Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6260 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru | Ссылка дня: Все презентации VMware Explore 2024 US и Europe доступны для скачивания в PDF

О программе-вымогателе Termite Ransomware и ее перехвате с помощью VMware Carbon Black


Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.

Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".

Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.

Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:

  • На основе решения VMware Carbon Black

Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.

  • На основе файлов

Здесь должен отработать модуль Ransom.Babuk,

  • На основе машинного обучения

Тут работает модуль Heur.AdvML.B.

Более подробно об этом можно узнать тут.


Таги: VMware, Symantec, Carbon Black, Security, Ransomware

Анонсы VMware Explore 2024 Europe: Intelligent Assist for vDefend


VMware vDefend с инновационным помощником на основе GenAI ускоряет защиту от угроз программ-вымогателей (ransomware), предоставляя объяснения, ориентированные на контекст цепочки атаки, коррелированные сведения о кампаниях угроз и направленные рекомендации по их устранению.

Сегодня вокруг генеративного AI (GenAI) много энтузиазма, не только среди предприятий, но и среди злоумышленников, стремящихся расширить свои возможности для вымогательства. По мере развития этих технологий они будут глубже интегрироваться в рабочие процессы, помогая предприятиям превентивно ликвидировать новые угрозы.

VMware vDefend находится на переднем крае инноваций в области AI и ML, включая использование AI для рекомендаций по правилам микросегментации и применение ML к трафику и контекстам рабочих нагрузок для получения детализированных сведений. Сейчас VMware сделала логичный, но важный следующий шаг, используя GenAI и крупные языковые модели (LLM), чтобы ещё больше помочь клиентам защитить свои ценные активы.

За последний год команда VMware усердно работала над инициативой под названием Project Cypress. Результатом стал Intelligent Assist for vDefend, основанный на GenAI и LLM. Эта новая возможность упрощает работу команд виртуализации, сетевой безопасности и SOC, помогая им понять детальную, контекстуальную информацию об активных угрозах и их влиянии. Всего за несколько кликов команды могут инициировать устранение, упрощая процессы, которые раньше требовали сложных рабочих процессов с использованием нескольких продуктов. Улучшая реакцию на угрозы, Intelligent Assist for vDefend позволяет командам по безопасности и инфраструктуре работать более слаженно для защиты от атак вымогателей и вносить больший вклад в безопасность.

Детализация сложных угроз и предупреждений безопасности

До появления GenAI корреляция действий по кампаниям или исследование связей между угрозами и предупреждениями были трудоемким процессом. Попытки интегрировать несколько точечных решений зачастую добавляли сложности, увеличивая риск ошибок и появления «слепых зон».

Зачастую важный контекст события — например, что происходило до и после него — упускался из виду. Хотя существует множество систем для оценки серьезности или влияния уязвимостей, они не могут передавать эту информацию на естественном языке, что затрудняет оценку масштаба кампаний угроз. Обмен индикаторами компрометации (Indicators of Compromise, IoC) для обнаружения угроз также был исторически сложным по аналогичным причинам.

Генеративный AI ускоряет и упрощает операции по поддержанию безопасности. Инструменты на базе GenAI значительно увеличивают способность команд безопасности обрабатывать большие объемы предупреждений, которые иначе были бы перегружающими из-за их количества. GenAI может сэкономить часы — или даже дни — ручных усилий, интеллектуально приоритизируя и коррелируя эти предупреждения для надлежащего устранения. Это повышение скорости напрямую улучшает защиту от угроз.

Решение Intelligent Assist для vDefend

В основе Intelligent Assist лежит интерактивный чат-бот на базе большой языковой модели (LLM), интегрированный непосредственно в интерфейс vDefend. Этот чат-бот объясняет события обнаружения простым языком, помогая командам безопасности понять полный масштаб угроз, одновременно улучшая сотрудничество по всей организации. Это не только снижает частоту ложных срабатываний, но и ускоряет процесс устранения угроз. С помощью простого интерфейса на естественном языке аналитики могут задавать конкретные вопросы для получения более глубокого контекстного понимания, когда это необходимо.

Ключевые функции Intelligent Assist для vDefend включают объяснение угроз на простом языке, а также возможности автоматизированного реагирования и устранения. Платформа разработана на принципах простоты и интуитивности.

Давайте рассмотрим эти функции подробнее.

Объяснимость

Рассмотрим типичную ситуацию с программой-вымогателем, включающую эксфильтрацию данных с использованием таких инструментов, как dnscat, который создает зашифрованное управление и контроль (Command-and-Control, C&C) по протоколу DNS.

Благодаря обширному набору сигнатур IDS, vDefend обнаруживает эту вредоносную активность и генерирует событие высокого уровня важности. Intelligent Assist предоставляет дополнительный контекст для оператора SOC, указывая, что другие события предполагают, что исходным вектором атаки стал Darkside ransomware. Более того, он подтверждает, что влияние значительное, но в настоящее время ограничено определенной рабочей нагрузкой. Обладая этой информацией, команда SOC может уверенно сделать вывод, что событие является истинно положительным, и инициировать немедленные действия.

Способность Intelligent Assist объяснять угрозы и события на простом языке позволяет командам по безопасности, сетям и виртуализации мгновенно оценивать масштаб и влияние отдельных угроз. Автоматически выявляя связанные события и отображая индикаторы компрометации (IoC), он устраняет пробелы в видимости в рамках стека безопасности и значительно ускоряет получение информации по сравнению с тем, что было доступно ранее.

Автоматический ответ и устранение

После подтверждения события как истинно положительного, важно быстрое и эффективное устранение. Здесь снова приходит на помощь Intelligent Assist, принимая автоматические и немедленные меры по устранению, в то время как вы продолжаете собирать информацию и проводить экспертный анализ.

В зависимости от вашей терпимости к риску и потенциального влияния на легитимный трафик и производительность бизнеса, вы можете выбрать между целенаправленным или комплексным ответом:

  • Целенаправленный ответ: этот подход направлен на узкие, конкретные меры по устранению для минимизации нарушения бизнес-процессов. Однако такая «точечная» стратегия несет риск неполного сдерживания атаки.
  • Комплексный ответ: более широкий по охвату, этот подход «молотка» с большей вероятностью предотвращает боковое распространение угрозы, но также несет больший риск нарушения нормальной работы бизнеса.

Когда Intelligent Assist выявляет кампанию атаки, он рекомендует соответствующую стратегию реагирования. В приведенном ниже примере, касающемся продолжающейся атаки программ-вымогателей, Intelligent Assist рекомендовал политику комплексного устранения. Несмотря на автоматизацию создания политик, Intelligent Assist не предназначен для работы в полностью автономном режиме. Окончательное решение остается за командой безопасности — Intelligent Assist генерирует политику, но она не применяется, пока ее не проверит и не активирует эксперт по безопасности. В данном случае рекомендованная политика блокирует всю исходящую DNS-коммуникацию от затронутой рабочей нагрузки, чтобы предотвратить дальнейшее распространение угрозы.

Бесшовный и интуитивно понятный интерфейс

При разработке Intelligent Assist в VMware сосредоточились на том, чтобы сделать интерфейс максимально удобным и интуитивно понятным для конечного пользователя. Такие функции, как экспорт чата, позволяют пользователям легко сохранять и делиться важными инсайтами из диалогов с другими командами, а встроенные механизмы обратной связи обеспечивают улучшение ответов системы со временем. Intelligent Assist также предлагает рекомендации по запросам, помогая даже самым неопытным пользователям раскрыть весь его потенциал. Административная панель создана для упрощения управления пользователями, а поддержка многопользовательских сессий и инструменты управления рабочими процессами способствуют эффективному сотрудничеству между различными командами. Развертывание Intelligent Assist не требует усилий — решение использует безопасное расширение для браузера Chrome, обеспечивая прямой канал связи. Просто скачайте расширение, и все готово к работе.

Чтобы узнать больше о Intelligent Assist, посмотрите техническую сессию VMware Explore Las Vegas 2024, доступную здесь.


Таги: VMware, vDefend, Security, GPT

Как сбросить (восстановить) пароль root для VMware ESXi 8 или 7 в составе VMware vSphere


Вильям Лам написал наиполезнейшую статью о сбросе/восстановлении пароля консоли сервера VMware ESXi 8 и 7 в составе платформы виртуализации VMware vSphere.

Общее руководство и самый быстрый способ восстановления пароля root для хоста ESXi, если вы забыли или потеряли его, заключается в сбросе с помощью профилей хостов vSphere, если он управлялся сервером vCenter, или просто переустановке ESXi, что позволит сохранить существующие тома VMFS вместе с виртуальными машинами, которые могут на них находиться.

Ранее также было возможно сбросить пароль root ESXi, загрузив систему в Linux и вручную обновив файл /etc/shadow, что похоже на то, как можно сбросить пароль в системе на базе Linux. В сети можно найти множество статей в блогах, описывающих этот процесс. Однако с появлением ESXi Configuration Store данный метод больше не работает для современных версий ESXi, начиная с ESXi 7.0 Update 1 и выше.

Тем не менее, эта тема все еще часто поднимается, особенно в контексте администраторов, которые начинают работать в новой компании, где пароль root ESXi не был должным образом задокументирован, или когда администратору поручено поддерживать набор отдельных ESXi хостов без владельцев. Независимо от сценария, хотя переустановка является самым быстрым способом восстановления, конечно, было бы неплохо сохранить исходную конфигурацию, особенно если нет документации.

Хотя в сети было опубликовано множество фрагментов информации (здесь, здесь и здесь), включая информацию от самого Вильяма, было бы полезно выяснить по шагам актуальный процесс восстановления ESXi 7.x или 8.x хоста без необходимости его переустановки.

Предварительные требования:

  • Доступ к физическому носителю, на который установлен ESXi (USB или HDD/SSD)
  • Виртуальная машина Linux (Ubuntu или Photon OS)
  • Виртуальная машина с вложенным ESXi

Для демонстрации описанного ниже процесса восстановления Вильям установил ESXi 8.0 Update 3c на USB-устройство с базовой конфигурацией (имя хоста, сеть, SSH MOTD), чтобы убедиться в возможности восстановления системы. Затем он изменил пароль root на что-то полностью случайное и удалил этот пароль, чтобы нельзя было войти в систему. Хост ESXi, на котором он "забыл" пароль, будет называться физическим хостом ESXi, а вложенная виртуальная машина с ESXi, которая будет помогать в восстановлении, будет называться вложенным хостом (Nested ESXi).

Шаг 1 — Разверните вложенную виртуальную машину с ESXi (скачать с сайта VMware Flings), версия которой должна соответствовать версии вашего физического хоста ESXi, который вы хотите восстановить.

Шаг 2 — Скопируйте файл state.tgz с физического хоста ESXi, который вы хотите восстановить. Обязательно сделайте резервную копию на случай, если допустите ошибку.

  • Если ваш хост ESXi установлен на USB, отключите USB-устройство, подключите его к настольной системе и скопируйте файл с тома BOOTBANK1.
  • Если ваш хост ESXi установлен на HDD/SSD, вам нужно будет загрузить физическую систему с помощью Linux LiveCD (Ubuntu или Knoppix) и смонтировать раздел 5 для доступа к файлу state.tgz.

Шаг 3 — Скопируйте файл state.tgz с вашего физического хоста ESXi на вложенный хост ESXi и поместите его в /tmp/state.tgz, затем выполните следующую команду для извлечения содержимого файла:

tar -zxvf state.tgz
rm -f state.tgz

Шаг 4 — Войдите на ваш вложенный хост ESXi и выполните следующие команды для извлечения его файла state.tgz, который будет помещен в каталог /tmp/a. Затем мы используем утилиту crypto-util для расшифровки файла local.tgz.ve вложенного хоста ESXi, чтобы получить файл local.tgz, и затем просто удаляем зашифрованный файл вместе с файлом encryption.info вложенного хоста ESXi. После этого мы заменим их файлом encryption.info с нашего физического хоста ESXi и создадим модифицированную версию state.tgz, которая будет загружаться в нашей вложенной виртуальной машине ESXi. Мы используем это для расшифровки исходного файла state.tgz с нашего физического хоста ESXi.

mkdir /tmp/a
cd /tmp/a
tar xzf /bootbank/state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve encryption.info
cp /tmp/encryption.info /tmp/a/encryption.info
tar -cvf /tmp/state-mod.tgz encryption.info local.tgz

После успешного выполнения последней команды, нам нужно скопировать файл /tmp/state-mod.tgz на ваш рабочий стол, а затем выключить вложенную виртуальную машину ESXi.

Шаг 5 — Смонтируйте первый VMDK диск из вашей вложенной виртуальной машины ESXi на вашу виртуальную машину с Linux. В данном случае Вильм использует Photon OS, который также управляет и DNS-инфраструктурой.

Шаг 6 — Убедитесь, что VMDK вашей вложенной виртуальной машины ESXi виден в вашей системе Linux, выполнив следующую команду. Мы должны увидеть два раздела bootbank (5 и 6), как показано на скриншоте ниже:

fdisk -l

Шаг 7 — Перенесите файл state-mod.tgz, созданный на Шаге 4, на вашу виртуальную машину с Linux, затем смонтируйте оба раздела bootbank и замените файл state.tgz на нашу модифицированную версию.

mount /dev/sdb5 /mnt
cp ~/state-mod.tgz /mnt/state.tgz -f
chmod 755 /mnt/state.tgz
umount /mnt

mount /dev/sdb6 /mnt
cp ~/state-mod.tgz /mnt/state.tgz -f
chmod 755 /mnt/state.tgz
umount /mnt

Примечание: Этот шаг необходим, потому что, если вы просто скопируете модифицированный файл state.tgz напрямую на USB-устройство физического хоста ESXi, вы обнаружите, что система восстановит оригинальный файл state.tgz, даже если на обоих разделах содержится модифицированная версия.

Шаг 8 — Сделайте remove (не удаляйте) VMDK файл вложенной виртуальной машины ESXi с виртуальной машины Linux, затем включите вложенную виртуальную машину ESXi.

После успешной загрузки вложенной виртуальной машины ESXi, она теперь работает с оригинальным файлом encryption.info с нашего физического хоста ESXi, что позволит нам восстановить исходный файл state.tgz.

