Мы часто пишем заметки о безопасности виртуальной инфраструктуры VMware vSphere и других продуктов на данной платформе (их можно найти по тэгу Security). И вот на днях я натолкнулся на интересную статью "It’s a Unix system, I know this!", в которой есть одна умная мысль, касающаяся настройки безопасности, и которую я часто пытаюсь донести до заказчиков. А именно: некорректное планирование и исполнение процедур по обеспечению безопасности может привести к еще большим проблемам как с точки зрения конфигурации виртуальной среды, так и с точки зрения самой безопасности.
Итак, обратимся к статье. Есть такая организация в штатах Defense Information Systems Agency (DISA), которая выпускает документ Security Technical Implementation Guide (STIG), являющийся руководящим документом по обеспечению безопасности для правительственных организаций. Есть подозрение, что в части виртуальных машин он сделан на основе VMware vSphere Security Hardening, однако не из самой актуальной версии последнего.
Так вот в этом DISA STIG есть пункты, касающиеся виртуальных машин, например, пункт про отключение операций Copy/Paste с гостевой ОС виртуальной машины из ОС компьютера, где выполняется vSphere Client.
Посмотрим, как рекомендуется выполнить эту процедуру:
To edit a powered-down virtual machine’s .vmx file, first remove it from vCenter Server’s inventory. Manual additions to the .vmx file from ESXi will be overwritten by any registered entries stored in the vCenter Server database. Make a backup copy of the .vmx file. If the edit breaks the virtual machine, it can be rolled back to the original version of the file.
1. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Storage. Right-click on the appropriate datastore and click Browse Datastore. Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file. Right-click the .vmx file and click Remove from inventory.
2. Temporarily disable Lockdown Mode and enable the ESXi Shell via the vSphere Client.
3. Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials. If connecting to vCenter Server, click on the desired host. Click the Configuration tab. Click Software, Security Profile, Services, Properties, ESXi Shell, and Options, respectively. Start the ESXi Shell service, where/as required.
4. As root, log in to the ESXi host and locate the VM’s vmx file.
# find / | grep vmx
Add the following to the VM’s vmx file.
keyword = “keyval”
Open the vSphere/VMware Infrastructure (VI) Client and log in with appropriate credentials.
If connecting to vCenter Server, click on the desired host.
Click the Configuration tab.
Click Storage.
Right-click on the appropriate datastore and click Browse Datastore.
Navigate to the folder named after the virtual machine, and locate the <virtual machine>.vmx file.
Right-click the .vmx file and click Add to inventory. The Add to Inventory wizard opens.
Continue to follow the wizard to add the virtual machine.
Круто, да? Это все для того, чтобы просто отключить копирование из консоли ВМ (для одной машины), которое если уж кому-то очень сильно понадобится - он сделает все равно через принтскрин или еще как.
А теперь подумаем, к чему это все может привести:
В процессе такой настройки администратор может что-то испортить.
Сотни виртуальных машин обработать таким способом очень долго и нудно.
Такая процедура открывает больше дырок, чем закрывает (администратор снимает Lockdown хоста, делает операции в шеле и тыркается по вицентру).
Контролировать исполнение процесса очень сложно - все ли локдауны были закрыты, по всем машинам ли мы прошлись и т.п.
Конечно же, есть простой и элегантный способ сделать все это сразу для всех ВМ и с помощью PowerCLI через методы, описанные в пунктах vm.disable-console-copy и vm.disable-console-paste документа vSphere Hardening Guide.
Однако те из вас, у кого в компании есть отдел информационной безопасности, знают что такое формализм этих ребят, которые может в виртуализации и не разбираются, зато прекрасно понимают, что приведенный выше гайд несколько отличается от двух строчек на PowerShell.
И, хотя это в основном касается западных организаций, в отечественных крупных компаниях тоже возникают проблемы из-за подобных процедур.
Так вот какова мораль сей басни:
При разработке руководящих документов по обеспечению безопасности виртуальной инфраструктуры поймите, какие требования являются обязательными, а какие можно реализовать факультативно (то есть не реализовывать вовсе). Минимизируйте число обязательных требований и по мере необходимости расширяйте.
Используйте последние версии руководящих документов по ИБ от вендоров и всегда обновляйте свои собственные (хотя бы с выходом мажорной версии продукта).
Максимально применяйте автоматизацию при выполнении процедур по конфигурации безопасности. В VMware vSphere и других продуктах VMware можно автоматизировать практически все.
Если выполнение требования к ИБ виртуальной среды потенциально может открыть еще больше дырок, вызвать ошибки конфигурации и причинить еще беды, подумайте - а может стоит отказаться от этого требования или переформулировать его?
