Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6150 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru | Ссылка дня: Какие есть версии и номера билдов VMware vCenter, ESXi, Tools и Connection Server?

Интересная сессия VMware Explore 2023 - как защитить VMware ESXi и vCenter от программ-вымогателей (Ransomware)


Ransomware стало настоящей напастью последних лет - выплаты компаний злоумышленникам, зашифровавшим данные и держащим их в заложниках, перевалили за миллиард долларов в прошлом году (и это только то, что известно). Серверы VMware ESXi и vCenter, являющиеся основными компонентами инфраструктуры vSphere, представляют главную мишень для атак Ransomware.

В рамках конференции VMware Explore Europe 2023 прошла интересная сессия, где рассматривались примеры из реального мира по борьбе с программами-вымогателями, а также обсуждались проактивные методики, которые позволят избежать атаки или минимизировать последствия:

Вот основные выводы, которые суммаризуют выступление выше:

1. vSphere является привлекательной целью для атак программ-вымогателей, что делает крайне важной защиту вашей среды vSphere от таких угроз.

2. Важно провести различие между защитой рабочих нагрузок (виртуальные машины, серверы, клиенты, AD) и защитой инфраструктурной платформы (vSphere, хранилище и т.д.), поскольку каждое требует различных мер безопасности. Эти аспекты должны быть отделены друг от друга.

3. Понимание путей атаки, ведущих к появлению программы-вымогателя в инфраструктуре vSphere, является ключевым. Эти пути включают начальный доступ, использование Active Directory и различные способы добраться и атаковать vCenter Server и ESXi.

4. Восстановление среды vSphere после атаки не должно включать в себя выплату выкупа. Платеж атакующим увеличивает риск будущих атак и не гарантирует полного решения проблемы.

5. Наличие и целостность резервных копий критически важны для восстановления. Важно обеспечить, чтобы резервными копиями нельзя было манипулировать и что их можно было успешно восстановить.

6. Очистка и восстановление скомпрометированных компонентов, таких как виртуальные машины, vCenter Server и хосты ESXi после атаки, требует тщательного рассмотрения и технического анализа (форензика).

7. Для защиты vSphere от атак должны быть предприняты несколько мер, включая сегментацию vSphere от рабочих нагрузок и клиентов, использование EDR/XDR/SIEM для конечных точек и vSphere, установку обновлений безопасности и следование рекомендациям по защите платформы vSphere.

8. Предотвращение выполнения стороннего кода в ESXi может быть достигнуто через настройки, такие как execInstalledOnly, которые предотвращают выполнение нежелательных файлов и скриптов.

9. UEFI Secure Boot может использоваться для проверки целостности файлов загрузки и ядра ESXi, что защищает от угроз с использованием неподписанных VIB.

10. Деактивация доступа к Shell для не-root пользователей ESXi может предотвратить боковое движение от vCenter к ESXi, что является важной мерой для остановки или замедления атакующего.


Таги: VMware, vSphere, Ransomware, ESXi, vCenter, Security

VMware Cloud Disaster Recovery - что нового в последнем релизе?


Борьба с программами-вымогателями и готовность к восстановлению после катастроф продолжают оставаться в приоритете для CIO по всему миру - число атак программ-вымогателей стремительно растет, требования к соблюдению нормативов вынуждают организации внедрять меры по обеспечению аварийного восстановления инфраструктуры.

VMware предлагает предприятиям готовые возможности, чтобы удовлетворить потребности современного бизнеса за счет новых функций в решениях VMware Cloud Disaster Recovery и VMware Ransomware Recovery. VMware Ransomware Recovery for VMware Cloud Disaster Recovery предлагает уверенное восстановление от критических угроз, быстрое восстановление с помощью управляемой автоматизации и упрощенные операции восстановления. Это полностью управляемое решение Ransomware Recovery as-a-Service, которое позволяет безопасно восстанавливаться от современных программ-вымогателей через поведенческий анализ включенных рабочих нагрузок в изолированной среде восстановления (IRE) в облаке.