Шаг 9 — Скопируйте исходный файл state.tgz, созданный на Шаге 2, во вложенную виртуальную машину ESXi, поместите его в каталог /tmp/state.tgz и выполните следующую команду, которая теперь позволит нам расшифровать файл state.tgz с физического хоста ESXi, как показано на скриншоте ниже!

cd /tmp
tar -zxvf state.tgz
rm -f state.tgz
crypto-util envelope extract --aad ESXConfiguration local.tgz.ve local.tgz
rm -f local.tgz.ve

Шаг 10 — После расшифровки исходного файла state.tgz у нас должен появиться файл local.tgz, который мы извлечем локально в каталоге /tmp, выполнив следующую команду:

tar -zxvf local.tgz

Следующие три каталога: .ssh, etc/ и var/ будут размещены в /tmp, а /tmp/var/lib/vmware/configstore/backup/current-store-1 — это хранилище конфигурации ESXi для физического хоста ESXi, которое нам нужно обновить и заменить оригинальный хеш пароля root на желаемый, чтобы мы могли войти в систему.

Для непосредственного изменения хранилища конфигурации ESXi нам необходимо использовать утилиту sqlite3, так как файл хранится в виде базы данных sqlite3. Мы можем выполнить следующую команду на вложенной виртуальной машине ESXi, чтобы проверить текущий хеш пароля root:

/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1  "select * from config where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"

Шаг 11 — Вам потребуется новый хеш пароля в формате SHA512, где вы знаете сам пароль, после чего выполните следующую команду, заменив хеш.

/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1  "update config set UserValue='{\"name\":\"root\",\"password_hash\":\"\$6\$s6ic82Ik\$ER28x38x.1umtnQ99Hx9z0ZBOHBEuPYneedI1ekK2cwe/jIpjDcBNUHWHw0LwuRYJWhL3L2ORX3I5wFxKmyki1\",\"description\":\"Administrator\"}' where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"

Примечание: Вам нужно правильно экранировать любые специальные символы, например, как в приведенном выше примере, где хеш пароля содержит символ "$". Чтобы убедиться, что замена хеша выполнена правильно, вы можете выполнить вышеуказанную команду запроса, чтобы убедиться, что вывод соответствует желаемому хешу пароля, как показано на скриншоте ниже.

Шаг 12 — Теперь, когда мы обновили хранилище конфигурации ESXi с нашим желаемым паролем root, нам нужно заново создать файл state.tgz, который будет содержать наши изменения, выполнив следующие команды:

rm -f local.tgz 
tar -cvf /tmp/local.tgz .ssh/ etc/ var/ 
tar -cvf /tmp/state-recover.tgz encryption.info local.tgz

Скопируйте файл /tmp/state-recover.tgz с вложенной виртуальной машины ESXi на вашу виртуальную машину с Linux, которая затем будет использоваться для монтирования носителя физического хоста ESXi, чтобы заменить файл state.tgz на нашу восстановленную версию.

Шаг 13 — Смонтируйте носитель физического хоста ESXi на вашу виртуальную машину с Linux. Поскольку физический хост ESXi установлен на USB, можно просто подключить USB-устройство напрямую к виртуальной машине с Linux.

Снова мы можем убедиться, что виртуальная машина с Linux видит носитель с установленным физическим хостом ESXi, выполнив команду fdisk -l, и мы должны увидеть два раздела bootbank (5 и 6), как показано на скриншоте ниже.

Шаг 14 — Теперь нам просто нужно смонтировать раздел bootbank и заменить оригинальный файл state.tgz на нашу модифицированную версию (state-recover.tgz).

mount /dev/sdb5 /mnt 
cp ~/state-recover.tgz /mnt/state.tgz 
chmod 755 /mnt/state.tgz 
umount /mnt

Примечание: Поскольку физический хост ESXi был только что установлен, на втором разделе bootbank не было ничего для замены, но если вы найдете файл state.tgz, его также следует заменить, используя ту же команду, но указав другой номер раздела.

Шаг 15 — Последний шаг: размонтируйте носитель физического хоста ESXi с виртуальной машины Linux, затем включите ваш физический хост ESXi, и теперь вы сможете войти в систему, используя обновленный пароль root!


Таги: VMware, vSphere, ESXi, Security, Blogs

Настройка VMware vDefend Distributed Firewall для защиты инфраструктуры от небезопасных протоколов


В этом демо-ролике, представленном компанией VMware, демонстрируется, как можно использовать VMware vDefend для блокировки небезопасных протоколов и защиты рабочих нагрузок в корпоративной инфраструктуре от потенциальных угроз.

Проблема небезопасных протоколов

Небезопасные протоколы, такие как SMB версии 1, могут быть уязвимы для атак. Например, уязвимость SMBv1 может позволить злоумышленнику получить доступ к виртуальной машине, если система не была своевременно обновлена. Проблема может усугубляться тем, что в некоторых случаях обновление системы невозможно из-за бизнес-ограничений.

Для демонстрации в видео используются две машины:

  • Windows 7 с включенным SMBv1, которая не предназначена для предоставления файловых сервисов.
  • Windows Server 2016, выступающий в роли файлового сервера, который хранит конфиденциальные данные компании.

Обе машины не обновлялись, что делает их уязвимыми для эксплоита EternalRomance. Эта уязвимость позволяет злоумышленнику получить доступ к системе, после чего он может похитить данные или перемещаться по сети, атакуя другие машины.

Как VMware vDefend защищает инфраструктуру

1. Ограничение доступа с использованием брандмауэра (DFW)

В первую очередь, демонстрируется, как злоумышленник использует уязвимость на машине с Windows 7, которая не является файловым сервером, но продолжает принимать SMB-трафик. После успешного взлома злоумышленник получает неограниченный доступ к системе.

Чтобы предотвратить подобные атаки, с помощью VMware vDefend создается правило, которое ограничивает доступ к сервисам SMB только для нужных диапазонов IP-адресов (RFC 1918 в этом примере). Все остальные подключения, использующие SMB, будут заблокированы. Таким образом, злоумышленник больше не может воспользоваться уязвимостью Windows 7, и попытка повторного взлома завершается неудачей.

2. Защита файлового сервера с использованием Intrusion Detection and Prevention (IDP)

Вторая часть видео фокусируется на защите Windows Server 2016. Поскольку файловый сервер должен продолжать предоставлять доступ к конфиденциальным данным, простое блокирование SMB не подходит. Для этого используется система обнаружения и предотвращения вторжений (IDP), которая контролирует трафик и блокирует вредоносные пакеты.

Для защиты сервера создается специальный профиль, который отслеживает все попытки проникновения через протокол SMB и, при обнаружении подозрительного трафика, блокирует его. В случае атаки трафик блокируется, и вредоносное ПО не может выполнить свои действия, предотвращая эксплуатацию системы.

Мониторинг событий и дальнейшие действия

После блокировки атаки администраторы могут использовать встроенные инструменты мониторинга для детального анализа инцидента. В VMware vDefend доступны такие данные, как IP-адреса источников, целевые машины, идентификаторы сигнатур атак и другие полезные сведения, которые можно передать в команду безопасности (SOC) для дальнейшего расследования.

Также можно экспортировать захваченные пакеты для их анализа в сторонних программах, таких как Wireshark, что позволяет точно выяснить, какие данные пытался отправить злоумышленник.

VMware vDefend предоставляет мощные инструменты для защиты рабочих нагрузок от небезопасных протоколов, предотвращая эксплуатацию уязвимостей, боковое перемещение злоумышленников в сети и утечку данных. В видео выше демонстрируется, как можно комбинировать функции брандмауэра и системы предотвращения вторжений для обеспечения всесторонней безопасности корпоративной инфраструктуры.


Таги: VMware, vDefend, Security, Enterprise

Новая версия Veeam Hardened Repository ISO


Недавно компания Veeam представила второй релиз бесплатного решения Veeam Hardened Repository ISO. Первая версия была выпущена еще в июне 2023 года, сейчас вышло ее обновление. Veeam Hardened ISO Repository (VHR) предназначен для облегчения создания защищённого Linux-репозитория для решения Veeam Backup and Replication, так как не каждый администратор имеет достаточный опыт работы с Linux для эффективной защиты операционной системы. Veeam предлагает инструмент, который позволяет сделать это быстро и легко. Скачивание доступно бесплатно, но поскольку это технологическое превью, этот инструмент пока не следует использовать в производственных средах. ISO позволит вам создать безопасный репозиторий с функцией неизменяемости данных (immutability).

Преимущества ISO

  • Главное преимущество ISO заключается в том, что вам не нужно выполнять дополнительные настройки или запускать скрипты (система уже защищена благодаря специальному установщику).
  • В системе нет пользователя root.
  • Благодаря использованию Rocky Linux в качестве основы, вы получаете 10 лет поддержки для ОС.
  • После выхода официальной версии вы также получите поддержку от Veeam.

Требования

  • Оборудование, поддерживаемое RedHat (для развертывания в производственной рекомендуется физический сервер, для лабораторных условий возможна виртуальная машина), сам ISO основан на Rocky Linux.
  • Те же требования к CPU и RAM, что и для Linux-репозиториев.
  • 2 диска с объёмом не менее 100 ГБ каждый.
  • Поддерживается только внутреннее хранилище или напрямую подключаемое хранилище с аппаратным RAID-контроллером и кэшем записи.
  • UEFI должен быть активирован.
  • Минимальная версия Veeam - V12.2.

Veeam Hardened ISO — это загрузочный ISO-образ, разработанный для упрощения настройки Veeam Hardened Repositories. Этот новый метод доставки устраняет необходимость в глубоком знании Linux, делая его доступным для более широкой аудитории. Развертывая защищённые репозитории через этот ISO, пользователи могут значительно снизить затраты на постоянное управление и повысить безопасность своей инфраструктуры резервного копирования.

Одной из ключевых особенностей Veeam Hardened ISO является возможность создания безопасного и неизменяемого репозитория для резервного копирования. Это означает, что после записи данных в репозиторий их нельзя изменить или удалить, что защищает их от атак программ-вымогателей и других вредоносных действий. Такой уровень безопасности крайне важен в современном мире, где утечки данных и кибератаки становятся всё более частыми.

Вам предоставляется преднастроенная операционная система с автоматически применённым профилем безопасности DISA STIG. Также доступен инструмент настройки защищённого репозитория (Hardened Repository Configurator Tool), который упрощает настройку сети и позволяет изменить такие параметры, как настройки HTTP-прокси, имя хоста, пароль для пользователя vhradmin, временное включение SSH, обновление ОС и компонентов Veeam, сброс защиты от смещения времени, а также выполнять простые действия, такие как вход в систему, перезагрузка или выключение.

Ключевые особенности Veeam Hardened ISO

  • Упрощённое развертывание — Veeam Hardened ISO значительно упрощает процесс развертывания, позволяя пользователям настраивать защищённые репозитории без необходимости глубокого знания Linux. Эта простота в использовании гарантирует, что даже пользователи с ограниченными техническими навыками могут воспользоваться передовыми возможностями защиты данных от Veeam.
  • Повышенная безопасность — неизменяемость Veeam Hardened Repository гарантирует, что данные резервного копирования остаются защищёнными и не могут быть изменены. Это особенно важно в условиях атак программ-вымогателей, где целостность данных резервного копирования играет ключевую роль.
  • Экономическая эффективность — благодаря снижению потребности в постоянном управлении и обслуживании, Veeam Hardened ISO помогает организациям экономить на операционных расходах. Такая эффективность делает решение привлекательным для компаний любого размера.
  • Обратная связь сообщества — поскольку Veeam Hardened ISO на данный момент находится в статусе Community Preview, пользователи могут предоставлять обратную связь и вносить свой вклад в его развитие. Такой совместный подход помогает создать продукт, который будет соответствовать потребностям и ожиданиям сообщества Veeam.

Скачать Veeam Hardened Repository ISO можно по этой ссылке. Дефолтный пароль - VHRISO.


Таги: Veeam, Storage, Linux, Backup, Security

Анонсы VMware Explore 2024: обновление решения VMware vDefend 4.2


Продолжаем рассказывать об анонсах новых продуктов и технологий, представленных на конференции VMware Explore 2024.

На мероприятии VMware представила последнюю версию своего пакета безопасности VMware vDefend 4.2, о котором мы рассказывали вот тут. Эта версия представляет собой значительный шаг вперёд и опирается на прочную основу, заложенную её предшественниками, предлагая улучшенную масштабируемость, более точное обнаружение угроз и упрощённое управление.

Улучшенная масштабируемость и производительность

Одним из наиболее заметных улучшений в vDefend 4.2 является значительное увеличение масштабируемости. Новая версия демонстрирует прирост производительности до 10 раз, что гарантирует защиту даже самых требовательных сред без ущерба для скорости или эффективности.

Функция распределённого брандмауэра в vDefend 4.2 теперь поддерживает защиту VLAN и распределённых порт-групп наряду с сегментами, поддерживаемыми NSX. Это дополнение дает администраторам большую гибкость в применении политик безопасности для различных сетевых сегментов, что упрощает защиту широкого спектра виртуализированных сред.

Продвинутая защита от угроз

В vDefend 4.2 появилось 14 детекторов сетевого трафика, использующих машинное обучение и AI для обнаружения аномалий. Эта возможность продвинутой защиты от угроз позволяет осуществлять проактивную защиту как от известных, так и от неизвестных угроз. Решение для обнаружения и реагирования на сетевые угрозы (NDR), управляемое AI, непрерывно мониторит сетевой трафик, изучая нормальные шаблоны, чтобы в реальном времени обнаруживать и реагировать на вредоносную активность.

Упрощённое управление и дополнительные функции

Управление обнаружением и предотвращением вредоносного ПО стало проще в vDefend 4.2 благодаря новой функции упрощённого управления жизненным циклом Malware SVM. Эта функция устраняет необходимость в ручной установке веб-серверов, позволяя развертывать служебные виртуальные машины (Service VM) напрямую через API-вызовы. Кроме того, vDefend 4.2 поддерживает файлы OneNote, расширяя возможности обнаружения вредоносного ПО. Решение также вводит настраиваемую пользователем функцию обхода избыточной переподписки, которую можно применить глобально или для отдельных правил, что обеспечивает эффективное управление конкуренцией ресурсов без ущерба для безопасности.

Централизованное управление политиками и мониторинг

vDefend 4.2 предлагает централизованное управление политиками как для виртуальных машин, так и для контейнеров. Новая панель управления операциями брандмауэра полностью настраивается, позволяя пользователям мгновенно просматривать основные правила, вычислительные ресурсы и группы. Эти улучшения предоставляют администраторам более глубокие сведения о состоянии безопасности и облегчают применение единых политик безопасности во всей инфраструктуре.