Ну а если кратко - с головой надо подходить, а формализм отставить. Больше интересных подробностей - в статье.
Продолжаем знакомить вас с багами VMware vSphere 5.1 - ведущей платформы виртуализации. На этот раз мы расскажем о баге VMware vSphere Client, для чего откроем вкладку редактирования пользователя и посмотрим на его свойства:
Такую картину мы увидим в том числе и тогда, когда пользователь VMware ESXi был создан автоматически, например, при использовании функций AutoDeploy и Host Profiles. Не очень понятно, почему это пользователю при создании по дефолту гарантируются права на доступ к консоли ESXi, а вот в списке групп, где он состоит, наблюдается пустота.
Все на самом деле просто: в vSphere 5.1 поменялся подход к безопасности, а вот сделать обновление vSphere Client забыли, так как сейчас идет переход на vSphere Web Client, и никому нет дела до толстого клиента. Соответственно, аспекты этого бага таковы:
Галка "Grant shell access to this user" ни на что не влияет. Важно только, назначена ли роль Administrator пользователю (что позволит ему войти в консоль сервера).
Поле Group пустое, так как ESXi больше не использует информацию из /etc/groups, а использует свою модель пользователей и групп:
Поэтому вновь создаваемый пользователь с галкой "Grant shell access to this user" не сможет соединиться по SSH и зайти в консоль, то есть это баг UI:
Некоторые из вас, возможно, в курсе, что существует такой проект Google Authenticator, который позволяет организовать двухфакторную аутентификацию через телефон (как по СМС, так и через приложение), которая позволяет не только вводить свой постоянный пароль, но и дополнительно временно генерируемый код, что существенно снижает риски несанкционированного доступа. Возможно, кто-то из вас использует это для своей почты на GMAIL:
Данный способ аутентификации очень надежен, так как злоумышленник без вашего телефона не получит доступа к сервису, поскольку он не получит временный пароль, а украв ваш телефон, он тоже не получит доступа, так как не знает постоянного пароля. Однако и этот способ не защищает от древнейшей утилиты взлома шифров и паролей - раскаленного утюга.
Компания VMware несколько доработала этот продукт, и на сайте проекта VMware Labs появился новый флинг - ESXi Google Authenticator, который позволяет организовать двухфакторную аутентификацию для доступа к консоли хост-серверов по SSH.
Для данного механизма обеспечения дополнительной безопасности поддерживаются хост-серверы ESXi 5.0 и 5.1, при этом допускается несколько администраторов одного сервера, использующих Google Authenticator (только ESXi 5.1).
Основные возможности ESXi Google Authenticator:
Поддержка двухфакторной аутентификации как для ESXi Shell, так и для доступа через SSH.
Поддержка нескольких логинов для ESXi 5.1 и одного (root) для ESXi 5.0.
Поддержка 30-секундных кодов TOTP (меняются каждые полминуты).
Поддержка кодов аварийного логина на случай, если телефон был украден (emergency scratch codes).
Защита от атак с повторением запросов.
Технически аутентификация в ESXi Google Authenticator организована средствами модуля PAM (Pluggable Authentication Module) и специального приложения, доступного для платформ Android, iOS и Blackberry.
Не так давно мы писали о том, что компания VMware выпустила обновленную версию руководства по обеспечению безопасности виртуальной инфраструктуры VMware vSphere 5.1 Security Hardening Guide. Также мы писали о VMware Mobile Knowledge Portal (VMKP) - приложении для мобильных устройств, которое позволяет изучать различный контент VMware в целях самообразования (документация, лучшие практики, видеобзоры, обучающие материалы и прочее).
Теперь же вот новость, объединяющая эти две - руководство vSphere 5.1 Hardening Guide стало доступно на VMware Mobile Knowledge Portal:
Кстати, с тех пор, как мы писали о портале VMKP, он сильно изменился к лучшему. Теперь он:
Доступен для iPad и Android
Имеет возможность ставить оценки содержимому
Имеет возможность посылать фидбэк в VMware относительно документов или их частей
Интегрирован с Facebook and Twitter для тех, кто хочет написать о том, что читает
Имеет механизм фича-реквестинга
Скачать приложение VMware Mobile Knowledge Portal с содержащимся в нем Security Hardening Guide можно по этим ссылкам: iPad и Android.