На днях компания VMware выпустила обновленную версию Cloud Disaster Recovery с функциями Ransomware Recovery. Давайте посмотрим, что нового стало доступно пользователям в этом феврале:

1. 15-минутное RPO с частыми снимками

Потеря доступа организации к некоторым (или всем) данным может обойтись в миллионы упущенной выручки, повреждении репутации бренда и штрафах за несоблюдение нормативных требований - и это лишь некоторые из возможных последствий. По этой причине минимизация потерь данных при восстановлении давно является ключевой задачей, особенно в крупных организациях или в сильно регулируемых отраслях. Чтобы решить эту важную проблему, VMware Cloud DR и VMware Ransomware Recovery теперь поддерживают 15-минутное RPO (требование к контрольной точке восстановления), которое предоставляет клиентам большую гибкость и выбор. Эта техника позволяет делать до 96 снимков в день и поддерживает приостановку работы приложений для обеспечения их согласованности. В сочетании с глубокой историей неизменяемых точек восстановления, сохраненных в Cloud Filesystem, это предоставляет клиентам больший выбор в частоте и политиках хранения снимков. Такая гибкость важна для достижения баланса между готовностью к восстановлению и общей стоимостью владения инфраструктурой.

2. Запуск рабочих нагрузок в облаке

В случае инцидента с программой-вымогателем защищенный сайт может оставаться недоступным в течение длительного периода; например, могут проводиться исследования правоохранительными органами, или сайт еще может быть небезопасен для восстановления, поскольку он не был восстановлен и исправлен. Начиная с сегодняшнего дня, клиенты будут иметь возможность продолжать работу с очищенными виртуальными машинами в восстановленном SDDC в облаке до тех пор, пока производственный сайт не будет полностью защищен, и угрозы не будут устранены.

3. Transit Connect для репликации, переключения на резерв и возврата к исходному сайту

Расширенная поддержка Transit Connect обеспечивает улучшенную безопасность сети для клиентов, которые не могут передавать данные по общедоступным сетям из-за требований комплаенса или просто желают минимизировать риски передачи. С этим улучшением передача данных для репликации, переключения на резерв (failover) и возврата (failback) осуществляется через защищенную частную сеть, полностью изолированную от общедоступного интернета. Трафик автоматически шифруется в состоянии покоя и в процессе передачи, а правила брандмауэра на облачном шлюзе в сочетании со списками доступа на стороне VMware Cloud DR добавляют слой безопасности.

4. Улучшенное сетевое подключение

VMware Cloud DR и VMware Ransomware Recovery теперь позволяют клиентам изолировать DR-сеть от той, что используется для тестирования и восстановления. Наличие DR-сети, полностью отделенной от сети изолированной среды восстановления (Isolated Recovery Environment, IRE), предотвращает перемещение киберугроз в SDDC-датацентр восстановления, которые могли бы заразить рабочие нагрузки, если они работают в одной и той же среде. Сегментация сети, создаваемая на уровне NSX в резервном SDDC, теперь является опцией конфигурации плана DR. VMware Cloud DR и VMware Ransomware Recovery будут использовать NSX Compute Gateway для указания отдельных сетей, что позволяет операциям DR и восстановления проводиться одновременно и безопасно в одном и том же SDDC. Это также позволяет клиентам консолидировать инфраструктуру сайта восстановления без риска заражения рабочих нагрузок.

Более подробно о новых возможностях VMware Cloud Disaster Recovery можно прочитать в Release Notes.


