
Возможность мониторинга сетевой активности между виртуальными машинами для того, чтобы определить правильные политики сетевого экрана, вычислить ботнеты и получить отчеты по трафику приложений (application, sessions, bytes)
Security Groups
Группировка виртуальных машин на базе их бизнес-критериев по virtual NIC
Policy Management
Определение политик для security groups, объектов vCenter и сущностей TCP (source IP, destination IP, source port, destination port, protocol)
Интерфейс REST API для интеграции со сторонним ПО и получения статистики
vShield Endpoint - это антивирусное средство обеспечения безопасности виртуальных машин на базе "тонких" агентов в гостевых ОС, что позволяет минимизировать использование вычислительных ресурсов.
Antivirus and Anti-Malware Offloading
Задачи по сканированию файлов выносятся из виртуальных машин к служебной ВМ (security virtual machine).
Модуль VMware Endpoint ESX Module управляет взаимодействием между ВМ и security virtual machine на уровне гипервизора.
Antivirus and Anti-Malware Service Across Virtual Machines
Антивирусный движок обновляется только в security virtual machine, а политики применяются сразу ко всем виртуальным машинам хоста ESX.
Enforce Remediation
Политики работы с зараженными файлами (карантин и т.п.).
Контроль активности доступа к файлам внутри ВМ.
Partner Integrations
Предоставление партнерам VMware механизма контроля активности файлов на уровне гипервизора (VMware EPSEC).
Policy and Configuration Management
Центральная консоль vShield Manager позволяет конфигурировать политики vShield Endpoint.
vCenter активирует возможности vShield (алармы тоже падают туда).
Интерфейс REST API для vShield Endpoint со сторонним ПО обеспечения информационной безопасности.
Продукты семейства vShield лицензируются по обслуживаемым виртуальным машинам (что более логично при облачной архитектуре виртуальной среды) и продаются по следующим ценам:
При этом:
Продукт VMware vCloud Director включает в себя часть функций vShield Edge (DHCP, NAT, фаервол) и можно сделать полный апгрейд на полную версию.
Продукт vShield App включает в себя vShield Endpoint
VMware View 4.5 в издании Premier включает в себя vShield Endpoint
Минимальный размер закупки - пачка из лицензий на 25 виртуальных машин
Данный продукт актуален для больших компаний и сервис-провайдеров.
Скачать vShield Zones, vShield Endpoint и vShiled App можно по этой ссылке. Документацию vShield можно скачать по этой ссылке.