Как многие из вас помнят, компания Citrix выпускает "клиентский гипервизор", позволяющий на одном ПК нативно исполнять несколько виртуальных машин, используя тонкий гипервизор - Citrix XenClient. У этого продукта есть отдельная ветка Citrix XenClient XT, предназначенная для организаций с очень высокими требованиями к безопасности и изоляции виртуальных машин.
Не так давно мы писали о том, что компания VMware выпустила черновик своего регулярно обновляемого руководства по обеспечению безопасности VMware vSphere 5.1 Security Hardening Guide. На днях, после двухмесячных публичных обсуждений, вышла окончательная версия документа vSphere 5.1 Security Hardening Guide с примечаниями и правками от комьюнити.
На различных вкладках документа Excel можно найти сведения о защите следующих компонентов инфраструктуры vSphere:
Виртуальные машины
Хосты ESXi
Виртуальные сети
Сервер управления vCenter Server и его БД.
Сервер vCenter Web Client
Сервер единой аутентификации vCenter SSO
Виртуальный модуль vCenter Virtual Appliance (VCSA), правда всего 3 пункта
Средство обновления vCenter Update Manager
В отличие от предыдущих версий документа, категорий стало несколько больше, а пункты в них стали как-то поконкретнее. Также отметим, что теперь появилась централизованная страничка, где будут собраны все Hardening Guides (почему-то там нет руководства по VMware View):
На днях компания VMware выпустила полезную штуку под названием vCenter Certificate Automation Tool 1.0. Как знают многие администраторы VMware vSphere в последней версии платформы (5.1) сертификаты стали играть более заметную роль, чем ранее, и теперь их приходится настраивать для различных компонентов.
Теперь же с помощью утилиты командной строки vCenter Certificate Automation Tool 1.0 (это набор скриптов) можно просто заменить сертификаты для следующих продуктов VMware:
vCenter Server
vCenter Single Sign On
vCenter Inventory Service
vSphere Web Client
vCenter Log Browser
vCenter Orchestrator (VCO)
vSphere Update Manager (VUM)
Утилита работает в интерактивном режиме, и прежде, чем приступить к работе с ней, необходимо ознакомиться с инструкциями, приведенными в KB 2041600. Также полезно будет почитать KB 2044696 (это о том, как сгенерировать сертификаты для использования с vCenter Certificate Automation Tool).
Надо отметить, что продукт поддерживает только vCenter 5.1 и его компоненты, развернутые на платформах Windows Server 2003 R2 SP2 и Windows Server 2008 R2 SP2.
Для vCenter Certificate Automation Tool есть три режима работы:
Single virtual machine (all services in one machine) - в этом случае все сервисы SSL Certificate Automation Tool развертываются в одной виртуальной машине.
Multiple virtual machines (machine per service) - каждый сервис устанавливается на отдельной виртуальной машине для выполнения функций по замене сертификатов для одного из 7 продуктов (они приведены выше).
Mixed mode (multiple services per machine) - в этом случае несколько сервисов утилиты развертываются на одной машине (где надо заменять сертификаты), а некоторые сервисы - на других.
Кроме того, напомним для интересующихся, что в данный момент разрабатывается средство vCert Manager от VSS Labs, выполняющее схожие функции (но намного больше), бета которого уже есть:
Вот какие функции по сравнению с vCenter Certificate Automation Tool заявляют авторы:
Более подробно об утилите vCert Manager можно прочитать по этой ссылке.
Представляем вам седьмую статью автора VM Guru Максима Федотенко, посвященную дополнительным режимам работы инфраструктуры виртуальных ПК. В основном все инфраструктуры виртуальных десктопов строятся для использования удаленного режима в качестве основного, поэтому локальный режим следует по умолчанию запретить для всего View Manager... Таги: VMware, VDI, Security, vSphere, Blogs
Компания VMware традиционно выпустила черновик своего руководства по обеспечению информационной безопасности виртуальной инфраструктуры - VMware vSphere 5.1 Security Hardening Guide Draft. Традиционно - потому что, как правило, VMware делает доступным черновик руководства для его публичного обсуждения, а через пару-тройку месяцев выпускает его финальную версию. Так было и с прошлой версией - vSphere 5.0 Security Hardening.
Руководство, как обычно, состоит из экселевских табличек:
Пока в документе мало что добавилось нового с прошлой версии (например, в секции виртуальных машин - ничего вообще). Обещают, что в скором времени Security Hardening Guide будет включать в себя секции с руководствами по обеспечению безопасности компонентов Single Sign-On (SSO) и vCenter Server Virtual Appliance.