Таги: VMware, Cloud, DR, Ransomware, Security, Update

Решение семейства VMware Validated Solutions (VVS) - продукт Cloud-Based Ransomware Recovery for VMware Cloud Foundation


Недавно мы писали об изменениях в лицензионной политике и новых изданиях VMware vSphere, а также в картинках рассказывали о том, какие компоненты являются частью решений, а какие можно приобрести в качестве аддонов. Кроме аддонов, VMware предоставляет сертифицированные решения VMware Validated Solutions (VVS) для инфраструктур VMware Cloud Foundation (VCF).

VMware Validated Solutions - это хорошо спроектированная и проверенная реализация, созданная и протестированная VMware для повышения бизнес-ценности клиентов VMware Cloud Foundation. Это решение для улучшения перехода от только установленного продукта к готовому к использованию. Все VMware Validated Solutions включают структурированный подход к быстрому и эффективному запуску, который включает планирование и подготовку, цели и решения проектирования, реализацию, операционное руководство и руководство по взаимодействию решений. Кроме того, многие из решений предлагают возможность развертывания большей части продуктов средствами автоматизации.

Что такое Cloud-Based Ransomware Recovery for VMware Cloud Foundation?

VMware Ransomware Recovery for VMware Cloud Disaster Recovery предлагает уверенное восстановление от критических угроз, быстрое восстановление с помощью управляемой автоматизации и упрощенные операции восстановления. Это полностью управляемое решение Ransomware Recovery as-a-Service, которое позволяет безопасно восстанавливаться от современных программ-вымогателей через поведенческий анализ включенных рабочих нагрузок в изолированной среде восстановления (IRE) в облаке. Управляемая автоматизация рабочего процесса позволяет клиентам быстро идентифицировать потенциальные точки восстановления, проверять точки восстановления с помощью живого поведенческого анализа и предотвращать повторное заражение благодаря возможностям сетевой изоляции.

Основные проблемы, с которыми сталкиваются организации при восстановлении после атак программ-вымогателей:

  1. Определение нужной точки восстановления
  2. Проверка найденных точек восстановления
  3. Предотвращение повторного заражения
  4. Минимизация потери данных
  5. Минимизация простоя

Cloud-Based Ransomware Recovery for VMware Cloud Foundation - это хорошо спроектированное проверенное решение, которое направлено на решение этих проблем путем предоставления подробных рекомендаций по проектированию, реализации, конфигурации и эксплуатации защиты рабочих нагрузок бизнеса, работающих в экземпляре VMware Cloud Foundation, от атак программ-вымогателей, за счет подключения экземпляра к VMware Cloud на AWS с использованием сервиса VMware Cloud Disaster Recovery.

Обзор решения

Cloud-Based Ransomware Recovery для VMware Cloud Foundation подробно описывает архитектурные решения - как и где развертывать DRaaS Connectors, учитывая различные компоненты в сервисе VMware Cloud Disaster Recovery и их интеграцию в компоненты среды VMware Cloud Foundation. Это обеспечивает повторяемый процесс, который может быть использован в любой среде VMware Cloud Foundation.

На логической схеме ниже мы используем сервис VMware Cloud Disaster Recovery и активируем регион восстановления, который настраивает оркестратор и облачную файловую систему на VMware Cloud for AWS. Регион восстановления - это место, где мы разворачиваем решение SDDC для восстановления.

Из сервиса VMware Cloud Disaster Recovery мы загружаем и устанавливаем VMware DRaaS Connectors экземпляра VMware Cloud Foundation. Это позволяет сайту VMware Cloud Foundation реплицировать снимки виртуальных машин в облачную файловую систему. Количество необходимых VMware DRaaS Connectors зависит от количества виртуальных машин, которые вы хотите защитить в вашем окружении VMware Cloud Foundation.

В процессе восстановления SDDC для восстановления обеспечивает изолированную среду восстановления (IRE) в VMware Cloud for AWS, которая позволяет вам осматривать, анализировать и восстанавливать зараженные виртуальные машины перед их возвращением в производственную среду.