Интеллектуальная безопасность и интеграция

Интеллектуальная безопасность была ключевым аспектом в разработке vDefend 4.2. Решение теперь беспрепятственно интегрируется с инструментами сторонних разработчиков, такими как SPLUNK и vLog Insight, что позволяет осуществлять комплексное логирование и анализ событий безопасности. Эта интеграция поддерживает более быстрое реагирование на инциденты и более эффективное ограничение угроз.

Как работает система обнаружения и реагирования на сетевые угрозы (NDR)?

Системы Network Detection & Response (NDR) непрерывно мониторят и анализируют огромные объёмы сетевого трафика и событий безопасности по различным элементам и сегментам сети. Эти системы собирают данные как с периметра сети, охватывая трафик «north-south», так и с внутренних сетевых сенсоров, которые отслеживают трафик «east-west». Используя AI и машинное обучение, инструменты NDR устанавливают базовую линию нормальной сетевой активности. Эта базовая линия позволяет системе идентифицировать и отмечать любые отклонения, которые могут указывать на вредоносное поведение.

Инструменты NDR, основанные на AI, разработаны для того, чтобы эволюционировать вместе с новыми угрозами, постоянно обучаясь на новых данных для улучшения своих возможностей обнаружения. Когда атака идентифицирована, решения NDR могут предоставить всестороннюю криминалистическую информацию, описывая всю хронологию атаки — от начального проникновения до латеральных перемещений внутри сети. Кроме того, эти системы могут автоматически инициировать процессы предотвращения и смягчения последствий для локализации и нейтрализации угрозы.

Обновления продукта в будущем

В будущем VMware намерена развивать vDefend в рамках стратегических обновлений, которые соответствуют ключевым направлениям инноваций компании. План будущих разработок включает:

  • Gen AI Intelligent Assist: VMware планирует интегрировать интеллектуальную помощь на базе GenAI для защиты от угроз, что улучшит сортировку оповещений и предоставит контекстные данные о кампаниях угроз. Эта функция также будет предлагать рекомендации по устранению проблем, что упростит управление и реагирование на инциденты безопасности.
  • Продвинутая защита от угроз: ожидаются значительные улучшения производительности распределённых систем IDS/IPS, с увеличением производительности до 3 раз по сравнению с текущими уровнями. VMware также представит настраиваемые сигнатуры для IDS/IPS, возможности быстрой оценки угроз и улучшенные меры по предотвращению вредоносных программ для локальных сред. Кроме того, будут развернуты новые датчики NDR для защиты физических серверов, что расширит возможности обнаружения угроз vDefend.
  • Упрощение операций: предстоящие обновления упростят операции безопасности за счёт интеграции рабочих процессов с нативной функциональностью VPC в VCF 9. VMware также планирует ввести поддержку федерации для политик IDS/IPS и улучшить анализ правил брандмауэра, что сделает управление политиками более эффективным.

Более подробно о продукте VMware vDefend можно почитать здесь.


Таги: VMware, vDefend, Security, Updqate

Анонсы VMware Explore 2024: новые возможности VMware Live Recovery


Менеджеры ИТ-инфраструктуры все яснее осознают важность защиты данных и приложений от постоянно растущих угроз. Программы-вымогатели (ransomware), в частности, становятся всё более разрушительными, требуя надёжных и инновационных решений.

На VMware Explore 2024 в Лас-Вегасе Broadcom представила значительные улучшения VMware Live Recovery, комплексного решения, разработанного для защиты среды VMware Cloud Foundation как от атак вымогателей, так и от традиционных катастроф.

  • Быстрота и уверенность в условиях кризиса - VMware Live Recovery предлагает и то, и другое. Когда случаются атаки вымогателей или катастрофы, скорость и уверенность являются решающими факторами для успешного восстановления.
  • Унифицированный подход к киберустойчивости - VMware Live Recovery отвечает потребностям в восстановлении как после атак вымогателей, так и при катастрофах. Используя комбинацию механизмов безопасного восстановления, защиты east-west и укрепленной (hardened) инфраструктуры, VMware гарантирует, что критически важные рабочие нагрузки защищены в вашей среде VMware vSphere.
  • Ускоренное восстановление и упрощённое использование - VMware Live Recovery предоставляет мощную киберустойчивость и устойчивость данных для VMware Cloud Foundation. Это решение обеспечивает восстановление после атак вымогателей и катастроф в унифицированной системе управления, с ускоренным процессом восстановления и упрощенным потреблением, с гибким лицензированием для различных сценариев и облаков.
  • Защита вашей виртуальной среды VMware - с помощью VMware Live Recovery вы можете защищать свою среду VMware на различных платформах: в вашем локальном датацентре, в VMware Cloud на AWS или другом облачном провайдере. Это гарантирует защиту от широкого спектра угроз, включая ransomware, аппаратные сбои и природные катастрофы.

Какие новые возможности были представлены на VMware Explore 2024:

  1. Локальное восстановление vSAN
  2. Удалённая репликация снимков vSAN
  3. Изолированная среда восстановления в собственном датацентре (On-Premises Isolated Recovery Environment, IRE)

Локальное восстановление vSAN

Теперь вы можете применять ускоренное до 16 раз обратное восстановление (failback) из VMware Cloud на AWS, используя локальные снимки VMware как основу для процесса восстановления, восстанавливая только проверенные изменения. Это приводит к 75%-му сокращению времени простоя, минимизируя сбои в работе.

Удалённая репликация снапшотов vSAN

Теперь расширены возможности локальных снимков vSAN для создания удалённых снимков, что позволят сохранять более глубокую историю неизменяемых снимков (до 200) с помощью унифицированного виртуального модуля (Virtual Appliance) для управления. Эта новая функция обеспечивает репликацию vSAN-to-vSAN и позволяет достичь следующих результатов:

  • Повышенная устойчивость данных: до 200 точек восстановления на ВМ.
  • Снижение простоев, благодаря опыту VMware в оркестрации восстановления.
  • Упрощённое управление: единый модуль упрощает процесс.
  • Повышенная масштабируемость и эффективность: использование кластеров хранения vSAN улучшает производительность.

Преимущества локальной изолированной среды восстановления (IRE)

Теперь у вас есть гибкость и возможность выбора изоляции VCF (VMware Cloud Foundation) как на локальной инфраструктуре, так и в облаке, что обеспечивает суверенитет данных и соответствие нормативным требованиям. Новая локальная изолированная среда восстановления предоставляет возможности кибервосстановления там, где вам удобно — в изолированной среде восстановления, размещенной в VMware Cloud на AWS, или для клиентов, желающих хранить данные локально, на собственной площадке.

Особенности:

  • Гибкость и выбор: выбирайте изолированные "чистые комнаты" VCF локально или в облаке.
  • Суверенитет данных: сохраняйте контроль над своими данными и обеспечивайте соответствие требованиям конфиденциальности и местонахождения данных.
  • Интеграция полного стека: раскройте потенциал интегрированной киберустойчивости VCF для защиты рабочих нагрузок в любом месте.

Более подробно о новых возможностях VMware Live Recovery вы можете узнать из записанных сессий на VMware Explore.


Таги: VMware, Live Recovery, Update, Ransomware, Security

Использование техник VMware vSphere Automation для решения проблем с обновлением CrowdStrike


Наверняка вы слышали о недавнем обновлении программного обеспечения CrowdStrike для Microsoft Windows, которое вызвало беспрецедентный глобальный сбой по всему миру (а может даже вы были непосредственно им затронуты). Несколько дней назад ИТ-администраторы работали круглосуточно, чтобы восстановить работоспособность тысяч, если не десятков тысяч систем Windows.

Текущий рекомендуемый процесс восстановления от CrowdStrike определенно болезненный, так как он требует от пользователей перехода в безопасный режим Windows для удаления проблемного файла. Большинство организаций используют Microsoft Bitlocker, что добавляет дополнительный шаг к уже и так болезненному ручному процессу восстановления, так как теперь необходимо найти ключи восстановления перед тем, как войти в систему и применить исправление.

Вильям Лам написал об этой ситуации. В течение нескольких часов после новостей от CrowdStrike он уже увидел ряд запросов от клиентов и сотрудников на предмет наличия автоматизированных решений или скриптов, которые могли бы помочь в их восстановлении, так как требование к любой организации вручную восстанавливать системы неприемлемо из-за масштабов развертываний в большинстве предприятий. Ознакомившись с шагами по восстановлению и размышляя о том, как платформа vSphere может помочь пользователям автоматизировать то, что обычно является ручной задачей, у него возникло несколько идей, которые могут быть полезны.

Скрипты, предоставленные в этой статье, являются примерами. Пожалуйста, тестируйте и адаптируйте их в соответствии с вашей собственной средой, так как они не были протестированы официально, и их поведение может варьироваться в зависимости от среды. Используйте их на свой страх и риск.

Платформа vSphere обладает одной полезной возможностью, которая до сих пор не всем известна, позволяющей пользователям автоматизировать отправку нажатий клавиш в виртуальную машину (VM), что не требует наличия VMware Tools или даже запущенной гостевой операционной системы.

Чтобы продемонстрировать, как может выглядеть автоматизированное решение для устранения проблемы CrowdStrike, Вильям создал прототип PowerCLI-скрипта под названием crowdstrike-example-prototype-remediation-script.ps1, который зависит от функции Set-VMKeystrokes. В настройке автора работает Windows Server 2019 с включенным Bitlocker, и он "смоделировал" директорию и конфигурационный файл CrowdStrike, которые должны быть удалены в рамках процесса восстановления. Вместо загрузки в безопасный режим, что немного сложнее, автор решил просто загрузиться в установщик Windows Server 2019 и перейти в режим восстановления, что позволило ему применить тот же процесс восстановления.

Ниже представлено видео, демонстрирующее автоматизацию и шаги, происходящие между PowerCLI-скриптом и тем, что происходит в консоли виртуальной машины. Вручную никакие действия не выполнялись:

В зависимости от вашей среды и масштаба, вам может потребоваться настроить различные значения задержек, и это следует делать в тестовой или разработческой среде перед развертыванием поэтапно.

В качестве альтернативы, автор также рекомендует и немного другой подход. Один из клиентов создал кастомный WindowsPE ISO, который содержал скрипт для удаления проблемного файла CrowdStrike, и всё, что им нужно было сделать, это смонтировать ISO, изменить порядок загрузки с жесткого диска на CDROM, после чего ISO автоматически выполнил бы процесс восстановления, вместо использования безопасного режима, что является довольно умным решением.

В любом случае, вот пример фрагмента PowerCLI-кода, который реконфигурирует виртуальную машину (поддерживается, когда ВМ выключена) для монтирования нужного ISO из хранилища vSphere и обновляет порядок загрузки так, чтобы машина автоматически загружалась с ISO, а не с жесткого диска.

$vmName = "CrowdStrike-VM"
$isoPath = "[nfs-datastore-synology] ISO/en_windows_server_version_1903_x64_dvd_58ddff4b.iso"
$primaryDisk = "Hard disk 1"

$vm = Get-VM $vmName
$vmDevices = $vm.ExtensionData.Config.Hardware.Device

$cdromDevice = $vmDevices | where {$_.getType().name -eq "VirtualCdrom"}
$bootDevice = $vmDevices | where {$_.getType().name -eq "VirtualDisk" -and $_.DeviceInfo.Label -eq $primaryDisk}

# Configure Boot Order to boot from ISO and then Hard Disk
$cdromBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableCdromDevice
$diskBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableDiskDevice
$diskBootDevice.DeviceKey = $bootDevice.key

$bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions
$bootOptions.bootOrder = @($cdromBootDevice,$diskBootDevice)

# Mount ISO from vSphere Datastore
$cdromBacking = New-Object VMware.Vim.VirtualCdromIsoBackingInfo
$cdromBacking.FileName = $isoPath

$deviceChange = New-Object VMware.Vim.VirtualDeviceConfigSpec
$deviceChange.operation = "edit"
$deviceChange.device = $cdromDevice
$deviceChange.device.Backing = $cdromBacking
$deviceChange.device.Connectable.StartConnected = $true
$deviceChange.device.Connectable.Connected = $true

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.deviceChange = @($deviceChange)
$spec.bootOptions = $bootOptions

$task = $vm.ExtensionData.ReconfigVM_Task($spec)
$task1 = Get-Task -Id ("Task-$($task.value)")
$task1 | Wait-Task | Out-Null

Чтобы подтвердить, что изменения были успешно применены, вы можете использовать интерфейс vSphere или следующий фрагмент PowerCLI-кода:

$vm = Get-VM $vmName
$vm.ExtensionData.Config.BootOptions | Select BootOrder
$vm | Get-CDDrive | select IsoPath

Остается только запустить виртуальную машину, а затем, после завершения восстановления, можно отменить операцию, размонтировав ISO и удалив конфигурацию порядка загрузки, чтобы вернуть исходное поведение виртуальной машины.


Таги: VMware, vSphere, Bugs, Microsoft, Windows, Security, Blogs

VMware vDefend Lateral Security - решение для защиты от Ransomware


Современным предприятиям приходится противостоять постоянным атакам вредоносных программ и программ-вымогателей, чтобы защитить свои главные ценности – приложения и данные. Все рабочие нагрузки частного облака – как критические, так и некритические – должны быть одинаково защищены, чтобы затруднить проникновение злоумышленника. В случае проникновения важно ограничить латеральное (east-west) движение вредоносного кода и быстро обнаружить и устранить угрозы.

Комплексная стратегия защиты частного облака требует многогранного подхода: видимость приложений и угроз, многоуровневая сегментация и защита от атак. VMware vDefend для безопасности нулевого доверия при латеральном движении (zero trust lateral security) предоставляет интегрированное решение безопасности полного стека, включая передовую защиту от угроз (advanced threat prevention, ATP), и является plug-and-play решением для платформы VMware Cloud Foundation (VCF). Предприятия могут реализовать многоуровневую глубокую защиту рабочих нагрузок приложений, используя возможности vDefend, приведенные на диаграмме ниже:

С помощью единой консоли vDefend, одного звонка в поддержку, встроенной облачной операционной модели и управляемого AI/ML интеллекта, команды безопасности могут значительно упростить защиту рабочих нагрузок приложений (виртуальные машины, контейнеры и физические серверы) и ускорить обнаружение и устранение угроз. Им больше не нужно сталкиваться с затратами и сложностью управления множеством отдельных продуктов.