В этой части статьи разберем рекомендации по настройке физических клиентских устройств. В настоящий момент все рекомендации будут касаться платформы Microsoft Windows. В случае если инфраструктура виртуальных десктопов разворачивается на предприятии, пользователю клиентского физического устройства не рекомендуется выдавать административные права на нем...
В этой части статьи разберем рекомендации по настройке взаимодействия физических клиентских устройств и виртуальных десктопов. С точки зрения информационной безопасности это важные ограничения, т.к. влияет явно на возможную передачу конфиденциальной информации между физическими клиентскими устройствами и виртуальными десктопами. Глобально пользователи должны использовать виртуальные десктопы в удаленном режиме (Remote Mode, Online). Т.е. физически виртуальные десктопы должны находиться на серверах, а не клиентских устройствах пользователей...
В рамках Phase V (они величают свои изыскания "фазами") был опубликован 80-страничный документ "Antivirus impact and best practices on VDI", в котором они сравнивают производительность различных антивирусных решений в инфраструктуре VDI (традиционно рассматривалась платформа VMware View / vSphere).
КДПВ из какого-то исследования (есть в документе):
Поэтому детально сравниваются только 3 антивируса для VDI:
Microsoft
Forefront Endpoint Protection 2010 (Now System Center Endpoint Protection 2012)
McAfee
- Enterprise 8.8.0
- MOVE Multiplatform AV 2.x
- MOVE Agentless AV 2.5
Symantec
- Endpoint Protection 12.1
Странно, что обошли стороной компанию Trend Micro с ее весьма популярным, заточеннымспециально под виртуализацию, решением Deep Security. Ну а нам было бы интересно посмотреть, как ведет себя Касперский в среде VDI. Но чего нет, того нет.
Конечно же, в документе рассмотрены и варианты развертывания, когда антивирусный агент работает за пределами виртуальных машин (за счет механизма VMsafe и EPSEC API):
В конце там много всяких графиков без окончательного вывода о том, что же все-таки лучше. Поэтому смотрите сами.
Продолжаем вас знакомить с продуктом номер 1 - vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанционированного доступа, а также имеет все необходимые сертификаты ФСТЭК. В этой статье мы приведем все актуальные на сегодняшний день возможности vGate R2...
В данной части рассмотрим рекомендации к настройке виртуальных десктопов, как собственно виртуальных машин и их параметров, так и их гостевой операционной системы. Рекомендуется виртуальному десктопу назначать только одну сетевую карту (сетевой адаптер). Во-первых, в большинстве случаев пользователю просто не нужно две сетевые карты, а, во-вторых, сетевые карты естественно будут подключены к разным сетям и могут "шунтировать" межсетевой экран и маршрутизировать пакеты между этими сетями бесконтрольно... Таги: VMware, View, Security, Blogs, Enterprise, VDI
На прошлой неделе мы писали о средстве защиты информации от несанкционированного доступа Secret Net 7, которое удобно использовать совместно с vGate R2 для защиты виртуальной инфраструктуры от НСД.
На днях компания «Код Безопасности» – российский разработчик средств защиты информации – объявила о старте продаж новой версии решения Secret Net 7, предназначенного для защиты от несанкционированного доступа к информационным ресурсам рабочих станций и серверов. Средство защиты информации от НСД Secret Net 7 получило сертификат ФСТЭК России, подтверждающий возможность использования решения для защиты конфиденциальной информации, персональных данных, а также сведений, составляющих государственную тайну.
Среди ключевых изменений и новых функциональных возможностей разработчики компании «Код Безопасности» отмечают:
Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа (НСД). Недавно мы писали о совместном использовании продукта vGate R2 со средством Secred Net для создания комплексной инфраструктуры защиты от НСД.
Совсем недавно компания "Код Безопасности" анонсировала новую версию своего флагманского решения, которая получила название Secret Net 7. Решение дает заказчикам новый уровень защищенности и удобства эксплуатации системы защиты.
Во-первых, добавился новый вариант внедрения – это более удобная схема установки сетевой версии Secret Net в организациях с филиальной структурой. В новой версии реализована поддержка ADAM/LDS, при этом решается проблема делегирования полномочий администраторам на установку и эксплуатацию СЗИ в рамках организационного подразделения или филиала. Важным изменением является возможность защиты терминальных сессий с использованием технологии "тонкий клиент" ввиду все более широкого ее распространения. Поддержка терминального режима доступа для платформ Citrix и Microsoft. Помимо прочего, в Secret Net 7 расширены возможности по контролю утечек конфиденциальной информации – теперь СЗИ обеспечивает возможность теневого копирования до операции записи информации на устройство. Кроме того, стал доступен универсальный контроль печати, позволяющий выводить гриф конфиденциальности на документы, распечатываемые из любого приложения, а также реализовано разграничение доступа к принтерам – печать конфиденциальных документов только на специально выделенных для этих целей принтерах.