Операционное руководство, предоставленное в этом решении, направлено на создание основы для руководства по выполнению задач, которое включает настройку SDDC для восстановления, активацию восстановления от программ-вымогателей, создание групп защиты, планов восстановления и выполнение восстановления виртуальной машины рабочей нагрузки от программ-вымогателей.

Решение Cloud-Based Ransomware Recovery for VMware Cloud Foundation доступно уже сейчас.


Таги: VMware, Cloud, VVS, VCF, Ransomware, DR

Анонсы Explore 2023 Europe: VMware Live Recovery


На прошедшей недавно конференции Explore 2023 Europe компания VMware объявила о предстоящем запуске решения VMware Live Recovery, которое обеспечит защиту от программ-вымогателей (Ransomware) и восстановление после катастроф в VMware Cloud через единую консоль.

Платформа VMware Live Recovery разработана, чтобы помочь организациям защищать свои приложения и данные в инфраструктуре VMware от множества угроз разного типа, включая атаки программ-вымогателей, сбои инфраструктуры, человеческие ошибки и многое другое.

VMware Live Recovery будет предоставлять клиентам:

  • Безопасное восстановление после кибератак - это позволит организациям с уверенностью и быстро восстановиться после атак программ-вымогателей, зашифровавших и заблокировавших данные.
  • Единая защита - Live Recovery предоставит единую консоль для управления функциями защиты от Ransomware и восстановления после катастроф, упрощая администрирование крупных систем.
  • Упрощенное использование - продукт предложит гибкую лицензию для различных случаев использования и облачных решений, упрощая для организаций получение необходимой защиты.

VMware Live Recovery будет идеальным решением для администраторов, ответственных за устойчивость инфраструктуры, и команд безопасности, которые также управляют киберугрозами. Это будет важный инструмент для организаций, использующих VMware Cloud для работы своих критически важных приложений.

Что нового в концепции VMware Live Recovery?

VMware Live Recovery будет отличаться от других решений на рынке в ряде аспектов. Во-первых, это будет интегрированное решение, предоставляющее единую защиту от программ-вымогателей и восстановления после катастроф для всей гибридной инфраструктуры. Это означает, что организации смогут управлять своими потребностями в защите в рамках нескольких облаков с помощью единой консоли, упрощая управление и снижая затраты.

Во-вторых, VMware Live Recovery разработан изначально, чтобы помочь организациям безопасно восстанавливаться после атак программ-вымогателей. Для этого будут использоваться многие современные техники, включая неизменяемые снимки, изолированную среду восстановления VMware (isolated recovery environment, IRE) для тестирования и проверки зараженных виртуальных машин, руководство по рабочим процессам и встроенный антивирус нового поколения, а также средства анализа поведения для выявления современных программ-вымогателей.

Наконец, VMware Live Recovery предложит гибкую лицензию по подписке для различных случаев использования и облачных решений. Это упростит для организаций получение необходимой защиты, с возможностью добавления или изменения функциональности в соответствии с изменяющимися потребностями или требованиями бизнеса.

Объединенное решение

VMware Live Recovery объединит два проверенных решения VMware в единую консоль и поддержку организации. Клиенты получат доступ к функциональным возможностям VMware Site Recovery Manager и VMware Cloud Disaster Recovery с восстановлением после атак программ-вымогателей. Кроме того, клиенты могут выбирать между моделями развертывания, сохраняя при этом единую консоль, с гибкостью для изменяющихся бизнес-потребностей и уверенностью в поддержке от единого производителя.

Как VMware Live Recovery может помочь вашей организации?

Решение сможет помочь вашей организации различными способами. Оно обеспечит единую защиту с помощью восстановления после атак программ-вымогателей и восстановления после катастроф в VMware Cloud в одной консоли (Secure Cyber Recovery), которое позволяет уверенно и быстро восстанавливаться после большинства атак на данные. Кроме того, модель Simplified Consumption позволит гибко лицензировать использование сценариях и инфраструктурах.