Сегодня VMware еще больше укрепляет свой портфель vDefend для безопасности нулевого доверия с помощью следующих улучшений:

  • Улучшения масштабируемости брандмауэра

Увеличение масштаба правил и групп брандмауэра от 1,5 до 10 раз для расширения безопасности на все рабочие нагрузки VCF (критические и некритические).

  • Расширенная защита от Ransomware для east-west трафика

Многоконтекстный NDR теперь доступен on-oremise для соблюдения требований и в регулируемых средах, особенно в государственных, финансовых и медицинских секторах. Также появилась интеграция коррелированных событий угроз многоконтекстного NDR с SIEM сторонних производителей для быстрого обнаружения угроз.

  • Упрощение операций с брандмауэром для восток-западного трафика:

Существенно упростились операции с брандмауэром с помощью новых панелей управления. Ускорилось устранение неполадок для рабочих нагрузок Kubernetes с новыми улучшениями трассировки. Появилось централизованное управление политиками брандмауэра, которое теперь включает рабочие нагрузки Kubernetes, предоставляя единое окно управления политиками для всех рабочих нагрузок.

  • Оптимизированное развертывание средств безопасности

Инструмент для сайзинга позволяет команде безопасности точно планировать мощности, особенно в больших средах, и значительно сокращает время развертывания для достижения полной видимости VM-to-VM.

Эти улучшения уже есть в релизе VCF 5.2.

Обеспечение безопасности east-west трафика в масштабе облака

Значительное увеличение масштабируемости правил и групп распределенного и шлюзового сетевого экрана

Современное предприятие состоит из тысяч приложений, которые необходимо защищать с помощью политик управления доступом, применяемых к группам приложений. Архитектура распределенного брандмауэра и шлюзового брандмауэра vDefend была улучшена для поддержки значительно большего масштаба правил и группировки – от 1,5 до 10 раз. Теперь предприятия могут обеспечить равную защиту всех рабочих нагрузок – критических и некритических – и таким образом сделать проникновение для злоумышленников крайне сложным.

Расширенная защита от Ransomware для east-west трафика

Многоконтекстное обнаружение и реагирование на угрозы в сети (NDR) теперь доступно on-premise

У многих клиентов VMware есть высокочувствительные рабочие нагрузки, которые требуют строгого соблюдения конфиденциальности данных и их суверенитета. С внедрением локального решения vDefend Network Detection and Response (NDR) решаются проблемы клиентов, связанные с конфиденциальностью данных. vDefend NDR продолжает обнаруживать известные угрозы и угрозы нулевого дня, используя многоконтекстные коррелированные инсайты (по данным от распределённых IDS/IPS, распределённых NTA и контекстов предотвращения вредоносных программ, учитывающих специфику виртуальных машин) для выявления пакетов угроз с высокой точностью. Команды сетевой безопасности и безопасности операций получают всесторонний обзор попыток латерального вторжения в среде приложений.

Интеграция vDefend NDR с внешними SIEM для эффективного обнаружения и оценки угроз

Команды безопасности часто полагаются на системы SIEM (Security Information and Event Manager) как на отправную точку для обнаружения и реагирования на угрозы в их среде приложений. Прямолинейный подход к экспорту предупреждений NDR, связанных с трафиком east-west, может перегрузить SIEM. Вместо этого vDefend NDR регистрирует полностью коррелированные кампании вторжений и отдельные события обнаружения угроз в SIEM, что позволяет операторам SOC эффективно проводить оценку и быстро реагировать на угрозы. Журналирование событий угроз также позволяет организациям выполнять требования комплаенса. Полный захват пакетов (PCAPS) для связанных событий обнаружения IDS также доступен для помощи в расследовании угроз.

Упрощение операций с фаерволом для east-west трафика приложений

Усовершенствованная аналитика операций фаервола с новыми панелями управления

В рамках постоянных усилий по автоматизации и упрощению операций с брандмауэром VMware предоставляет агрегацию и корреляцию данных трафика east-west для принятия эффективных оперативных решений по микросегментации. Новая панель управления решает очень острую проблему отсутствия видимости такого трафика в аналитике безопасности внутри частного облака.

Операционные панели управления предоставляют информацию о наиболее часто срабатывающих правилах фаервола, самых активных участниках сети и наиболее инспектируемом трафике, а также классификацию источников, назначений и объема трафика. Эта новая панель управления упрощает корреляцию различных событий безопасности и обогащает отчеты о сетевом трафике для повседневных операций. Она также помогает выявлять проблемы с безопасностью или эксплуатацией на основе шаблонов.

Упрощение устранения неполадок распределенного фаервола для рабочих нагрузок Kubernetes

Поскольку клиенты внедряют модели нулевого доверия для своих рабочих нагрузок Kubernetes (в дополнение к рабочим нагрузкам виртуальных машин), важно, чтобы команды сетевой безопасности могли обнаруживать и устранять неполадки сетевых путей. VMware добавила информацию о правилах фаервола к трассировке потоков, что может помочь обнаружить и понять роль фаервола в конкретном типе сетевого потока. Это дает командам сетевой безопасности единый инструмент, который учитывает микросегментацию, развернутую для рабочих нагрузок виртуальных машин, а также для подов Kubernetes в их датацентре.

Централизованное управление политиками для нативных политик безопасности Kubernetes

С ростом популярности приложений на базе Kubernetes, использование нативных сетевых политик Kubernetes стало повсеместным. vDefend предоставляет единое окно для централизованного управления как политиками, установленными администраторами безопасности, так и политиками, созданными разработчиками. Политики безопасности Kubernetes, созданные разработчиками, больше не являются "черным ящиком" для администратора сетевой безопасности. Это значительно помогает упростить аудит, устранение неполадок, связанных с несоответствиями политик, и сортировку инцидентов, связанных с угрозами.

Безопасность и аналитика – упрощенное развертывание

Утилита для сайзинга обеспечивает точное планирование емкости для видимости трафика east-west

Видимость трафика east-west на уровне виртуальных машин критически важна для обеспечения безопасности — видеть трафик необходимо для его защиты. Безопасность и аналитика предоставляют детальную видимость трафика между виртуальными машинами и рекомендуют правила безопасности для распределённого фаервола. Из-за большого объема трафика east-west и связанных с ним потоков клиентам часто трудно определить правильный размер узлов для безопасности и аналитики. Новый инструмент для сайзинга позволяет точно планировать емкость, позволяя клиентам развертывать безопасность и аналитику в нужном масштабе.

С описанными инновациями vDefend для безопасности нулевого доверия VMware продолжает укреплять защиту рабочих нагрузок VCF для противостояния постоянно меняющемуся ландшафту угроз. Уникальное сочетание контроля фаервола, видимости на уровне виртуальных машин и передовой защиты от угроз для трафика приложений east-west обеспечивает истинную многоуровневую защиту. Инициатива VMware Project Cypress – помощник по защите от угроз на основе GenAI – должна еще больше упростить и ускорить сортировку и устранение угроз. VMware поделится новыми улучшениями vDefend на конференции Explore 2024 в Лас-Вегасе (26–29 августа 2024 года).


Таги: VMware, vDefend, Security, Enterprise

Вышло большое обновление VMware vSphere 8.0 Update 3 - что нового?


На днях компания VMware в составе Broadcom выпустила очередной пакет обновлений своей флагманской платформы виртуализации - VMware vSphere 8.0 Update 3. vSphere 8 Update 3 улучшает управление жизненным циклом, безопасность и производительность, включая поддержку двойных DPU и улучшенную настройку виртуального оборудования.


Таги: VMware, vSphere, Update, Upgrade, Hardware, Lifecycle, Security

Новый Linux-вариант вредоносного ПО TargetCompany Ransomware, которое нацелено на серверы VMware ESXi


В блоге Angry Admin появилась интересная статья, посвященная новому варианту основанного на Linux ПО, которое использует пакет TargetCompany Ransomware для атаки серверов VMware ESXi.

Важное событие в сфере кибербезопасности: исследователи Trend Micro выявили новый вариант Linux из печально известного семейства программ-вымогателей TargetCompany.

Этот вариант специально нацелен на среды VMware ESXi, используя сложный пользовательский shell-скрипт для доставки и выполнения вредоносных программ. Известный под несколькими псевдонимами, включая Mallox, FARGO и Tohnichi, ветка TargetCompany представляет собой постоянную угрозу с момента ее появления в июне 2021 года, в основном сосредотачиваясь на атаках на базы данных в Тайване, Южной Корее, Таиланде и Индии.

Эволюция вымогателя TargetCompany

Вымогатель TargetCompany первоначально привлек внимание своими агрессивными атаками на различные системы баз данных, такие как MySQL, Oracle и SQL Server. В феврале 2022 года антивирусная компания Avast сделала значительный прорыв, выпустив бесплатный инструмент для расшифровки, который мог противодействовать известным на тот момент вариантам вымогателя. Однако к сентябрю 2022 года группа вымогателей восстановила свои позиции, переключив внимание на уязвимые серверы Microsoft SQL и используя Telegram в качестве платформы для угроз жертвам утечками данных.

Новый Linux-вариант вымогателя: подробный обзор

Недавно компания Trend Micro сообщила о новом варианте вымогателя TargetCompany для Linux, что является заметным изменением в стратегии выбора целей вымогателя. Этот новый вариант убеждается в наличии административных привилегий перед началом своих вредоносных действий. Пользовательский скрипт используется для загрузки и выполнения вредоносного кода, который также способен извлекать данные на два отдельных сервера. Эта избыточность гарантирует, что данные остаются доступными, даже если один сервер столкнется с техническими проблемами или будет скомпрометирован.

После проникновения в целевую систему, вымогатель проверяет наличие среды VMware ESXi, выполняя команду uname и ища строчку "vmkernel". Затем создается файл "TargetInfo.txt", который отправляется на сервер управления и контроля (C2). Этот файл содержит важную информацию о жертве, такую как имя хоста, IP-адрес, сведения об операционной системе, зарегистрированные пользователи и их привилегии, уникальные идентификаторы и подробности о зашифрованных файлах и каталогах.

Скрытные операции и атрибуция

Операции вымогателя разработаны так, чтобы оставлять минимальные следы. После завершения своих задач, shell-скрипт удаляет полезную нагрузку с помощью команды ‘rm -f x’, эффективно уничтожая любые доказательства, которые могли бы помочь в расследованиях после инцидента. Аналитики Trend Micro приписали эти атаки актору по имени «vampire», который также был упомянут в отчете Sekoia в прошлом месяце. IP-адреса, связанные с доставкой полезной нагрузки и получением информации о жертве, были отслежены до интернет-провайдера в Китае, хотя этого недостаточно для точного определения происхождения атакующего.

Влияние и рекомендации

Исторически вымогатель TargetCompany в основном нацеливался на машины под управлением Windows. Появление варианта для Linux и акцент на средах VMware ESXi подчеркивают эволюционирующую тактику и расширяющийся вектор угроз этой заразы. В отчете Trend Micro подчеркивается важность надежных мер кибербезопасности для противодействия этой растущей угрозе. Основные рекомендации включают включение многофакторной аутентификации (MFA), регулярное резервное копирование (в том числе на immutable хранилища) и поддержание обновленными всех систем. Кроме того, исследователи предоставили список индикаторов компрометации, включая хэши для версии вымогателя для Linux, пользовательского shell-скрипта и образцы, связанные с актором «vampire».

Заключение

Появление нового варианта вымогателя TargetCompany для Linux подчеркивает неустанную эволюцию киберугроз и необходимость бдительных и проактивных мер кибербезопасности. Организации должны оставаться информированными и подготовленными к защите от этих сложных атак, обеспечивая реализацию комплексных мер безопасности для защиты своих систем и данных. По мере того, как угрозы вымогателей, такие как TargetCompany, продолжают развиваться, организациям и частным лицам необходимо предпринимать проактивные меры для защиты своих систем и данных. Вот несколько основных советов и рекомендаций для предотвращения атак вымогателей:

1. Включите многофакторную аутентификацию (MFA)

Внедрите MFA для всех учетных записей и систем. Это добавляет дополнительный уровень безопасности, затрудняя злоумышленникам несанкционированный доступ даже при компрометации паролей.

2. Отключите доступ по SSH

Отключите доступ по SSH на системах, где он не требуется. Это уменьшает поверхность атаки, предотвращая несанкционированный удаленный доступ.

3. Используйте режим блокировки (lockdown mode)

Включите режим блокировки на критически важных системах, таких как VMware ESXi, чтобы ограничить административные операции и дополнительно защитить среду от потенциальных угроз.

4. Регулярное резервное копирование

Регулярно выполняйте резервное копирование всех критически важных данных и храните резервные копии оффлайн или в безопасной облачной среде. Это гарантирует возможность восстановления данных в случае атаки вымогателя без уплаты выкупа.

5. Обновляйте системы

Убедитесь, что все программное обеспечение, включая операционные системы, приложения и антивирусные программы, регулярно обновляются для защиты от известных уязвимостей и эксплойтов.

6. Сегментация сети

Сегментируйте сети, чтобы ограничить распространение вымогателей. Изолируя критические системы и данные, вы можете сдержать инфекцию и предотвратить ее влияние на всю сеть.

7. Обучение сотрудников

Проводите регулярные тренинги по кибербезопасности для сотрудников, чтобы информировать их о опасностях вымогателей, фишинговых атак и безопасных практиках в интернете.

8. Внедрите сильные политики безопасности

Разработайте и соблюдайте надежные политики безопасности, включая использование сложных уникальных паролей, ограниченный контроль доступа и регулярные аудиты для обеспечения соблюдения требований.

9. Развертывание передовых решений безопасности

Используйте передовые решения безопасности, такие как обнаружение и реагирование на конечных точках (Endpoint Detection and Response, EDR), системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), чтобы обнаруживать и смягчать угрозы в режиме реального времени.

10. Мониторинг сетевого трафика

Постоянно контролируйте сетевой трафик на предмет необычной активности, которая может указывать на атаку вымогателя. Раннее обнаружение может помочь смягчить последствия атаки.

11. План реагирования на инциденты

Разработайте и регулярно обновляйте план реагирования на инциденты. Убедитесь, что все члены команды знают свои роли и обязанности в случае атаки вымогателя.

