Как вы знаете, есть такой продукт vGate 2 от российского разработчика "Код Безопасности", который нужен для защиты информации от несанкционированного доступа и контроля выполнения политик безопасности для виртуальной инфраструктуры на базе платформ VMware Infrastructure 3 и VMware vSphere 4. Также он облегчает приведение виртуальной инфраструктуры в соответствие законодательству и отраслевым стандартам информационной безопасности (и также имеет сертификат ФСТЭК).
Мы уже описывали основные возможности и архитектуру vGate 2 для VMware vSphere, а сегодня поговорим более детально о важной функциональной составляющей продукта - настройке политик безопасности и имеющихся встроенных политиках.
Политики безопасности, реализованные в vGate, контролируют критичные для безопасности виртуальной среды настройки серверов ESX и ВМ. Помните те самые политики, на предмет соответствия которым вы сканировали инфраструктуру виртуализации с помощью бесплатного средства vGate Compliance Checker? Так вот теперь их можно задать для хостов VMware ESX, а также виртуальных машин. И, соответственно, привести их в соответствие с этими политиками.
Основная идея таких политик - облегчить жизнь администратору виртуальной инфраструктуры VMware vSphere при работе с серверами VMware ESX / ESXi в ситуации, когда есть необходимость защиты данных виртуальных машин. Поскольку виртуализация, зачастую, полностью меняет подход к управлению виртуальной инфраструктурой, список требований к безопасности существенно увеличивается (см., например, как украсть виртуальную машину или наши записи с тэгом Security).
Так вот, когда у вас в компании есть администратор информационной безопасности, продукт vGate 2 - это лучший способ настроить виртуальную инфраструктуру с помощью политик так, чтобы он не мог прикопаться к администратору vSphere, поскольку все будет сконфигурировано в соответствии с отраслевыми стандартами, а значит потенциальные дырки будут закрыты.
То есть, сакральный смысл политик в vGate 2 - освободить администратора vSphere от геморроя по удовлетворению требований безопасников за счет автоматизации настройки безопасности для хостов и виртуальных машин. Все просто и нужно.
Политики безопасности vGate 2 объединены в наборы (они же шаблоны). Эти шаблонов целых пять штук:
Набор политик
Описание
vGate
Специально разработанный аналитиками компании Код Безопасности для vGate базовый набор политик, включающий в себя политики для ESX-серверов и ВМ
CIS 1.0
Набор политик для быстрого приведения виртуальной среды в соответствие рекомендации CIS VMware ESX Server 3.x Benchmark (v 1.0)
PCI DSS
Набор политик для быстрого приведения виртуальной среды в соответствие требованиям PCI DSS 1.2. Это типа для всяких контор, которые работают с платежными системами.
Набор политик для быстрого приведения виртуальной среды в соответствие рекомендации CIS VMware ESX Server 3.5 Benchmark
(v 1.2.0)
Позырим на самый простенький шаблон политик с одноименным названием vGate, который обеспечивает базовую настройку безопасности на хостах ESX и ВМ.
Для ESX:
Список разрешенных программ - на ESX-сервере хранится список разрешенных по умолчанию программ. Безопасник или админ может добавить или
удалить из этого списка нужные программы.
Запрет локального входа
на ESX-сервер - указываем пользователей для входа в консоль.
Запрет подключения USB-носителей - после применения надо перезагрузиться.
Правила для межсетевого экрана - содержит правила фильтрации трафика для межсетевого экрана netfilter, поступающего на ESX-сервер(по умолчанию политика запрещает административный доступ по портам TCP 443/22 для всех объектов из за-
щищаемого периметра за исключением сервера авторизации и vCenter - админы ходят клиентом через сервер авторизации).
Для виртуальных машин:
Список запрещенных устройств - всякую фигню не подключишь.
Запрет клонирования виртуальных машин - не склонируешь и не украдешь.
Запрет создания снимков виртуальных машин - снапшоты это вообще плохо (не только в плане безопасности).
Проверка целостности виртуальных машин - контроль целостности и доверенной загрузки ВМ перед стартом.
Очистка памяти виртуальной машины - после завершения ее работы (нужна перезагрузка ВМ).
Ну а дальше идут шаблоны, отвечающие различным общепринятым стандартам (там очень много пунктов, полный список здесь). Самый разумный из них - VMware Security Hardening Best Practice, там есть реально нужные в жизни вещи.
Кстати, делается это все за счет агентов, работающих на серверах ESX и устанавливаемых туда с сервера авторизации (см. статью).
Назначение политики делается так:
Делаем из шаблонов набор политик (можно комбинировать шаблоны и отдельные политики):
Назначаем для категории или уровня конфиденциальности (метки безопасности) этот набор:
Далее объекту (ESX-серверу или ВМ) назначаем эту метку безопасности.
Потом проходит некоторое время (его можно настраивать, по дефолту - 10 минут) и политики применяются. Работает - само.
Теперь, что еще нужно сказать о vGate 2. Во-первых, просили зафигачить ссылку на вот это видео (http://www.sltv.ru/comments/clip-1812/) - там вам пафосным голосом расскажут о продукте. Во-вторых, вы можете написать все, что думаете о vGate 2 вот в этой форме, а также в комментариях здесь. Сотрудники Кода Безопасности ответят на ваши вопросы.