В Secret Net 7 реализованы новые возможности средства централизованного управления и мониторинга. В их числе...
На днях компания Код Безопасности объявила о том, что сертификат ФСТЭК России на ПАК «Соболь» версии 3.0 был продлен до 07 декабря 2015 года. Сертификат подтверждает, что ПАК «Соболь версии 3.0 соответствует 2-му уровню контроля на отсутствие НДВ (в соответствии с требованиями РД Гостехкомиссии России) и может использоваться в автоматизированных системах до класса 1Б и в ИСПДн до класса К1 включительно.
ПАК «Соболь» версии 3.0 предназначен для реализации следующих защитных механизмов:
идентификация и аутентификация пользователей на входе в систему (непосредственно при запуске сервера);
ведение журнала безопасности;
сигнализация попыток нарушения защиты;
запрет загрузки с внешних носителей;
контроль конфигурации (PCI-устройств, ACPI, SMBIOS и оперативной памяти).
Более подробно о комплексе ПАК "Соболь" можно узнать по этой ссылке.
Продолжаем вас знакомить с продуктом номер 1 - vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанционированного доступа, а также имеет все необходимые сертификаты ФСТЭК (включая сертификаты на vSphere 5.0). Недавно мы писали о том, что продукт vGate R2 удобно применять совместно с решением Secret Net для защиты гостевых ОС виртуальных машин.
Кроме того, если на рабочем месте администратора VMware vSphere установлена система Secret Net 5.1 или выше, то для аутентификации пользователя возможно использование персонального идентификатора (e-token).
Перед его использованием на рабочем месте необходимо выполнить предварительные настройки:
1. Выполните инициализацию персонального идентификатора в Secret Net согласно документации на него.
2. Подключите персональный идентификатор к ПК.
3. Запустите агент аутентификации (см. стр. 8).
4. Введите имя и пароль пользователя, отметьте поле "Входить в систему автоматически" и нажмите кнопку "Подключиться".
После этого пароль будет сохранен в персональный идентификатор (e-token) и для администрирования VMware vSphere при последующих запусках vSphere Client больше вводить никаких дополнительных паролей не придется (при условии подключенного токена).
Таги: Security Code, vGate, Security, VMware, vSphere, Secret Net
Мы уже много писали о продукте номер 1 - vGate R2, который необходим для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности и механизмов защиты от несанкционированного доступа (НСД). С точки зрения защиты от НСД, продукт vGate R2 защищает хост-сервры виртуализации и виртуальные ресурсы (хранилища, сети, ВМ, сетевые адаптеры), которые делятся на изолированные домены безопасности в соответствии с назначенными им иерархическими и плоскими метками (2 независимых системы разделения ресурсов):
Однако vGate R2 (как, во многом, и сама платформа vSphere) рассматривает виртуальные машины как "черные ящики", внутри которых установлены различные операционные системы, которые, между тем, нуждаются в защите. Поэтому для этих целей требуются дополнительные средства защиты от НСД в корпоративной инфраструктуре, которые помогут обеспечить безопасность на уровне ОС Windows для рабочих станций, а также виртуальных и физических серверов.
Здесь вам может оказаться полезным продукт Secret Net, который является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
№98-ФЗ ("О коммерческой тайне")
№152-ФЗ ("О персональных данных")
№5485-1-ФЗ ("О государственной тайне")
СТО БР (Стандарт Банка России)
Возможности Secret Net 6 для гостевых ОС виртуальных машин:
Контроль каналов распространения конфиденциальной информации.
Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.
Оперативный мониторинг и аудит безопасности.
Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
Варианты развертывания Secret Net 6
Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
Совместное применение продуктов vGate R2 и Secred Net от одного вендора - Кода Безопасности - позволит надежно контролировать все аспекты безопасности, связанные с риском несанкционированного доступа к данным на различных уровнях: хост-серверов и виртуальных машин (vGate R2) и гостевых ОС (Secred Net).