12. Ограничение привилегий пользователей

Ограничьте привилегии пользователей только теми, которые необходимы для выполнения их ролей. Ограничение административных привилегий может предотвратить распространение вымогателей по сети.

Следуя этим советам и оставаясь бдительными, организации могут значительно снизить риск стать жертвой атак вымогателей и защитить свои критически важные системы и данные.


Таги: VMware, ESXi, Security, Ransomware, Linux

Интересное видео: Threat Investigation with VMware ATP


Слишком большое количество оповещений и ложных срабатываний является одним из ключевых препятствий, мешающих организациям наладить эффективный мониторинг и противодействие угрозам в области информационной безопасности.

VMware Advanced Threat Prevention в составе решения VMware NSX предоставляет уникальную распределенную архитектуру, которая не требует перестройки сети, использования зеркалирования портов и ТАР (Traffic Access Point) или сенсоров для получения полной видимости горизонтального трафика. Решение дает полную видимость потока, а также контекст эндпоинтов, с использованием искусственного интеллекта и машинного обучения для обнаружения аномалий. Кроме того в VMware ATP есть система оценки и анализа корреляции для проведения аудита безопасности с набором согласованных и готовых к применению кампаний, позволяющих организациям сосредоточиться на угрозах, которые действительно влияют на их среду и игнорировать фоновый шум.

В этом демонстрационном видео рассматривается, как система безопасности VMware NSX (с встроенными функциями предотвращения продвинутых угроз и возможностями обнаружения и реагирования в сети) может обнаруживать и локализовывать сложные угрозы, использующие множество тактик и техник, применяемых в современных кампаниях по вымогательству и взлому.


Таги: VMware, ATP, Security, NSX, Video

Базовые уровни безопасности (security baselines) в macOS Security Compliance Project и Workspace ONE


Определенные типы организаций обязаны настраивать протоколы безопасности своих конечных точек в соответствии с определенными стандартами и бенчмарками, такими как Standards and Technology (NIST) и Center for Internet Security (CIS). Некоторые организации выбирают соответствие этим стандартам просто потому, что это хорошая проверенная практика.

Проект macOS Security Compliance Project (mSCP) является инструментом с открытым исходным кодом, который позволяет администраторам создавать профили безопасности на основе этих стандартов, настраивать их в соответствии с конкретными потребностями их организации, чтобы дальше импортировать их в решение Workspace ONE. Используя эту интеграцию, администраторы могут упростить развертывание и управление своими профилями безопасности, увеличивая общую защищенность их парка устройств на базе macOS.

Преимущества использования mSCP

mSCP предоставляет полный набор руководств по безопасности на основе объединенных знаний и лучших практик отрасли, а также собственной документации по безопасности Apple. Инструмент включает поддерживаемые базовые настройки от организаций, включая упомянутые NIST и CIS, а также Defense Information Systems Agency (DISA) и Committee on National Security Systems Instruction (CNSSI). Используя mSCP, организации могут установить базовую конфигурацию безопасности, которая соответствует стандартам, тщательно разработанным этими структурами для защиты их устройств macOS от угроз и уязвимостей.

Некоторые из ключевых преимуществ mSCP - гибкость и надежность. Поскольку администраторы могут задавать различные настройки базовых уровней, им относительно легко найти правильный баланс между более высоким уровнем безопасности и удобством использования для конкретных потребностей их компании. Что касается надежности, mSCP регулярно обновляется для имплементации последних руководств по безопасности от Apple, помогая организациям опережать появление новых угроз.

Улучшение развертывания с помощью Workspace ONE

Workspace ONE предлагает простой способ развертывания и управления профилями безопасности, сгенерированными с помощью mSCP. Функциональность загрузки профиля в Workspace ONE позволяет администраторам напрямую загружать профили .mobileconfig от mSCP через консоль Workspace ONE.

Эта интеграция упрощает процесс развертывания, позволяя администраторам быстро и эффективно применять конфигурации безопасности к своим устройствам macOS. Более того, Workspace ONE предоставляет мощные возможности управления, такие как проверки соответствия и возможности удаленного стирания контента, обеспечивая безопасность устройств на протяжении всего их жизненного цикла.

Если вы хотите немедленно начать этот процесс, вы можете прочитать операционное руководство, которое поможет с первыми шагами: Enforcing macOS Security Compliance Project Baselines: Workspace ONE Operational Tutorial.

Дополнительные ресурсы:


Таги: VMware, Apple, macOS, Workspace ONE, EUC, Security

VMware Project Cypress - помощник для поиска сетевых уязвимостей и решения проблем на базе генеративного AI


В прошлом году на конференции Explore 2023 компания VMware рассказала об очень интересном продукте - Project Cypress (сейчас он работает на базе возможностей Intelligent Assist). Это решение позволяет интегрировать генеративный AI в решения по безопасности VMware, выступая в роли копилота при расследовании инцидентов информационной безопасности.


Таги: VMware, GenAI, Cypress, Security

Метод Хольта-Винтерса и обнаружение аномалий средствами решения VMware Avi Load Balancer


Администраторам приложений и сети необходимо иметь возможность идентифицировать, понимать и реагировать на изменения в операционных условиях своих облачных приложений и структуре операций в центрах обработки данных. Любые изменения в операционных процедурах могут быть критическими, поскольку они могут нести бизнес-риски. С другой стороны, некоторые из этих отклонений могут быть предвестниками позитивного роста.

Поэтому обнаружение аномалий является важным и может дать интересные инсайты. Рассмотрим следующие сценарии:

  • Поставщик облачных услуг хочет знать о любых изменениях в инфраструктуре, таких как отказы ресурсов или избыточный входящий/исходящий сетевой трафик.
  • Команда информационной безопасности хочет знать о необычных шаблонах поведения пользователей.
  • Компания управления розничными продажами хочет знать о событиях/скидках, которые действительно вызывают всплески покупок товаров.

Выявление аномалий во всех этих случаях требует создания моделей поведения, которые могут автоматически выявлять и корректировать критерии различия между нормальным и аномальным. Поведенческая модель опирается на поведение данных. Хорошо построенная модель может не только помочь идентифицировать и квалифицировать всплески, но и облегчить прогнозирование. Обратите внимание, что простой подход с использованием статических порогов и предупреждений непрактичен по следующим причинам:

  • Масштаб операционных параметров: существует более тысячи сетевых, инфраструктурных и прикладных метрик, необходимых для анализа операций облачного приложения.
  • Слишком много ложных срабатываний или ложных пропусков: если пороги слишком жесткие, может быть слишком много ложных срабатываний. Если они слишком расслаблены, реальные аномалии могут быть упущены.

Чтобы учитывать операционные ограничения в вышеуказанных сценариях, VMware добавила еще одну технику поведенческого обучения в свой арсенал - алгоритм для выявления аномалий в сезонных временных рядах.

Алгоритм Хольта-Винтерса

Алгоритм Holt-Winters (HW), разработанный Хольтом и Винтерсом, помогает построить модель для сезонного временного ряда (например, с учетом суточной сезонности). Эта техника улучшает существующие средства обнаружения аномалий Avi Load Balancer, которое использует алгоритм экспоненциально взвешенного скользящего среднего (EWMA). Если EWMA звучит непонятно, то для быстрого освежения памяти хорошо подходит учебник "Прогнозирование: принципы и практика". По сути, EWMA тесно следует за кривой данных, однако он работает так, что периодические компоненты данных просто игнорируются. Этот момент учитывается при декомпозиции сигнала алгоритмом Хольта-Винтерса. Для сравнения прогностических моделей двух алгоритмов рассмотрим интервалы прогнозирования 80% и 95% EWMA и HW при применении к одним и тем же данным.

Для повышения точности не должно быть игнорирования сезонности входного ряда данных. Алгоритм Хольта-Винтерса работает путем разбиения указанного временного ряда на три компоненты:

  • Уровень: Можно представить как усреднение входного сигнала.
  • Тренд: Представляет собой наклон или общее направление движения данных.
  • Сезонность: Отражает периодичность данных.

На рисунке ниже представлены три составляющие временного ряда (под основным сигналом), который мы прогнозировали выше:

Временной ряд может иметь аддитивную/мультипликативную тенденцию/сезонность. Для простоты в данной статье мы предполагаем применение алгоритма Хольта-Винтерса к временному ряду с аддитивной тенденцией и аддитивной сезонностью (additive-trend-additive-seasonality, HW-AA), так как это ближе к факторам в реальной жизни. Для такого ряда компоненты тренда и сезонности увеличиваются линейно и суммируются, чтобы составить точки данных на прогрессирующих временных срезах. Временной ряд представлен следующим образом:

Где отдельные компоненты вычисляются следующим образом:

Обратите внимание, что каждое уравнение компоненты по сути представляет собой расчет в стиле EWMA. Для дальнейшего понимания обратитесь к книге "Прогнозирование: принципы и практика".

Несколько слов о параметрах сглаживания alpha, beta, gamma. Как общее руководство, инженеры используют уравнение для определения параметров сглаживания, как это рекомендуется в статье "Обнаружение аномалий во временных рядах для мониторинга сети".

Это уравнение подчеркивает, какую важность мы хотим придать историческим данным. Например, в Avi, когда применяется алгоритм HW к метрике, представляющей пропускную способность приложения, вес 95% придается сэмплам (с интервалам 5 минут) за последний час. Подставим эти значения в уравнение выше:

Эта схема применима и к другим параметрам сглаживания. Обратите внимание, что, как видно из уравнений выше, объем памяти, потребляемый алгоритмом HW, пропорционален сезонному периоду. В контексте аналитического движка Avi это означает занимаемый объем памяти размером 96 КБ на метрику. Поэтому из тысячи метрик, анализируемых Avi, VMware внимательно балансирует применение алгоритма HW только к наиболее значимым сезонным метрикам, не перегружая операции.

Для оценки нашего выбора параметров для встраиваемой реализации алгоритма HW мы сравниваем прогнозные значения с уже известным временным рядом. Вот результат:

По оси X отложено время t, а по оси Y - соответствующее значение выборки данных. График представляет собой сравнение исходных и прогнозируемых значений, а также обозначает интервалы прогнозирования с доверительной вероятностью 95%. Легко заметить, что исходные и прогнозируемые данные довольно хорошо совпадают.

Аналитический движок Avi применяет несколько методов обнаружения аномалий к одному временному ряду. Как описано выше, эти методы обнаружения используют варианты EWMA и HW. Таким образом, результаты каждой модели подвергаются режиму консолидации ALL или ANY, где либо все результаты должны согласиться с решением (о маркировке точки данных как аномальной) или же достаточно и одного. Выбор режима консолидации зависит от баланса между ложноположительными и истинными результатами. В режиме ALL ожидаются более частые ложноположительные результаты с более точными истинными, так как диагностика хотя бы одной моделью достаточна для пометки выборки данных как аномальной. В отличие от этого, режим ALL требует единогласного решения алгоритмов, что требует большей уверенности в маркировке выборки данных. Следовательно, это делает более сложным пометку правильных данных как аномальных (соответственно, меньше ложноположительных, но и меньше истинных результатов). В рамках этого подхода VMware предустанавливает режимы в зависимости от конкретной метрики, основываясь на опыте наблюдений.

Вот преимущества подхода Avi:

  • Inline - это встроенная функция контроллера доставки приложений (Application Delivery Controller, ADC), она не требует дополнительных настроек или использования стороннего программного обеспечения.
  • Быстрый и действенный - обнаружение аномалий выполняется в реальном времени, а администраторам предоставляются средства по автоматизации их обработки (например, добавление ресурсов). Администраторам не нужно вручную блокировать клиентов, запускать новый сервер или увеличивать ёмкость на основе прогнозов использования ресурсов и т. д.
  • Интеллектуальный - машинное обучение операционным шаблонам и поведению позволяет аналитическому движку Avi принимать лучшие решения по обнаружению аномалий, прогнозированию нагрузки, планированию эластичной ёмкости и т. д.

Как отмечалось ранее, вы можете использовать модель не только для идентификации аномалий, но и для прогнозирования результатов в будущем. Фактически, прогностические модели используются аналитическим движком Avi для автомасштабирования ресурсов. Это требует оценки метрик, которые могут иметь суточный или другой сезонный характер. Таким образом, прогнозируемую ёмкость теперь можно использовать для масштабирования ресурсов приложений вверх/вниз, что значительно оптимизирует затраты.

В Avi постоянно улучшают эту технологию, разрабатывая и интегрируя все более интеллектуальные методы. Помимо интеграции Хольта-Винтерса в систему обнаружения аномалий, также разрабатываются модели, использующие теории машинного и глубокого обучения. Входные данные от таких новых концепций и технологий продолжают обеспечивать высокое качество моделирования.


Таги: VMware, Avi, Networking, Security, Sizing

Сессия VMware Explore 2023 - лучшие практики по защите и укреплению виртуальной инфраструктуры


В рамках сессии Best Practices for Hardening Your VMware Infrastructure на конференции VMware Explore 2023 был рассмотрен подход к комплексному обеспечению безопасности и активной защите виртуальной инфраструктуры:

Вот ключевые моменты, рассмотренные в видео выше:

1. Оцените ваше текущее состояние безопасности - крайне важно оценить вашу текущую позицию в плане безопасности, чтобы определить недостатки и уязвимости. Эта оценка должна включать анализ угроз, уязвимостей, рисков, требований комплаенса и эффективности существующих мер безопасности. Рекомендуемая частота такой оценки — раз в два года или при наступлении крупных изменений в архитектуре ИТ-среды.

2. Определите вашу стратегию кибербезопасности на будущее - после оценки вашего текущего состояния безопасности важно определить вашу будущую стратегию кибербезопасности. Это включает в себя выявление пробелов в текущей системе безопасности и разработку рекомендаций по их устранению и снижению рисков. Результатом этого процесса должен стать план действий для достижения вашего целевого состояния и обеспечения соответствия регулирующим требованиям и стандартам.

3. Укрепите вашу среду VMware - реализация лучших практик безопасности является ключевым элементом для укрепления виртуальной инфраструктуры. Это включает отключение ненужных сервисов, применение патчей безопасности, настройку брандмауэров и внедрение шифрования. Следуя этим лучшим практикам, вы можете улучшить контроль доступа, усилить сетевую безопасность, сократить поверхность атаки, обеспечить лучшую производительность и упростить соответствие требованиям.

