Многим из вас известно средство номер 1 для защиты виртуальных инфраструктур VMware vSphere - продукт vGate R2 от компании Код Безопасности. У него две основных сферы применения - автоматическая настройка виртуальной среды в соответствии с лучшими практиками и отраслевыми стандартами на базе политик, а также создание инфраструктуры защиты от несанкционированного доступа.
Мы уже много писали о возможностях, развертывании и других аспектах функционирования средства vGate R2, а в этом посте мы постараемся собрать некоторые ответы на часто задаваемые вопросы о продукте со стороны интересующихся безопасностью в своей инфраструктуре VMware vSphere 5.
Итак:
Q: У VMware есть средство vShield для защиты виртуальной инфраструктуры vSphere, зачем нам vGate R2?
A: Если вы заглянете в эту заметку, вы поймете, что vShield 4.x - это просто средство межсетевого экранирования различных типов, а vGate R2 - это комплексное средство для защиты виртуальной среды vSphere: мы можем настроить всю инфраструктуру в соответствии с требованиями и рекламентами безопасности в организации + обеспечить защиту от НСД. Да, в vShield 5 появились некоторые шаблоны нормативных требований (политик), но они применимы только к зарубежным организациям, а vGate R2 - имеет встроенные шаблоны с учетом российской специфики (ну и сертификат ФСТЭК для многих тоже важен). Ну и надо учитывать, что vGate R2 уже зрелый продукт, в то время как vShield 5 - это первая версия, где появились политики.
A: Ответ прост - с приходом виртуализации появляется множество компонентов, которые нужно защищать дополнительно: это и хост-серверы, и сервер управления vCenter, и виртуальные хранилища, и сущности виртуальная машина, виртуальная сеть и т.п. Все это требует защиты с помощью специализированных средств. vGate R2 - это и есть такое средство. Он сделан в России и для российских компаний.
A: Нет. С точки зрения сети: vGate функционирует в сети, настроенной согласно рекомендациям VMware, то есть, например, сеть виртуальных машин отделена от сети администрирования. При этом компоненты vGate устанавливаются и функционируют только в сети администрирования виртуальной инфраструктуры, а, значит, никакого влияния на траффик в сети виртуальных машин, где работатют пользователи, они не оказывают. С точки зрения вычислительных мощностей хост-серверов: там устанавливается весьма легкий агент, который гарантирует неизменность конфигурации и контроль целостности виртуальных машин.
A: Да, vGate позволяет обеспечить защиту от НСД к данным внутри виртуальной машины со стороны администратора ВИ. Благодаря функции разделение ролей, администратор ВИ имеет только те привилегии, которые ему необходимы для администрирования ВИ, без доступа к ВМ и данным внутри них.
A: Для разграничения доступа к виртуальной инфраструктуре применяются механизмы дискреционного и полномочного управления доступом. В первом случае определяются правила доступа администратора vSphere к конкретному хосту по определенным протоколам и портам. Во втором - на базе меток безопасности предоставляется доступ только для какого-то определенного администратора только к определенным виртуальным ресурсам в соответствии с уровнем доступа или бизнес-категорией.
A: Да, такая возможность существует благодаря функциям расширенного мониторинга событий и отчетности. В журнале vGate регистрируются все события, относящиеся к безопасности инфраструктуры.
Q: Что будет если сломается сервер авторизации vGate R2?
A: В этом случае администраторы vSphere не получат доступ к управлению инфраструктурой. Тут два варианта решения. Первый - вы развертываете резервный сервер авторизации, который на лету перехватывает функции отказавшего сервера. Ну и второй - восстановить за несколько минут резервную копию конфиугурации сервера авторизации.
A: Для администраторов ВИ работа vGate практически незаметна. Единственное отличие заключается в необходимости ввода учетных данных (логин и пароль), настроенных в vGate. Для администратора ИБ (то есть, vGate) придется освоить работу с парой вкладок в консоли администрирования (полчаса времени).
A: vGate R2 лицензируется по процессорам. Поэтому вам нужно 4 лицензии «Право на использование vGate для защиты ESX-хостов» + одна лицензия на экземпляр для сервера авторизации. Если нужен резервный сервер авторизации - покупаем еще одну лицензию на экземпляр для всей инфраструктуры.
A: Да, по развертыванию и администрированию продукта можно пройти курс дистанционного обучения. Все вопросы по учебному курсу Вы можете задать по e-mail sdo@securitycode.ru.