Для осуществления делегирования административных задач пулы виртуальных десктопов отдельных клиентов, которым предоставляется услуга (возможно филиалов, других предприятий и т.п.) следует располагать в своей выделенной папке (folder) иерархии VMware View Manager. Пулы виртуальных десктопов различных типов также рекомендуется располагать в отдельных папках (folder) иерархии VMware View Manager... Таги: VMware, View, Security, Blogs, Enterprise, vSphere, VDI
Мы уже немало писали о методах и технических средствах защиты персональных данных, реализованных в продукте номер 1 - vGate R2, предназначенном для защиты виртуальной инфраструктуры VMware vSphere. А именно:
На вебинаре были представлены требования к защите персональных данных при их обработке в информационных системах, установленные только что принятым Постановлением Правительства РФ от 01.11.2012 № 1119, чем они отличаются от тех, что содержались в утратившем силу Постановлении 2007 г. № 781, что ждать дальше и что надо делать уже сегодня.
Продолжаем вас знакомить с решением номер 1 для сертифицированной защиты виртуальной инфраструктуры VMware vSphere средствами политик - vGate R2 от компании Код Безопасности. Сегодня мы поговорим о том, как работает механизм резервирования основного компонента защиты инфраструктуры vGate R2 - сервера авторизации. В стандартном режиме работы основной сервер авторизации проксирует через себя все соединения клиентов vSphere к серверам виртуальной инфраструктуры, а реплики конфигурации передает на резервный сервер...
Представляем вам очередную статью нового автора VM Guru - Максима Федотенко. В первой части статьи Максима "Рекомендации по защите инфраструктуры виртуальных десктопов, созданных на базе платформы VMware View" было рассказано о сетевой инфраструктуре в контексте безопасности VDI-решения. Во второй статье цикла речь пойдет о некоторых рекомендациях по настройкам серверов и служб технологической инфраструктуры VMware View.
Многие компании для защиты своей виртуальной инфраструктуры VMware vSphere используют продукт vGate R2 (с поддержкой vSphere 5). Мы уже много писали о способах защиты и функциональности продукта для серверов виртуализации и виртуальных машин, исполняющих серверные нагрузки. В этой заметке, мы хотим рассказать о том, какие сертификаты ФСТЭК имеет решение vGate R2, что поможет вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Кроме того сертификаты на vGate R2 позволят также подтвердить, что вы правильно защищаете персональные данные, обрабатываемые в виртуальных машинах (до 1 класса ПДн включительно).
Действующие сертификаты на vGate R2 представлены в таблице ниже:
Подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа -по 5классу защищенности (СВТ5) контроля отсутствия недекларированных возможностей- по 4 уровню контроля (НДВ4), а также может использоваться в АС до классу защищенности 1Г включительно и для защиты информации в ИСПДн до 1 классуа включительно.
Подтверждает соответствие требованиям руководящих документов в части защиты от несанкционированного доступа -по 5 классу защищенности (СВТ5) и контроля отсутствия недекларированных возможностей- по 4 уровню контроля (НДВ4), а также может использоваться в АС до классу защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно.
Подтверждает соответствие требованиям руководящего документа по 2 уровню контроля на отсутствие НДВ и технических условий, а также может использоваться для создания АС до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.
до 12.07.2014
Первый сертификат - для старой версии продукта Security Code vGate for VMware Infrastruture, который поддерживал версии vSphere до четвертой, остальные два - на vGate R2, который поддерживает платформу VMware vSphere 5, а также vSphere 4.0 и 4.1.
В отличие от стандартных средств защиты, которые есть в платформе VMware vSphere, продукт vGate R2 позволяет применять системы виртуализации в государственных и частных компаниях с высокими требованиями к безопасности и защите персональных данных. Кроме того, как известно, сертификат ФСТЭК имеет только версия VMware vSphere 4, которая на сегодняшний день уже является устаревшей, а vGate R2 уже давно имеет сертификаты ФСТЭК на vSphere 5.0 (поддержка и сертификация 5.1 на подходе).
Все это нам дает следующую табличку:
VMware vSphere 4
vGate R2
vGate-S R2
Защита персональных данных
К1
Нет
Да
Да
К2
Да
Да
Да
K3
Да
Да
Да
Применение в информационных системах государственного сектора
Компания Citrix анонсировала превью очередной версии клиентского гипервизора - XenClient 4.5 Technology Preview. Новая версия клиентского гипервизора, ожидаемая в декабре этого года, будет последователем XenClient 4.1, выпущенной в июле. Напомним, что теперь гипервизор XenClient построен на платформе приобретенного компанией Citrix продукта NxTop.
Новые возможности Citrix XenClient 4.5:
Поддержка новых моделей ультрабуков и 3-го поколения процессоров Intel vPro.
Поддержка ОС Windows 8 в виртуальных машинах.
Поддержка мультиязычности интерфейса клиента: English, French, Spanish, German, Italian, Japanese и Simplified Chinese.
Тэгирование кадров VLAN.