4. Результаты оценки включают план достижения вашего целевого состояния - процесс оценки должен привести к разработке плана достижения вашего целевого состояния. Этот план должен включать рекомендации по устранению и снижению рисков, а также дорожную карту для решения любых выявленных пробелов. Следуя этому плану, вы можете улучшить вашу общую позицию в области безопасности и обеспечить соответствие регуляциям и лучшим практикам отрасли.

5. Оценки безопасности должны охватывать всю ИТ-экосистему - при проведении оценки безопасности важно охватить всю ИТ-экосистему. Это включает оценку безопасности инфраструктуры, безопасности виртуальных машин и приложений, соответствия требованиям, восстановления после аварий и непрерывности бизнеса, а также управления, рисков и соответствия (governance, risk, and compliance - GRC). Оценивая эти области, вы можете гарантировать, что ваша вся ИТ-инфраструктура безопасна и устойчива.

6. VMware предоставляет ресурсы для защиты вашей инфраструктуры - VMware предлагает ряд ресурсов, которые помогут вам в процессе защиты среды. К ним относятся руководства по защите, комплекты соответствия, руководства по технической реализации безопасности, руководства по аудиту и применимости продуктов, порты и протоколы брандмауэра VMware, а также советы по безопасности. Эти ресурсы предоставляют предписывающее руководство, руководства по реализации и актуальную информацию о лучших практиках безопасности. Большую часть этих материалов можно найти тут.

Полный список видеодокладов VMware с конференции Explore 2023 представлен здесь.


Таги: VMware, Explore, Security, Enterprise

Интересная сессия VMware Explore 2023 - как защитить VMware ESXi и vCenter от программ-вымогателей (Ransomware)


Ransomware стало настоящей напастью последних лет - выплаты компаний злоумышленникам, зашифровавшим данные и держащим их в заложниках, перевалили за миллиард долларов в прошлом году (и это только то, что известно). Серверы VMware ESXi и vCenter, являющиеся основными компонентами инфраструктуры vSphere, представляют главную мишень для атак Ransomware.

В рамках конференции VMware Explore Europe 2023 прошла интересная сессия, где рассматривались примеры из реального мира по борьбе с программами-вымогателями, а также обсуждались проактивные методики, которые позволят избежать атаки или минимизировать последствия:

Вот основные выводы, которые суммаризуют выступление выше:

1. vSphere является привлекательной целью для атак программ-вымогателей, что делает крайне важной защиту вашей среды vSphere от таких угроз.

2. Важно провести различие между защитой рабочих нагрузок (виртуальные машины, серверы, клиенты, AD) и защитой инфраструктурной платформы (vSphere, хранилище и т.д.), поскольку каждое требует различных мер безопасности. Эти аспекты должны быть отделены друг от друга.

3. Понимание путей атаки, ведущих к появлению программы-вымогателя в инфраструктуре vSphere, является ключевым. Эти пути включают начальный доступ, использование Active Directory и различные способы добраться и атаковать vCenter Server и ESXi.

4. Восстановление среды vSphere после атаки не должно включать в себя выплату выкупа. Платеж атакующим увеличивает риск будущих атак и не гарантирует полного решения проблемы.

5. Наличие и целостность резервных копий критически важны для восстановления. Важно обеспечить, чтобы резервными копиями нельзя было манипулировать и что их можно было успешно восстановить.

6. Очистка и восстановление скомпрометированных компонентов, таких как виртуальные машины, vCenter Server и хосты ESXi после атаки, требует тщательного рассмотрения и технического анализа (форензика).

7. Для защиты vSphere от атак должны быть предприняты несколько мер, включая сегментацию vSphere от рабочих нагрузок и клиентов, использование EDR/XDR/SIEM для конечных точек и vSphere, установку обновлений безопасности и следование рекомендациям по защите платформы vSphere.

8. Предотвращение выполнения стороннего кода в ESXi может быть достигнуто через настройки, такие как execInstalledOnly, которые предотвращают выполнение нежелательных файлов и скриптов.

9. UEFI Secure Boot может использоваться для проверки целостности файлов загрузки и ядра ESXi, что защищает от угроз с использованием неподписанных VIB.

10. Деактивация доступа к Shell для не-root пользователей ESXi может предотвратить боковое движение от vCenter к ESXi, что является важной мерой для остановки или замедления атакующего.


Таги: VMware, vSphere, Ransomware, ESXi, vCenter, Security

VMware Cloud Disaster Recovery - что нового в последнем релизе?


Борьба с программами-вымогателями и готовность к восстановлению после катастроф продолжают оставаться в приоритете для CIO по всему миру - число атак программ-вымогателей стремительно растет, требования к соблюдению нормативов вынуждают организации внедрять меры по обеспечению аварийного восстановления инфраструктуры.

VMware предлагает предприятиям готовые возможности, чтобы удовлетворить потребности современного бизнеса за счет новых функций в решениях VMware Cloud Disaster Recovery и VMware Ransomware Recovery. VMware Ransomware Recovery for VMware Cloud Disaster Recovery предлагает уверенное восстановление от критических угроз, быстрое восстановление с помощью управляемой автоматизации и упрощенные операции восстановления. Это полностью управляемое решение Ransomware Recovery as-a-Service, которое позволяет безопасно восстанавливаться от современных программ-вымогателей через поведенческий анализ включенных рабочих нагрузок в изолированной среде восстановления (IRE) в облаке.

На днях компания VMware выпустила обновленную версию Cloud Disaster Recovery с функциями Ransomware Recovery. Давайте посмотрим, что нового стало доступно пользователям в этом феврале:

1. 15-минутное RPO с частыми снимками

Потеря доступа организации к некоторым (или всем) данным может обойтись в миллионы упущенной выручки, повреждении репутации бренда и штрафах за несоблюдение нормативных требований - и это лишь некоторые из возможных последствий. По этой причине минимизация потерь данных при восстановлении давно является ключевой задачей, особенно в крупных организациях или в сильно регулируемых отраслях. Чтобы решить эту важную проблему, VMware Cloud DR и VMware Ransomware Recovery теперь поддерживают 15-минутное RPO (требование к контрольной точке восстановления), которое предоставляет клиентам большую гибкость и выбор. Эта техника позволяет делать до 96 снимков в день и поддерживает приостановку работы приложений для обеспечения их согласованности. В сочетании с глубокой историей неизменяемых точек восстановления, сохраненных в Cloud Filesystem, это предоставляет клиентам больший выбор в частоте и политиках хранения снимков. Такая гибкость важна для достижения баланса между готовностью к восстановлению и общей стоимостью владения инфраструктурой.

2. Запуск рабочих нагрузок в облаке

В случае инцидента с программой-вымогателем защищенный сайт может оставаться недоступным в течение длительного периода; например, могут проводиться исследования правоохранительными органами, или сайт еще может быть небезопасен для восстановления, поскольку он не был восстановлен и исправлен. Начиная с сегодняшнего дня, клиенты будут иметь возможность продолжать работу с очищенными виртуальными машинами в восстановленном SDDC в облаке до тех пор, пока производственный сайт не будет полностью защищен, и угрозы не будут устранены.

3. Transit Connect для репликации, переключения на резерв и возврата к исходному сайту

Расширенная поддержка Transit Connect обеспечивает улучшенную безопасность сети для клиентов, которые не могут передавать данные по общедоступным сетям из-за требований комплаенса или просто желают минимизировать риски передачи. С этим улучшением передача данных для репликации, переключения на резерв (failover) и возврата (failback) осуществляется через защищенную частную сеть, полностью изолированную от общедоступного интернета. Трафик автоматически шифруется в состоянии покоя и в процессе передачи, а правила брандмауэра на облачном шлюзе в сочетании со списками доступа на стороне VMware Cloud DR добавляют слой безопасности.

4. Улучшенное сетевое подключение

VMware Cloud DR и VMware Ransomware Recovery теперь позволяют клиентам изолировать DR-сеть от той, что используется для тестирования и восстановления. Наличие DR-сети, полностью отделенной от сети изолированной среды восстановления (Isolated Recovery Environment, IRE), предотвращает перемещение киберугроз в SDDC-датацентр восстановления, которые могли бы заразить рабочие нагрузки, если они работают в одной и той же среде. Сегментация сети, создаваемая на уровне NSX в резервном SDDC, теперь является опцией конфигурации плана DR. VMware Cloud DR и VMware Ransomware Recovery будут использовать NSX Compute Gateway для указания отдельных сетей, что позволяет операциям DR и восстановления проводиться одновременно и безопасно в одном и том же SDDC. Это также позволяет клиентам консолидировать инфраструктуру сайта восстановления без риска заражения рабочих нагрузок.

Более подробно о новых возможностях VMware Cloud Disaster Recovery можно прочитать в Release Notes.


Таги: VMware, Cloud, DR, Ransomware, Security, Update

Принцип работы технологии шифрования VMware vSAN Encryption


В блоге VirtualPad появилась интересная статья о технологии VMware vSAN Encryption. Шифрование vSAN поддерживает и гибридные, и All-Flash кластеры vSAN. Это относится к архитектуре OSA, поскольку ESA поддерживает только All-Flash для всего пула хранения.

Сейчас поддерживаются следующие методы шифрования vSAN: шифрование данных в состоянии покоя (Data-at-Rest Encryption) и шифрование данных в процессе передачи (Data-in-Transit Encryption). Оба конфигурируются независимо друг от друга и на уровне кластера. vSAN OSA выполняет шифрование на уровне всего кластера. Архитектура HCI Mesh не поддерживает шифрование данных в состоянии покоя.

Шифрование данных в процессе передачи (Data-in-Transit)

vSAN может шифровать данные в процессе передачи, когда они перемещаются между хостами в вашем кластере vSAN. Когда вы включаете такое шифрование, vSAN шифрует все данные и метаданные, передаваемые между хостами. Шифрованный трафик vSAN, проходящий между узлами vSAN, использует код аутентификации сообщений для обеспечения аутентификации и целостности, а затем применяет собственную технику для шифрования трафика vSAN.

Процесс шифрования трафика между узлами в кластере vSAN можно свести к трем основным шагам:

  • Создается TLS-соединение между узлами vSAN для обмена трафиком
  • Узлы vSAN создают общий пароль (secret) и прикрепляют его к текущей сессии
  • Общий секрет используется для установления сессии шифрования с аутентификацией между узлами

Шифрование данных в состоянии покоя (Data-at-Rest)

Шифрование данных в состоянии покоя vSAN надежно шифрует данные vSAN с использованием AES-256, когда они записываются на кэш и устройства емкости. При использовании этого метода мы получаем следующее:

  • Шифруются данные, находящиеся на устройствах кэша и дисковой емкости
  • Поддерживаются конфигурации All-Flash и Hybrid
  • Исключается необходимость в самошифрующихся дисках
  • Проверено на соответствие FIPS 140-2

Разумеется, выбор шифрования данных в состоянии покоя требует либо сервис управления ключами (Key Manager Service, KMS), либо собственного провайдера ключей vSphere (Native Key Provider, NKP) и конфигурируется на уровне кластера.

Шифрование данных vSAN в состоянии покоя (D@RE) помогает защищаться от ситуаций потери или кражи устройства. Шифрование D@RE в vSAN работает отдельно от шифрования виртуальных машин vSphere (VM Encryption).

Шифрование D@RE в vSAN является процессом реального времени, который шифрует данные до того, как они попадают на диск. Данные никогда не хранятся на диске в незашифрованном состоянии. Если в среде используется дедупликация и сжатие или только сжатие, шифрование происходит после операций дедупликации и сжатия или только сжатия, что позволяет клиенту использовать преимущества экономии места перед шифрованием. Когда данные читаются, они расшифровываются в процессе передачи и возвращаются в гостевую операционную систему. Ну а данные на диске остаются в зашифрованном состоянии.


Таги: VMware, vSAN, Encryption, Security

Службы VMware SD-WAN Enhanced Firewall Services - для кого это, какие проблемы решают и как работают?


Полтора года назад мы писали о платформе VMware SASE, которая построена на базе технологии программно-определяемых сетей SD-WAN. Концепция SD-WAN позволяет виртуализовать WAN-сети в целях отделения программных сетевых служб от оборудования и оконечных устройств, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках. Для решения проблем безопасности современной распределённой корпоративной сети, включая рост объема сетевых сервисов на периферии сети, VMware предлагает услугу VMware SD-WAN Enhanced Firewall Services...


Таги: VMware, SASE, EFS, Firewall, Security, Enterprise, SD-WAN

Действия до и после исправления уязвимостей в VMware Aria Automation for Secure Hosts


В решении VMware Aria Automation for Secure Hosts Vulnerability Workspace появился интерфейс выполнения действий до и после исправления уязвимостей (remediation actions).

До выпуска версии 8.14.1 в ноябре этого года администратор должен был вручную выполнять действия до и после исправления вне самого продукта VMware Aria Automation for Secure Hosts. Теперь администратор может выбирать файлы состояния для выполнения до и после применения действия по устранению уязвимости в рабочем пространстве или через API.

Например, у администратора может быть файл состояния, который включает и отключает алерты для виртуальной машины. Таким образом, с новым интерфейсом remediation actions, администратор может отключить оповещения на подчиненных устройствах и вновь включить оповещения после завершения действия по устранению уязвимостей.


Таги: VMware, Aria, Automation, Security

Сброс пароля пользователя Root в VMware vCenter Server Appliance


Давно мы не писали о сбросе паролей элементов виртуальной инфраструктуры VMware vSphere. Сегодня мы поговорим о том, как сделать это для основного компонента - виртуального модуля vCenter Server Appliance (vCSA), который построен на базе операционной системы Photon OS.

Об этой процедуре рассказали в блоге vTechSummary, приведем ее вкратце ниже.

Во время установки vCenter Server Appliance мы задаем пароль Root, с которым мы можем получать доступ в графическую консоль vCenter Management (VAMI) и командную строку.

По умолчанию задано устаревание пароля в 90 дней. Это можно изменить, выставив Password expires в значение No:

Если пройдет 90 дней, и вы не смените пароль, то при попытке логина в VAMI вы увидите вот такой экран:

Если вы просто забыли пароль Root, то будет вот так:

1. Вы помните пароль root, но он устарел

В этом случае мы сможем залогиниться в консоль VCSA и по SSH для смены пароля.