Более подробная информация о продукте должна появиться в ближайшее время.


Таги: VMware, Ransomware, Backup, SRM

Что нового в решениях VMware Ransomware Recovery и Cloud Disaster Recovery


Борьба с программами-вымогателями и готовность к восстановлению после катастроф продолжают оставаться в приоритете для CIO по всему миру - число атак программ-вымогателей стремительно растет, требования к соблюдению нормативов вынуждают организации внедрять меры по обеспечению аварийного восстановления инфраструктуры.

VMware предлагает предприятиям готовые возможности, чтобы удовлетворить потребности современного бизнеса за счет новых функций в решениях VMware Cloud DR и VMware Ransomware Recovery.

Готовность к восстановлению средствами VMware Cloud DR - быстрое переключение и восстановление, оптимизированная стоимость владения

До сегодняшнего дня, когда клиенты сталкивались со сценарием DR, у них была только одна возможность - включить восстановленные виртуальные машины в резервном датацентре DR SDDC с помощью функции Instant Power On, при этом их диски располагались в облачной файловой системе. Затем они переносились на основное хранилище в DR SDDC через Storage vMotion.

Хотя это по-прежнему рекомендуемый подход для интенсивных по вводу-выводу или крупных рабочих нагрузок, пользователи теперь могут получить преимущества улучшенной производительности восстановления с новой функцией: Run Recovered VMs on Cloud Filesystem (запуск восстановленных машин в облачной файловой системе). Подробнее об этом рассказано тут.

С этой опцией ВМ могут продолжать работать в DR SDDC, причем их диски располагаются в Cloud Filesystem, что позволяет избежать использования Storage vMotion, что сильно ускоряет переключение в случае сбоя. Машины, работающие в Cloud Filesystem, получают защиту средствами высокой доступности (HA), а также низкие значения RPO.

Ключевые преимущества функции "Запуск восстановленных ВМ на Cloud Filesystem" включают:

  • Быстрое переключение и улучшенная производительность после восстановления: исключение использования Storage vMotion для vSAN и запуск восстановленных ВМ с дисками, по-прежнему располагающимися в Cloud Filesystem.
  • Быстрое обратное восстановление: эта новая функция устраняет необходимость создания снапшотов на базе VADP в резервном SDDC при обратном восстановлении.
  • Оптимизация TCO: для рабочих нагрузок, ограниченных объемом хранилища, требуется меньше ресурсов облачных хостов для непосредственного запуска ВМ на Cloud Filesystem по сравнению с традиционным переключением.
  • Гибкость: вы можете выбрать, какие рабочие нагрузки запускать на Cloud Filesystem, а какие - переносить в резервный SDDC с помощью storage vMotion.

Более подробно о VMware Cloud DR можно почитать на этой странице.

VMware Ransomware Recovery: быстрое и эффективное восстановление от современных атак

VMware недавно представила функцию "Bulk VM Processing" для решения VMware Ransomware Recovery. С этой функцией пользователи получают преимущества автоматизированного восстановления до 50 виртуальных машин за раз, что ускоряет время восстановления и оптимизирует ИТ-ресурсы.

Обработка машин в больших объемах работает в рамках существующего руководящего рабочего процесса восстановления от программ-вымогателей (Ransomware), который охватывает идентификацию, проверку и восстановление точек восстановления. До 500 ВМ можно включить в один план восстановления от программ-вымогателей, при этом одновременная обработка возможна для 50 ВМ в одном пакете, что позволяет сразу нескольким ВМ пройти живой поведенческий анализ для выявления предупреждений безопасности, которые могут быть использованы для очистки штаммов программ-вымогателей из скомпрометированных снимков. Вместе эти интегрированные возможности обеспечивают более уверенное и быстрое восстановление работы в случае успешной атаки программы-вымогателя.

Для более подробной информации об этом решении рекомендуем почитать FAQ и вот эту страничку на TechZone.