Возможность синхронизации с внешней сетью с использованием NetScaler, что позволяет внешним пользователям иметь доступ к компоненту Synchronizer для их удаленных инсталляций XenClient.
Увеличение скорости загрузки на 30%
Поддержка двух внешних мониторов для док-станций.
Новая технология отображения картинки, позволяющая настраивать размещение и разрешения отдельных мониторов.
Поддержка экспорта виртуальных машин.
Кроме того, был выпущен релиз специализированного клиента Citrix XenClient XT3, который предназначен для организаций с очень высокими требованиями к безопасности и изоляции виртуальных машин. Новые возможности Citrix XenClient XT3:
Компонент Management Synchronizer (Synchronizer XT), который накатывает обновления, удаленно контролирует политики виртуальных машин и работает независимо от остальных компонентов решения.
Возможность изоляции отдельных физических сетевых интерфейсов путем их назначения конкретным ВМ.
Software Development Kit (SDK), позволяющий сторонним компаниям разрабатывать решения в концепции сервисных виртуальных модулей (Linux Service VM appliances).
Поддержка второго и третьего поколений процессоров Intel vPro.
Улучшения механизмов SSL и SELinux.
Соответствие требованиям PL3 и PL4 government.
Те, у кого есть действующая подписка на один из продуктов XenClient, XenDesktop Enterprise или XenDesktop Platinum, могут загрузить XenClient 4.5 Technology Preview по этой ссылке.
Программно-аппаратный комплекс (ПАК) «Континент Т-10» представляет собой планшетный компьютер на базе процессора микроархитектуры ARM под управлением мобильной ОС Android 4.0.3 и позволяет организовать безопасный доступ мобильных пользователей через сеть Интернет (или другие сети общего доступа) к защищенным ресурсам корпоративной сети с помощью организации VPN-туннеля, данные в котором шифруются в соответствии с ГОСТ 28147-89.
ПАК «Континент Т-10» содержит VPN-клиент «Континент-АП», интегрированный на системном уровне в операционную систему мобильного компьютера. Встроенный VPN-клиент «Континент-АП» обеспечивает возможность установки защищенного VPN-туннеля с сервером доступа АПКШ «Континент» с возможностью централизованного управления правами доступа мобильных пользователей. Благодаря глубокой интеграции достигается высокая скорость VPN-соединения и прозрачность для любых приложений, работающих с сетевыми протоколами семейства TCP/IP.
Функции безопасности обеспечиваются строгой двухфакторной аутентификацией пользователя по цифровому сертификату открытого ключа, хранимого на отчуждаемом носителе MicroSD. Также поддерживается возможность запрета всех незащищенных соединений: в этом случае весь трафик мобильного устройства может маршрутизироваться на корпоративный шлюз безопасности (прокси) для приведения в соответствие с корпоративными требованиями безопасности, например, антивирусной или URL-фильтрации.
ПАК «Континент Т-10» обладает хорошей мобильностью и широкими коммуникационными возможностями. Возможно подключение к беспроводным сетям Wi-Fi (802.11 b/g/n) и сотовым сетям GPRS, 3G, 4G (LTE).Протестирована работа с сетями таких провайдеров как МТС, Билайн, Мегафон. Встроенная Li-Ion батарея емкостью 7600 мАч обеспечивает длительное время автономной работы.
Одновременно с техническим релизом продукта ПАК «Континент Т-10» компания «Код Безопасности» объявляет о старте открытой программы тестирования.
В ней могут принять участие все желающие, как партнеры, так и заказчики. В рамках программы тестирования предоставляется возможность получить для тестирования ПАК «Континент Т-10» (количество устройств, участвующих в программе, и сроки действия программы ограничены).
Совсем недавно компания Код Безопасности объявила о том, что вышла и поступила в продажу новая версия распределенного межсетевого экрана TrustAccess 1.3, предназначенного для сертифицированной защиты ключевых ресурсов сети от несанкционированного доступа.
В новую версию межсетевого экрана TrustAccess 1.3 добавлены функциональные возможности, которые позволяют повысить уровень защищенности серверов и рабочих станций в локальной сети. Так, в новой версии TrustAccess 1.3 появилась возможность централизованного сбора и просмотра событий информационной безопасности, а также построения отчетов по этим событиям и по конфигурации.
Кроме того, в список других ключевых нововведений вошли:
Расширение возможностей настройки правил доступа. При разграничении прав доступа к защищаемым компьютерам теперь может учитываться сетевой адаптер, обслуживающий подключения, и имя исполняемого файла процесса, который создает или принимает сетевые подключения, что повышает уровень защищенности.
Улучшение пользовательского интерфейса АРМ администратора TrustAccess 1.3 для более удобной и эффективной работы с большим количеством защищаемых объектов: добавлена возможность настройки правил доступа для группы защищаемых компьютеров.
Интеграция TrustAccess 1.3 с сетевой версией СЗИ от НСД Secret Net 7. При совместном использовании этих продуктов будет обеспечиваться единый вход для пользователей и автоматическое управление учетными записями в TrustAccess.
Кроме того, интересно, что есть кейсы, когда продукт TrustAccess может испоьзоваться для защиты инфраструктуры виртуализации Microsoft Hyper-V. В статье "Защита сервера Microsoft Hyper-V от несанкционированного сетевого доступа" на Хабре можно почитать о том, как этот межсетевой экран позволяет эффективно организовать логическую изоляцию сетей, нуждающихся в защите, с помощью протоколов семейства IPSec (AH и ESP).
TrustAccess легок в развертывании и настройке, имеет официальный статус совместимости с платформой, на которой работает Hyper-V (Works with Server 2008 R2) и статус совместимости рабочих мест пользователей (Compatible with Windows 7). Подробнее о продукте можно почитать тут.
Среди новых возможностей VMware vSphere 5.1 мы еще не упоминали о том, что теперь в подсистеме безопасности хост-серверов VMware ESXi 5.1 появились некоторые улучшения. Во-первых, учетным записям обычных пользователей (named user accounts) можно назначать полностью административные привилегии, чего раньше не было.
Это означает, что такие пользователи не нуждаются в использовании общего root-аккаунта при выполнении различных операций на хост-серверах ESXi (например, просмотр логов или выполнение команд esxtop и vmkfstools). То есть теперь не надо вополнять в консоли команду "su", а можно просто работать под своим административным аккаунтом. Раньше эта необходимость вызывала некоторые проблемы, так как важные операции, выполняемые несколькими администраторами, логировались как один аккаунт "root".
Для новых административных аккаунтов ESXi 5.1 нужно помнить, что:
Завести их можно только прямым соединением vSphere Client к хосту, а не через Web Client.
Для массового создания административных аккаунтов на хостах ESXi можно использовать функции Host Profiles.
Административные привилегии можно назначить пользователю (группе) из Active Directory. Для этого нужно создать группу администраторов серверов ESXi в AD, а потом добавить ее в расширенные настройки хоста ESXi. Для этого нужно зайти в Advanced Settings в vSphere Client, далее Config –> HostAgent и добавить нужную группу AD в параметр "Config.HostAgent.plugins.hostsvc.esxAdminsGroup":
Во-вторых, административные привилегии могут быть отобраны у встроенного аккаунта root, чтобы злоумышленник, в случае его получения, не мог им воспользоваться на хосте ESXi.
В-третьих, появилась возможность автоматически терминировать сущствующие неактивные сессии пользователей в консоли ESXi. Для настройки этого параметра нужно зайти Advanced Settings в vSphere Client, далее UserVars и выставить там следующее значение в секундах:
UserVars.ESXiShellInteractiveTimeOut
Как многие помнят, в vSphere 5 была расширенная настройка UserVars.ESXiShellTimeOut, которая задавала таймаут в секундах, по прошествии которого доступ к ESXi Shell или SSH, будучи включенным однажды - автоматически отключался:
То есть, по прошествии этого времени нельзя уже зайти на хост ESXi, и администратору не нужно заботиться об отключении сервиса. Однако все его сессии, если он их не прекратил продолжали работать, что может быть небезопасно.
Поэтому в ESXi 5.1 и появилась дополнительная настройка ESXiShellInteractiveTimeOut, которая определяет время, по истечении которого пользователь неактивной консоли (DCUI или SSH) будет автоматически разлогинен.
Данная статья посвящена аспектам защиты инфраструктуры виртуальных десктопов, построенной на базе программного обеспечения VMware View. На текущий момент у VMware отсутствуют рекомендации по обеспечению защиты инфраструктуры VMware View наподобие Hardening Guide для VMware vSphere. Точнее сказать они есть, но разрозненны и находятся в различных документах. В части 1 статьи попытаемся рассмотреть рекомендации, которые могут предъявляться к сетевой архитектуре инфраструктуры виртуальных ПК.
Продолжаем знакомить вас с продуктом vGate R2 от компании Код Безопасности, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Сегодня мы поговорим о системных требованиях продукта. Напомним, что решение vGate R2 состоит из следующих компонентов...
RSS