Открываем консоль VCSA, нажимаем F2, после чего мы можем ввести пароль. В этом случае устаревший пароль подойдет:

После этого переходим в раздел Configure Root Password, где можно поменять пароль:

Второй способ - это зайти в консоль сервера vCenter по SSH. Для смены пароля можно использовать следующую команду:

# passwd root

2. Вы не помните пароль root

Перезагрузите сервер vCenter Server Appliance и после того, как система Photon OS стартанет, нажмите клавишу <e>, чтобы зайти в редактор загрузчика GNU GRUB.

Найдите строчку, которая начинается словом linux, и добавьте в ее конец следующую строчку:

rw init=/bin/bash

После этого нажмите кнопку F10 для продолжения загрузки.

Затем вам нужно будет последовательно ввести две следующих команды:

mount -o remount,rw /

passwd

После этого вы сможете задать новый пароль пользователя root.

Затем последовательно выполняем две следующих команды, вторая из которых перезагрузит сервер vCSA:

umount /

reboot -f

Затем вы можете логиниться пользователем root с новым паролем.


Таги: VMware, vCenter, Security

Влияние новой подсистемы безопасности VMware vSphere на клиентские плагины


С будущим крупным выпуском vSphere компания VMware планирует ввести режим строгой безопасности для vCenter (strong security mode), отражающий позицию безопасности VMware, который будет рекомендован к применению партнерам и клиентам в их операциях по управлению виртуальной инфраструктурой.

В строгом режиме не поддерживается SHA-1 как функция криптографического хеширования. VMware рекомендует заменить ее более безопасным и поддерживаемым SHA-256. Строгий режим также поддерживает полные SSL-сертификаты в качестве механизма обмена доверием, что может повлиять на некоторые API vSphere, использующие certificate thumbprints в качестве аргументов или как часть ответа API. Такие API могут не поддерживаться при включенном строгом режиме.

Параллельно со строгим режимом будет поддерживаться совместимый режим безопасности (compatible security mode) в целях обратной совместимости. Совместимый режим все еще поддерживает SHA-1 в качестве функции криптографического хеширования и опирается на certificate thumbprints для SSL-сертификатов как на действительный источник доверия. Использование совместимого режима не будет рекомендовано. Переключение между режимами будет происходить через свойство виртуального модуля vCenter Server Appliance. Подробная информация будет предоставлена в документации следующего выпуска vSphere.

Как будут выглядеть апгрейды существующих инфраструктур?

Начиная с грядущего крупного выпуска, все новые развертывания экземпляров vCenter будут настроены с включенным по умолчанию режимом строгой безопасности. При этом будут затронуты все решения партнеров, зависящие от устаревших алгоритмов криптографического хеширования, таких как SHA-1 или MD5. Клиенты смогут переключиться на compatible-режим, но он будет считаться устаревшим и не рекомендоваться VMware.

Обновленные до следующей версии экземпляры vCenter, ранее функционировавшие в уже существующих развертываниях, будут продолжать работать в режиме совместимости, установленном по умолчанию, если клиент не переключился на строгий режим до обновления vCenter. Таким образом, VMware рассчитывает, что клиенты будут применять самые строгие настройки безопасности, доступные в настоящее время. Это изменение повлияет и на плагины vSphere Client, использующие SHA-1 при регистрации в менеджере расширений vSphere. Отказ от адаптации к требованиям режима строгой безопасности vCenter повлечет за собой риск того, что соответствующий плагин vSphere Client станет непригодным для использования.

Влияние на плагины vSphere Client

Переход с SHA-1 на SHA-256

Все партнеры VMware должны иметь в виду, что начиная с предстоящего крупного выпуска, плагины vSphere Client, использующие устаревший стандарт SHA-1, не будут поддерживаться, когда в инфраструктуре клиента включен режим строгой безопасности vSphere. Чтобы решить эту проблему и обеспечить совместимость своих решений, VMware настоятельно советует партнерам убедиться, что версии плагинов vSphere Client, которые они предлагают сейчас, поддерживают SHA-256 в качестве алгоритма шифрования.

Алгоритм SHA-1 находится в состоянии устаревания с момента выпуска vSphere 7.0 Update 1. VMware дала возможность для плагинов vSphere Client регистрироваться в менеджере расширений с использованием SHA-256 в качестве алгоритма хеширования с выпуском vSphere 7.0 Update 3. Как следующий шаг в этом процессе, для предстоящего крупного выпуска vSphere, плагинам необходимо отказаться от использования SHA-1 в качестве функции криптографического хеширования.

Переход от certificate thumbprints к полным SSL-сертификатам

Вместе с миграцией с SHA-1, функции расширений клиента vSphere постепенно переходят к использованию полных SSL-сертификатов для регистрации плагинов. Полная поддержка сертификатов была введена для Client SDK с выпуском vSphere 8.0 Update 2. Выполнение полной проверки SSL-сертификата во время SSL handshake более безопасно, чем проверка отпечатка SSL-сертификата, даже если плагин уже использует отпечаток SSL-сертификата SHA-256.

Чтобы обеспечить совместимость плагинов в обе стороны сейчас партнерам рекомендуется предоставлять свои решения с возможностью регистрации у менеджера расширений клиента vSphere, используя как сертификат, так и отпечаток. Это необходимо, потому что в некоторых средах могут быть экземпляры vCenter, которые не поддерживают сертификаты, и которые могут попытаться загрузить новую версию плагина, зарегистрированную только с сертификатом.

Например, они могут применить certificate thumbprint (используя SHA-256 в качестве алгоритма хеширования) для регистрации с vCenter, работающим на версии 8.0 U1 или ранее, и полный SSL-сертификат для vCenter 8.0 U2 или более поздней версии.

Локальные плагины уходят в прошлое

Плагины vSphere Client, основанные на устаревшей локальной архитектуре плагинов вскоре уже не будут поддерживаться. Локальные плагины были объявлены устаревшими с момента выпуска vSphere 8.0 GA, и их поддержка прекращается со следующим крупным релизом vSphere.

Всем партнерам VMware необходимо предоставить своим клиентам версию плагина, основанную на удаленной архитектуре плагинов, чтобы они могли продолжить использование партнерского решения в следующем релизе vSphere.

Переход на TLS 1.3

Начиная с предстоящего обновления vSphere, VMware будет поддерживать протокол безопасности транспортного уровня TLS версии 1.3 вместе с устаревшим TLS 1.2, который включен по умолчанию. В следующем крупном выпуске TLS 1.2 и TLS 1.3 будут сосуществовать, и конфигурация vCenter по умолчанию будет поддерживать обе версии протокола. Однако в следующем релизе vSphere будет введен настраиваемый режим vCenter, поддерживающий только TLS 1.3.

VMware настоятельно рекомендует партнерам подумать о добавлении поддержки TLS 1.3 в их плагины, чтобы эти решения нормально работали во всех конфигурациях vCenter.


Таги: VMware, vCenter, Security, Client

Анонсы VMware Explore 2023 Europe: Intel и VMware рассказали об управлении уязвимостями ниже уровня ОС


На прошедшей недавно конференции Explore 2023 Europe компании VMware и Intel рассказали о своем видении того, как в будущем будет происходить управление и контроль над уязвимостями ниже уровня ОС.

Благодаря расширенному партнерству VMware и Intel, данные телеметрии от процессоров Intel Core позволят решению Workspace ONE Unified Endpoint Management (UEM) собирать данные об уязвимостях ниже уровня операционной системы. Эта новая интеграция сочетает в себе данные на уровне чипа с автоматическим устранением проблем и возможностями отчетности Workspace ONE UEM для повышения безопасности конечных устройств.

Видео старое, но суть объясняет:

Фундаментальные уязвимости

Обеспечение безопасности современных работников является постоянной задачей, так как киберугрозы увеличиваются как в частоте, так и в сложности. На конференции VMware Explore 2023 в Лас-Вегасе команда VMware рассказала о важности принятия комплексного подхода к управлению уязвимостями и его влиянии на безопасность организации. Новая эффективная платформа управления уязвимостями предлагает не только широкий охват платформ ОС, но и глубокое понимание от уровня приложений и ОС до firmware и оборудования. Уязвимости ниже уровня ОС, или фундаментальные уязвимости, особенно опасны, поскольку они остаются незамеченными традиционными сканерами уязвимостей и могут привести к потенциально катастрофическим последствиям.

Управление уязвимостями VMware и Intel

Было анонсировано решение для создания и сбора данных о фундаментальных уязвимостях для компьютеров с Windows с процессорами Intel Core (с технологией Intel vPro или без нее). Благодаря глубокому анализу и знанию различных производителей ПК, Intel обладает уникальной способностью интерпретировать данные конфигурации с конечных устройств и обнаруживать те уязвимости, которые не находятся традиционными сканерами безопасности. Данные сопоставляются с известными фундаментальными уязвимостями и упаковываются в анализы рисков с соответствующим контекстом и деталями для идентификации и последующего устранения.

Этот улучшенный телеметрический подход на самом низком уровне поможет дополнить движок управления уязвимостями и комплаенсом для решения Workspace ONE. Этот продукт будет визуализировать данные активных событий, позволяя клиентам имплементировать более сильную стратегию безопасности конечных устройств, использующую управление уязвимостями как выше, так и ниже уровня ОС. Новые данные об оборудовании не только дадут клиентам большую видимость их парка устройств, но и соберут более богатый контекст для повышения эффективности оценки уязвимостей и их устранения.

Бета-версия Intel Chip to Cloud

Облачная служба Intel Device Health скоро будет доступна в портале программы раннего доступа VMware Anywhere Workspace Early Access.

Если вы уже являетесь участником программы раннего доступа, вы можете выбрать бета-версию Intel Chip to Cloud в своем пользовательском профиле, когда она станет доступной. Бета-программа будет включать возможности анализа уязвимостей вместе с интеграцией Intel vPro Chip to Cloud. Если вы еще не являетесь участником, вы можете зарегистрироваться здесь.

Также рекомендуем посмотреть сессию по управлению уязвимостями "Решение загадки риска: управление уязвимостями, воздействием и устранением [EUSB1597BCN]".


Таги: VMware, Explore, Intel, Security

Самое время обновить VMware Tools - описание уязвимостей VMSA-2023-0024


Компания VMware недавно выпустила бюллетень безопасности VMSA-2023-0024, в котором описываются уязвимости CVE-2023-34057 и CVE-2023-34058, обнаруженные в различных версиях пакетов для гостевых ОС VMware Tools.

Надо отметить, что первая уязвимость затрагивает локальное повышение привилегий, а вторая - обход токена безопасности, что является критическими типами дыр в безопасности.

Используя уязвимость CVE-2023-34057, локальный пользователь MacOS может повысить свои привилегии в виртуальной машине до административных (критичность 7.8). Ну а в CVE-2023-34058 рассказывается о том, как можно обойти проверку сигнатуры SAML в токене безопасности (критичность 7.5).

Вот какие версии VMware Tools были затронуты, поэтому если у вас они используются, рекомендуется срочно обновить их:

Более подробно обо всем этом рассказано тут. Проверить версию VMware Tools для всей вашей виртуальной инфраструктуры наиболее удобно с помощью утилиты RVTools.


Таги: VMware, Tools, Security

VMware рассказала о критической уязвимости VMSA-2023-0023 - затронуты службы vCenter Server


24 октября компания VMware выпустила критическое уведомление о безопасности VMSA-2023-0023 (уязвимости CVE-2023-34048 и CVE-2023-34056), в котором рассматриваются обнаруженные и устраненные уязвимости безопасности в vCenter Server, которые присутствуют в продуктах VMware vSphere и Cloud Foundation.

Эти уязвимости связаны с управлением памятью и ее повреждением (Out-of-Bounds Write Vulnerability), которые могут быть использованы для удаленного выполнения кода против служб VMware vCenter Server.

Матрица реагирования на обнаруженную уязвимость для разных версий vCenter выглядит следующим образом:

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
VMware vCenter Server
8.0
Any
CVE-2023-34048, CVE-2023-34056
9.8, 4.3
Critical
 
None
VMware vCenter Server
8.0
Any
CVE-2023-34048
9.8
Critical
 
None
VMware vCenter Server
7.0
Any
CVE-2023-34048, CVE-2023-34056
9.8, 4.3
Critical
 
None
VMware Cloud Foundation (VMware vCenter Server)
5.x, 4.x
Any
CVE-2023-34048, CVE-2023-34056
9.8, 4.3
Critical
 
None

Более подробная версия о том, какие обновления следует поставить, приведена тут.


Таги: VMware, vCenter, Security

Анонсы VMware Explore 2023: Tanzu Application Engine


Продолжаем рассказывать об анонсах новых продуктов и технологий, которые были сделаны на проходящей сейчас конференции VMware Explore 2023 в Лас-Вегасе, которая многие годы является главным событием в сфере виртуализации.

VMware Tanzu Application Engine предназначен для введения уровня абстракции, ориентированного на приложения, чтобы позволить им работать с постоянным операционным управлением и соответствием стандартам — как внутри облаков, так и между ними. Модель абстракции создает четкое разделение обязанностей между заинтересованными сторонами: разработчики смогут сосредоточиться на своих приложениях, не беспокоясь о деталях инфраструктуры, инженеры платформ смогут сосредоточиться на управлении и эксплуатации инфраструктуры в разных масштабах, а операторы смогут определять конфигурации для соответствия требованиям управления и стандартам организации.

Tanzu Application Engine ставит своей целью решение важных проблем для каждого из заинтересованных лиц, участвующих в выводе современных приложений в продакшен — в командах по приложениям, платформе и операциям.

