На проходящей сейчас конференции VMworld 2010 компания VMware сделала несколько важных анонсов, один из которых мы сейчас рассмотрим. Серьезное улучшение, которое VMware сделала в плане обеспечения информационной безопасности инфраструктуры VMware vSphere - это полное обновление линейки продуктов vShield, представителем которой ранее было только средство VMware vShield Zones.

Теперь появляются 3 компонента решения VMware vShiled 4.1, приобретаемых отдельно:

• vShield Edge
• vShield App
• vShield Endpoint

vShiled Edge - это средство защиты всего виртуализованного ЦОД на базе правил и политик, которое включает в себя следующие компоненты под инфраструктуру vSphere:

• Stateful Inspection Firewall
  Контроль входящих и исходящих соединений на базе правил, основанных на IP-адресах и портах источника и получателя
• Network Address Translation
  • Трансляция IP-адресов в среду виртуальных машин и обратно
  • Максарадинг IP-адресов виртуальных машин для недоверенных адресатов
• Dynamic Host Configuration Protocol
  • Автоматическое назначение IP-адресов развертываемым виртуальным машинам
  • Определяемые администратором параметры: address pools, lease times, dedicated IP addresses.
• Site-to-Site VPN
  • Безопасное взаимодействие между виртуальными датацентрами
  • IPsec VPN основанный на протоколе Internet Key Exchange (IKE)
• Web Load Balancing
  • Балансировка входящего HTTP-траффика
  • Алгоритм Round-robin
  • Поддержка соединений "sticky sessions"
• Port Group Isolation
  • Изоляция траффика в пределах датацентра на уровне групп портов, контролируемая на уровне гипервизора
  • Аналог VLAN для виртуальных или физических коммутаторов
• Flow Statistics
  • Контроль использования сетевых ресурсов
  • Статистика доступна через REST API и может быть использована в биллинговом ПО
• Policy Management
  Поддержка интеграции с корпоративными средствами обеспечения безопасности

vShield App - это средство, работающее на уровне сетевых адаптеров vNIC на хосте ESX и позволяющее контролировать весь входящий и исходящий траффик для виртуальных машин (включая траффик между машинами в одной портгруппе) на базе политик.

• Hypervisor-Level Firewall
  • Контроль входящего и исходящего трафика на уровне vNIC
  • Возможность работы на следующих уровнях: network, application port, protocol type (TCP, UDP), application type
  • Динамическая защита перемещаемых VMotion виртуальных машин
  • Фаервол и шлюз уровня приложения (Application Layer Gateway) для широкого спектра протоколов: Oracle, Sun Remote Procedure Call (RPC), Microsoft RPC, LDAP и SMTP
• Flow Monitoring
  Возможность мониторинга сетевой активности между виртуальными машинами для того, чтобы определить правильные политики сетевого экрана, вычислить ботнеты и получить отчеты по трафику приложений (application, sessions, bytes)
• Security Groups
  Группировка виртуальных машин на базе их бизнес-критериев по virtual NIC
• Policy Management
  • Определение политик для security groups, объектов vCenter и сущностей TCP (source IP, destination IP, source port, destination port, protocol)
  • Интерфейс REST API для интеграции со сторонним ПО и получения статистики

vShield Endpoint - это антивирусное средство обеспечения безопасности виртуальных машин на базе "тонких" агентов в гостевых ОС, что позволяет минимизировать использование вычислительных ресурсов.

• Antivirus and Anti-Malware Offloading
  • Задачи по сканированию файлов выносятся из виртуальных машин к служебной ВМ (security virtual machine).
  • Модуль VMware Endpoint ESX Module управляет взаимодействием между ВМ и security virtual machine на уровне гипервизора.
• Antivirus and Anti-Malware Service Across Virtual Machines
  Антивирусный движок обновляется только в security virtual machine, а политики применяются сразу ко всем виртуальным машинам хоста ESX.
• Enforce Remediation
  • Политики работы с зараженными файлами (карантин и т.п.).
  • Контроль активности доступа к файлам внутри ВМ.
• Partner Integrations
  Предоставление партнерам VMware механизма контроля активности файлов на уровне гипервизора (VMware EPSEC).
• Policy and Configuration Management
  • Центральная консоль vShield Manager позволяет конфигурировать политики vShield Endpoint.
  • vCenter активирует возможности vShield (алармы тоже падают туда).
  • Интерфейс REST API для vShield Endpoint со сторонним ПО обеспечения информационной безопасности.

Продукты семейства vShield лицензируются по обслуживаемым виртуальным машинам (что более логично при облачной архитектуре виртуальной среды) и продаются по следующим ценам:

При этом:

• Продукт VMware vCloud Director включает в себя часть функций vShield Edge (DHCP, NAT, фаервол) и можно сделать полный апгрейд на полную версию.
• Продукт vShield App включает в себя vShield Endpoint
• VMware View 4.5 в издании Premier включает в себя vShield Endpoint
• Минимальный размер закупки - пачка из лицензий на 25 виртуальных машин

Данный продукт актуален для больших компаний и сервис-провайдеров.

Скачать vShield Zones, vShield Endpoint и vShiled App можно по этой ссылке. Документацию vShield можно скачать по этой ссылке.