Таги: VMware, Cloud, DR, Ransomware, Security, HA

Защита от Ransomware средствами VMware Ransomware Recovery


Дункан Эппинг опубликовал статью о VMware Ransomware Recovery, которая может оказаться полезной администраторам, встретившимся или готовящимся встретиться с проблемой программ-вымогателей. Об этом продукте мы также рассказывали вот тут. Приведем основные мысли этой статьи ниже.

VMware Ransomware Recovery является частью облачного решения VMware Cloud Disaster Recovery. Эту услугу можно начать использовать как службу облачного хранения, куда вы реплицируете свои рабочие нагрузки, когда вам не требуется запуска полноценного программно-определенного дата-центра. Это особенно полезно для организаций, которые могут позволить себе потратить примерно 3 часа на запуск SDDC, когда возникает необходимость восстановиться на резервную инфраструктуру (или протестировать этот процесс). Также вы можете постоянно иметь SDDC, всегда готовый к восстановлению, что значительно сократит целевое время восстановления.

VMware предоставляет возможность защиты различных сред и множества различных рабочих нагрузок, а также множества копий point-in-time (снапшотов). Но, что более важно, эта служба позволяет вам проверить вашу точку восстановления в полностью изолированной среде. Решение фактически не только изолирует рабочие нагрузки, но и предоставляет вам информацию на различных уровнях о вероятности заражения снимка. В первую очередь, в процессе восстановления показываются энтропия и скорость изменений, что дает представление о том, когда потенциально среда была заражена (или, например, был активирован вирус-вымогатель).

Кроме того, с помощью NSX и программного обеспечения Next Generation Anti-Virus от VMware можно безопасно проверить точку восстановления. Создается карантинная среда, где точка восстановления проверяется на уязвимости и угрозы, а также может быть проведен анализ рабочих нагрузок для восстановления, как показано на скриншоте ниже. Это значительно упрощает процесс восстановления и проверки, поскольку устраняет необходимость ручных операций, обычно включенных в этот процесс. Конечно, в рамках процесса восстановления используются продвинутые возможности сценариев VMware Cloud Disaster Recovery, позволяющие восстановить полный дата-центр или просто выбранную группу виртуальных машин, запустив план восстановления. В этот план восстановления включен порядок, в котором нужно включить и восстановить рабочие нагрузки, но в него также можно включить настройку IP, регистрацию DNS и многое другое.

В зависимости от результатов анализа, вы можете затем определить, что делать со снапшотом. В рамках анализа вы сможете ответить на следующие вопросы:

  • Данные не скомпрометированы?
  • Рабочие нагрузки не заражены?
  • Есть ли какие-либо известные уязвимости, которые мы должны сначала устранить?

Если данные скомпрометированы или среда заражена в любой форме, вы можете просто игнорировать снимок и очистить среду. Повторяйте процесс, пока не найдете точку восстановления, которая не скомпрометирована! Если есть известные уязвимости, а среда чиста, вы можете устранить их и завершить восстановление. В итоге это приведет к полному доступу к самому ценному активу вашей компании - данным.

Более подробно о решении VMware Ransomware Recovery можно почитать тут.


Таги: VMware, Ransomware, Cloud, Security, DR

Решение VMware Ransomware Recovery доступно для пользователей


На прошедшей конференции Explore 2022 компания VMware представила множество интересных продуктов и технологий, о которых мы рассказали вот тут. Сегодня мы поговорим еще об одном решении, релиз которого состоялся на этой неделе - VMware Ransomware Recovery.

Согласно исследованиям, каждые 11 секунд в мире происходят атаки типа Ransomware (программы-вымогатели). Компаниям приходится платить до 5 миллионов долларов в качестве выкупа за получение доступа к своим данным. При этом в 92% случаев жертвы Ransomware после переведения оплаты в итоге не получают полного доступа к своим данным.

Сегодня мероприятия по борьбе с Ransomware состоят из следующих этапов:

В настоящее время большие компании заинтересованы в получении услуги Ransomware Recovery as-a-Service, которая подразумевает непрерывную работу по обнаружению и ликвидации вредоносного ПО, которое постоянно проникает в крупные организации. Проблема здесь в том, что Ransomware может жить незаметно в инфраструктуре до нескольких месяцев (сейчас медианный показатель составляет 11 дней), поэтому регулярное резервное копирование, неизменяемые копии (immutable backups) и жесткие политики хранения данных тоже не являются на 100% работающим средством.

В процессе восстановления после атаки Ransomware администраторы сталкиваются со следующими проблемами:

  • Идентификация точки восстановления, которая находится до момента возникновения подозрительной активности.
  • Валидация точки восстановления, чтобы убедиться в том, что данные в ней не содержат вредоносного кода.
  • Проведение итеративного процесса восстановления как можно быстрее.
  • Минимизация потерь данных в рамках процесса восстановления и после него - машины нужно поднять в изолированном окружении (Isolated Recovery Environment, IRE) и протестировать их на отсутствие инфекции. При этом надо сделать так, чтобы внутри ВМ оказались самые последние незараженные версии файлов и папок.

Итак, выпущенный VMware продукт Ransomware Recovery представляет собой облачное решение, доступное по запросу как Ransomware Recovery as-a-Service. Оно является дополнением к продукту VMware Cloud Disaster Recovery и использует двухъярусную инфраструктуру хранения, которая была разработана, в том числе, для задач борьбы с Ransomware.

Об этом мы уже писали ранее - одной из имплементаций такой инфраструктуры является платформа VMware Cloud Flex Storage.

Это решение построено на базе файловой системы enterprise-класса, которая разрабатывается уже много лет на базе продукта Datrium DHCI, купленного VMware в июле 2020 года. Эта же файловая система используется для сервиса VMware Cloud Disaster Recovery. Она имеет двухъярусный дизайн, который позволяет просто масштабировать емкость и производительность хранилищ, используя архитектуру Log-Structured Filesystem (LFS).

Там доступны такие возможности, как эффективные снапшоты, неизменяемость бэкапов (immutability), защита от ransomware и многое другое, что позволяет использовать их для разных типов организаций и рабочих нагрузок.

Функциональность VMware Ransomware Recovery в консоли Cloud Disaster Recovery позволяет обеспечить рабочий процесс идентификации Ransomware, валидации резервных копий и восстановления инфраструктуры после атаки в рамках утвержденных шагов согласно руководствам blueprints от VMware.

Возможности guided restore point selection позволяют найти точку во времени (снапшот данных), которая является наиболее подходящей для восстановления, учитывая баланс теряемых данных и вероятности возвращения инфекции:

Встроенные функции Next Gen AV and Behavioral Analysis позволяют проанализировать выбранный снапшот на наличие вредоносного кода. Это, конечно же, не дает 100% гарантии, что его там нет, но очень существенно снижает риски.

Все тесты проходят в окружении Isolated Recovery Environment (IRE), где внутрь виртуальной машины вставляет специальный security sensor, который проверяет машину на подозрительные активности.

В результате анализа будет выведен отчет о подозрительных активностях ВМ:

Кроме того, VMware Ransomware Recovery предоставляет следующие функции:

  • Пользователи могут использовать предконфигурированные сетевые политики в изолированном окружении, чтобы избежать реинфицирования.
  • За счет возможности Live Mount виртуальные машины включаются мгновенно в среде IRE, без необходимости их восстанавливать в нативном формате. Это минимизирует общее время восстановления инфраструктуры.
  • Возможности 30-minute RPO и Granular Recovery позволяют сохранять резервные копии в облако каждые полчаса и хранить их там в immutable-режиме в файловой системе Scale Out Cloud Filesystem. Это позволяет хранить глубокую историю снапшотов, а также восстанавливать отдельные файлы и папки из резервных копий в нужную точку восстановления (машину для этого даже не нужно включать).
  • Встроенные отчеты об аудите дают представление о производительности и полноте операций аварийного восстановления. Они доступны напрямую из SaaS-консоли.