  • Разработчикам приложений предоставляется возможность самообслуживания для доступа к утвержденным средам приложений, называемым VMware Tanzu Application Spaces, что уменьшает когнитивную нагрузку, связанную с операциями в инфраструктуре, и ускоряет процесс релиза продуктов. Tanzu Application Engine также ставит своей целью позволить разработчикам приложений управлять и масштабировать свои приложения, даже когда инженеры платформы обновляют и поддерживают основные кластеры Kubernetes и связанную с ними инфраструктуру и ресурсы, предоставляя обеим командам пространство для работы и оптимизации приложений.
  • Инженерам платформы могут пригодиться стандартизация и автоматизация полного цикла, позволяющая формировать и управлять средами приложений и основной инфраструктурой. Tanzu Application Engine разработан, чтобы позволить инженерам платформы повторно использовать, обновлять и управлять библиотекой профилей Tanzu Application Space, где находятся сформированные среды приложений, которые соответствуют текущим и будущим потребностям в области безопасности, производительности и стоимости содержания. Другие цели включают в себя возможности создавать резервные копии и восстанавливать Tanzu Application Space, а также обеспечивать бесперебойные обновления кластера.
  • Операторы инфраструктуры (например, NetSec и операторы сервисов) могут определять необходимые конфигурации для достижения максимальной управляемости и соответствия стандартам для приложений, работающих в цикле Dev-Test-Stage-Prod и различных облачных вариантах использования. Автоматизированные API самообслуживания позволяют организациям смещать безопасность влево, не возлагая всю нагрузку на разработчиков. Например, оператор безопасности может определить конфигурации и политики, связанные с защитой данных для соответствия стандартам PCI DSS, в то время как оператор может формировать классы сервисов, облегчающие разработчикам приложений или операторам приложений запрашивать и байндить экземпляры сервисов, такие как базы данных, очереди сообщений и кэши для повышения производительности разработчиков.

С помощью Tanzu Application Engine компания VMware внедряет следующие основные принципы и технические нововведения:

  • Внимание к опыту разработчика – Tanzu Application Engine предназначен для того, чтобы стать ключевой функцией платформы Tanzu Application, усиливая фокус VMware на упрощении опыта разработчиков в рамках полного цикла и позволяя разработчикам полностью сосредоточиться на написании кода и создании приложений.
  • Баланс между простотой, гибкостью и вариативностью – простота для разработчиков быстро выводить свои приложения в продакшен, готовые или настраиваемые профили Tanzu Application Space - для операторов, и гибкость для команд платформы и эксплуатации, позволяющая выбирать из огромной экосистемы Kubernetes и дополнительных ресурсов VMware, необходимых для выполнения сложных требований приложения.
  • Абстракции и сервисы, ориентированные на приложения – Tanzu Application Engine стремится предоставить уникальные абстракции и сервисы, которые находятся между приложениями и инфраструктурой, разделяя обязанности разработчиков приложений и операторов, и позволяя приложениям работать с постоянными возможностями и политиками — в кластерах и облаках.
  • Модель сотрудничества с минимальными препятствиями – Tanzu Application Engine стремится представить модель сотрудничества с минимальным "трением", которая позволяет различным группам заинтересованных сторон, таким как инженеры платформы, NetSec и операторы служб, работать параллельно и самостоятельно вносить конфигурации в Tanzu Application Space, уменьшая неэффективность процессов, связанных с организационными единицами и ручными процессами.
  • Готовые к использованию возможности – Tanzu Application Platform стремится предоставить богатый каталог возможностей, приложений и услуг, которые можно использовать с приложениями, работающими в Tanzu Application Spaces, как с открытым исходным кодом, так и проприетарным от VMware. Это позволит инженерам платформы выбирать из огромного экосистемного набора вариантов и легче внедрять стандарты безопасности, производительности и стоимости в пространства приложений.

Этот инновационный подход представляет собой будущее облачных платформ нового поколения в корпоративных публичных облаках и может решить технические и социальные проблемы функционирования в масштабе.

Больше о решении Tanzu Application Engine можно узнать из следующих сессий проходящей сейчас конференции VMware Explore 2023:

  • MAPK2762LV – Solution Keynote: Accelerate Application Delivery for Continuous Innovation
  • MAPB2682LV – VMware Tanzu: Your Complete Application Kubernetes Platform
  • MAPB2711LV – See it Now: Integrated, End-to-End Application Delivery with VMware Tanzu
  • MAPB2781LV – Accelerate App Delivery and Centralized Management on Public Clouds

Таги: VMware, Tanzu, Kubernetes, Applications, Security

Уязвимость CVE-2022-40982 Gather Data Sampling (GDS/Downfall) для хостов VMware ESXi 8 - проверьте и обновитесь


На днях на сайте virten.net появилась информация об уязвимости CVE-2022-40982 Gather Data Sampling (GDS/Downfall) хостов VMware ESXi 8 инфраструктуры vSphere, которая может быть полезна для администраторов.

8 августа этого года компания Intel рассказала о проблеме "transient execution side-channel vulnerability" (уязвимость побочного канала при переходном выполнении), которая затрагивает определенные процессоры. В особых микроархитектурных состояниях CPU возможно раскрытие информации после transient-исполнения команд в некоторых векторных модулях исполнения, что может привести к ситуации, когда аутентифицированный пользователь может получить неавторизованный доступ к информации через механику локального доступа. Подробнее об уязвимости CVE-2022-40982 можно почитать тут.

Также вам могут быть полезны следующие ресурсы:

Чтобы понять, имеет ли ваш процессор данную дыру в безопасности, вам нужно получить о нем следующую информацию: CPU Family, Model и Stepping. Сделать это можно через PowerShell с помощью скрипта Get-CPUid, который вы можете скачать здесь.

Если вы посмотрели на вывод колонок и узнали там свой процессор из таблицы, а в колонке на сайте Intel увидели значение "MCU", то вам нужно накатывать обновление микрокода вашего сервера для защиты от угроз данного типа. Для получения обновления вам нужно связаться с вендором вашего серверного оборудования (например, ссылки для HP и Dell приведены выше).


Таги: VMware, Intel, Security, CPU, Hardware, ESXi

Как включить аутентификацию Active Directory / LDAP / LDAPS в VMware vSphere 8


Florian Grehl на сайте virten.net опубликовал полезную статью о том, как включить аутентификацию Active Directory / LDAP / LDAPS в инфраструктуре VMware vSphere 8. Приводим ниже ее перевод.

Эта статья описывает, как интегрировать VMware vCenter Server в вашу инфраструктуру аутентификации. Источниками идентификации могут быть развертывания Microsoft Active Directory или протокола OpenLDAP.

В комплекте с управляющим сервером vCenter Server идет внутренняя база данных пользователей, которая позволяет добавлять и управлять пользователями из пользовательского интерфейса. Управление пользователями и единый вход предоставляются встроенным компонентом Platform Service Controller. В большой среде вы, возможно, захотите подключить вашу инфраструктуру виртуализации к централизованно управляемому провайдеру идентификации.

Обратите внимание, что VMware объявила о прекращении поддержки Integrated Windows Authentication (IWA). IWA был методом аутентификации, при котором вы присоединяли vCenter Server к вашему домену Active Directory. Несмотря на то, что Active Directory все еще поддерживается для аутентификации, рекомендуется использовать AD через LDAP или идентификацию с помощью ADFS. Для дополнительной информации см. KB78506.

1. Получение сертификата LDAPS

В связи с рисками безопасности, LDAPS заменяет LDAP как новый протокол каталога. Настоятельно рекомендуется использовать LDAPS, который использует SSL для установления безопасного соединения между клиентом и сервером перед обменом любыми данными. В настоящее время в пользовательском интерфейсе vCenter нет функции получения сертификата, поэтому сертификат нужно загрузить самостоятельно.

Подключитесь к vCenter Server Appliance (или любой системе с установленным OpenSSL CLI) с помощью SSH и войдите как root. Выполните следующую команду, чтобы показать сертификат LDAP:

# openssl s_client -showcerts -connect [LDAPS-Server]:636

Эта команда отображает цепочку сертификатов и информацию о сессии SSL. Вы можете использовать либо сертификат CA, либо сертификат сервера. Использование сертификата CA имеет преимущество в том, что вам не нужно перенастраивать провайдер идентификации, когда сертификат LDAPS заменяется.

Копируем содержимое между строчками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- в текстовый файл.

После этого сохраните полученный файл с расширением .crt.

2. Добавление провайдера идентификации

  • Откройте vSphere Client.
  • Войдите как Single Sign-On Administrator.
  • Перейдите к Administration > Single Sign On > Configuration.
  • На вкладке провайдера идентификации откройте Identity Sources.
  • Нажмите ADD.

  • Измените Identity Source Type на Active Directory over LDAP.

  • Заполните остальные поля следующим образом:

Identity source name: Метка для идентификации (нужно указать имя домена)

Base distinguished name for users: Уникальное имя Distinguished Name (DN) начальной точки для поиска на сервере каталогов. Пример: Если ваше имя домена - virten.lab, то DN для всего каталога - "DC=virten,DC=lab".

Base distinguished name for groups: Уникальное имя (DN) начальной точки для поиска на сервере каталогов.

Domain name: Ваше имя домена. Пример: "virten.lab".

Domain alias: Ваше имя NetBIOS. Пример: "virten".

Username: Пользователь домена как минимум с правами просмотра.
Если вы получаете ошибку "Invalid DN syntax.", попробуйте ввести пользователя в формате DN: "uid=administrator,cn=users,dc=virten,dc=lab".

Password: Пароль пользователя домена.

Connect to: Выберите "Connect to any domain controller in the domain", если вы хотите использовать DNS для идентификации контроллеров домена или настроить статические основные и вторичные URL. При использовании статических записей вы можете либо запрашивать локальный каталог (порт 636), либо глобальный каталог (порт 3269). (Для устаревших незащищенных подключений используйте 389/3268). Пример: "ldap://dc.virten.lab:636".

  • Нажмите "Browse" рядом с сертификатом (для LDAPS).
  • Выберите файл .crt, полученный ранее от сервера LDAP.
  • Нажмите "ADD" и завершите мастер настройки.
  • В источниках идентификации ваш LDAP должен появиться в списке, и с этого момента вы можете назначать разрешения vCenter пользователям и группам из вашего каталога Active Directory.
  • Выберите ваш AD и нажмите кнопку "SET AS DEFAULT", чтобы сделать его доменом по умолчанию для аутентификации в вашем vCenter, что означает, что каждый, кто не указывает имя домена для входа, автоматически аутентифицируется в этом домене.
  • Для входа с пользователями AD вам нужно установить разрешения. Чтобы добавить пользователя/группу AD в качестве глобального администратора, перейдите к Administration > Access Control > Global Permissions.
  • Нажмите "ADD".
  • Выберите домен и начните вводить в поле поиска User/Group, чтобы выбрать Domain entity.

  • Нажмите "OK".

Теперь вы должны иметь возможность входить с помощью учетной записи Active Directory. Чтобы решать проблемы, связанные с аутентификацией, проверьте файлы журнала на vCenter Server Appliance в папке /var/log/vmware/sso.


Таги: VMware, vSphere, vCenter, LDAP, Security, Blogs

Что нового в решениях VMware Ransomware Recovery и Cloud Disaster Recovery


Борьба с программами-вымогателями и готовность к восстановлению после катастроф продолжают оставаться в приоритете для CIO по всему миру - число атак программ-вымогателей стремительно растет, требования к соблюдению нормативов вынуждают организации внедрять меры по обеспечению аварийного восстановления инфраструктуры.

VMware предлагает предприятиям готовые возможности, чтобы удовлетворить потребности современного бизнеса за счет новых функций в решениях VMware Cloud DR и VMware Ransomware Recovery.

Готовность к восстановлению средствами VMware Cloud DR - быстрое переключение и восстановление, оптимизированная стоимость владения

До сегодняшнего дня, когда клиенты сталкивались со сценарием DR, у них была только одна возможность - включить восстановленные виртуальные машины в резервном датацентре DR SDDC с помощью функции Instant Power On, при этом их диски располагались в облачной файловой системе. Затем они переносились на основное хранилище в DR SDDC через Storage vMotion.

Хотя это по-прежнему рекомендуемый подход для интенсивных по вводу-выводу или крупных рабочих нагрузок, пользователи теперь могут получить преимущества улучшенной производительности восстановления с новой функцией: Run Recovered VMs on Cloud Filesystem (запуск восстановленных машин в облачной файловой системе). Подробнее об этом рассказано тут.

С этой опцией ВМ могут продолжать работать в DR SDDC, причем их диски располагаются в Cloud Filesystem, что позволяет избежать использования Storage vMotion, что сильно ускоряет переключение в случае сбоя. Машины, работающие в Cloud Filesystem, получают защиту средствами высокой доступности (HA), а также низкие значения RPO.

Ключевые преимущества функции "Запуск восстановленных ВМ на Cloud Filesystem" включают:

  • Быстрое переключение и улучшенная производительность после восстановления: исключение использования Storage vMotion для vSAN и запуск восстановленных ВМ с дисками, по-прежнему располагающимися в Cloud Filesystem.
  • Быстрое обратное восстановление: эта новая функция устраняет необходимость создания снапшотов на базе VADP в резервном SDDC при обратном восстановлении.
  • Оптимизация TCO: для рабочих нагрузок, ограниченных объемом хранилища, требуется меньше ресурсов облачных хостов для непосредственного запуска ВМ на Cloud Filesystem по сравнению с традиционным переключением.
  • Гибкость: вы можете выбрать, какие рабочие нагрузки запускать на Cloud Filesystem, а какие - переносить в резервный SDDC с помощью storage vMotion.

Более подробно о VMware Cloud DR можно почитать на этой странице.

VMware Ransomware Recovery: быстрое и эффективное восстановление от современных атак

VMware недавно представила функцию "Bulk VM Processing" для решения VMware Ransomware Recovery. С этой функцией пользователи получают преимущества автоматизированного восстановления до 50 виртуальных машин за раз, что ускоряет время восстановления и оптимизирует ИТ-ресурсы.

Обработка машин в больших объемах работает в рамках существующего руководящего рабочего процесса восстановления от программ-вымогателей (Ransomware), который охватывает идентификацию, проверку и восстановление точек восстановления. До 500 ВМ можно включить в один план восстановления от программ-вымогателей, при этом одновременная обработка возможна для 50 ВМ в одном пакете, что позволяет сразу нескольким ВМ пройти живой поведенческий анализ для выявления предупреждений безопасности, которые могут быть использованы для очистки штаммов программ-вымогателей из скомпрометированных снимков. Вместе эти интегрированные возможности обеспечивают более уверенное и быстрое восстановление работы в случае успешной атаки программы-вымогателя.

Для более подробной информации об этом решении рекомендуем почитать FAQ и вот эту страничку на TechZone.


Таги: VMware, Cloud, DR, Ransomware, Security, HA

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16    >   >>
Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Microsoft Veeam Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Private AI vSAN Explore Workstation vDefend Backup Data Protection ONE Tanzu VCF AI Intel VCP V2V HCX Aria NSX DPU Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint SIOC Memory Troubleshooting Stretched Bugs Director ESA Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge