Компания VMware, после недавней публикации черновика своего руководства по обеспечению безопасности VMware vSphere 5, объявила о выпуске окончательной версии документа VMware vSphere 5 Security Hardening Guide. Теперь это руководство выпускается в виде xlsx-табличек, что хотя и выглядит как-то несолидно, однако удобнее для проектных команд при работе с документом (они все равно это вбивают в Excel):
Потенциальные угрозы, традиционно, поделены на 4 категории:
Виртуальные машины (настройки, устройства, интерфейсы, VMware Tools)
Хосты VMware ESXi (доступ к управлению, логи, хранилища)
Сетевое взаимодействие (включая распределенный коммутатор dvSwitch)
Сервер управления vCenter (доступ к управляющим компонентам и т.п.)
Также обратим внимание на документ "vSphere Hardening Guide: 4.1 and 5.0 comparison", отражающий основные отличия руководства для версий 4.1 и 5.0 (сделан он был еще для драфта Hardening'а версии 5.0).
В отличие от предыдущей версии документа, где были приведены уровни применения рекомендаций ИБ (Enterprise, SMB и т.п.), теперь используются "профили" инфраструктур:
Profile 3 - рекомендации и настройки, которых следует придерживаться во всех инфраструктурах.
Profile 2 - то, что необходимо делать в окружениях, где обрабатываются чувствительные данные (например, коммерческая тайна).
Profile 1 - самый высокий уровень рекомендаций, например, для организаций, работающих с гостайной.
Еще одна полезная вещь - в столбцах для некоторых рекомендаций, касающихся конкретных конфигураций хостов ESXi или виртуальных машин, приведены ссылки на статьи KB или непосредственно сами команды для осуществления настройки по следующим интерфейсам: vSphere API, vSphere CLI (vCLI), ESXi Shell (DCUI или SSH), PowerCLI.
Приведены также и конкретные команды, которые позволяют узнать, в каком состоянии находится у вас на хосте та или иная настройка (assessment):
Скачать финальную версию VMware vSphere 5 Security Hardening Guide можно по этой ссылке.
Напомним также, что совсем недавно в продажу поступилпродукт vGate R2 от компании Код Безопасности, который позволяет автоматически сканировать инфраструктуру vSphere 5 на предмет соответствия настройкам безопасности (и не только из этого документа), а также настраивать хост-серверы в соответствии с необходимыми и заданными политиками рекомендациями. Более подробно об этом написано тут.
P.S. Документ подготовлен в 10-м офисе, поэтому в более ранних версиях Microsoft Office у вас в некоторых ячейках могут отображаться значки решетки для ячеек, где много текста - ##### (то же самое будет и при печати). В этом случае нужно просто сменить формат ячейки на "Общий".