Релиз VMware Ransomware Recovery уже состоялся. Более подробно почитать об этом решнии можно по этой ссылке.


Таги: VMware, Ransomware, Recovery, Security, Cloud, LSFS, DR

Защита от Ransomware с помощью NAKIVO Backup & Replication + новая бета


Недавно мы писали о продукте NAKIVO Backup & Replication, который является одним из лидеров в сфере решений для резервного копирования и защиты данных виртуальной инфраструктуры. Мы рассказали об основных его возможностях и областях применения, а сегодня мы подробно остановимся на его использовании при защите от программ-вымогателей (Ransomware)...


Таги: Nakivo, Backup, Replication, Ransomware

Ransomware на хостах VMware ESXi шифрует VMDK-диски и требует деньги


Недавно появилась новость о том, что некое Ransomware использует уязвимости на хостах с гипервизором VMware ESXi для того, чтобы получить контроль над виртуальными машинами и зашифровать их диски VMDK, после чего злоумышленники просят выкуп у компаний за их расшифровку.

Речь идет об эксплуатации уязвимостей CVE-2019-5544 и CVE-2020-3992, касающихся недоработок протокола Service Location Protocol (SLP) и удаленного исполнения кода в ESXi и VMware Horizon DaaS (десктопы как услуга).

Про уязвимость CVE-2020-3992 мы писали вот тут, на данный момент она полностью пофикшена, но есть немало компаний, где политика обновлений оставляет желать лучшего, и где много непропатченных хостов ESXi используется в производственной среде.

Сообщается, что в атаке, которая произошла в прошлом году, группировка RansomExx (они же Defray777) смогла получить доступ к серверам ESXi инфраструктуры нескольких компаний и зашифровать диски виртуальных машин, которые были доступны этому ESXi. Информация об этом инциденте есть в ветке на Reddit.

По шагам атака выглядела так:

  • Три пользователя в компании установили троян, который послали по почте.
  • Атакующие получили привилегии, используя уязвимость CVE-2020-1472. На рабочих станциях стоял антивирус Касперского, который на тот момент не имел сигнатур этого трояна.
  • Атакующие получили доступ к хостам, которые, в свою очередь, имели доступ к подсети управления ESXi, так как у злоумышленников были админские привилегии в AD.
  • Без необходимости компрометации vCenter они просто запустили код на ESXi, используя две описанные выше уязвимости.
  • Это привело к созданию скрипта на питоне, который шифровал диски VMDK. Вот тут приведено более детальное объяснение.

Избежать всего этого было просто - надо было вовремя пропатчить рабочие станции и серверы, ну и конечно не запускать трояны из письма:)


Таги: VMware, Ransomware, ESXi

 
Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

26/08/2024:  VMware Explore 2024 Лас-Вегас
04/11/2024:  VMware Explore 2024 Барселона

Быстрый переход:
VMware VMachines Offtopic NAKIVO vStack Gartner Veeam Vinchin StarWind Nakivo IT-Grad Cloud Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate Microsoft SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Update Avi Aria Broadcom Workstation Private AI EUC Community vSAN VCF Skyline NSX HCX AI Host Client Explore Chargeback Horizon Labs SASE Tanzu Workspace ONE Networking Backup Ransomware Tools Performance Lifecycle VCP Network AWS Intel API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes V2V vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP ONE DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint ESA Troubleshooting Director Android Python Upgrade Stretched ML Hub Guardrails CLI VCPP Memory Driver Foundation HPC Orchestrator Optimization Bugs SVMotion Diagram Ports SIOC Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge