Компания Код Безопасности продолжает серию мероприятий о защите виртуальных инфраструктур с помощью продукта vGate R2, который автоматически настраивает объекты виртуальной среды в соответствии с политиками и защищает их от несанкционированного доступа.

В этот раз компания проводит вебинар "Особенности выполнения требований стандартов СТО БР ИББС и PCI DSS при использовании технологий виртуализации" не по функционалу продукта vGate R2, а по тому, как с помощью него можно соблюсти требования стандартов и руководящих документов в банковской сфере (СТО БР ИББС) и других финансовых организациях (PCI DSS).

Приходите - будет интересно, особенно если в вашей компании обрабатываются финансовые данные в виртуальной инфраструктуре. А если вы еще и в банке работаете - то явка обязательна.

Мы уже много рассказывали о продукте vGate R2 от компании Код Безопасности (см. наш раздел), который позволяет защитить виртуальную инфраструктуру от несанкционированного доступа, разделить полномочия администраторов и настроить компоненты vSphere в соответствии с лучшими практиками и стандартами (в том числе, российскими). Сегодня мы рассмотрим средства контроля целостности vGate.

Продолжаем рассказывать о продукте vGate R2, который является средством номер 1 для обеспечения защиты виртуальных инфраструктур VMware vSphere на российском рынке. Напоминаю, что он позволяет разделить полномочия администраторов vSphere, автоматически настроить конфигурацию хост-серверов и виртуальных машин в соответствии с лучшими практиками, стандартами, а также требованиями российских регуляторов (ФЗ 152, ИСПДн) и защитить инфраструктуру от несанкционированного доступа. Скоро, кстати, будет выпущена версия под vSphere 5 со всеми необходимыми сертификатами ФСТЭК (список сертификатов продукта тут).

Итак, что новенького. Во-первых, презентация Михаила Козлова об угрозах в виртуальной среде и о том, как с ними справляется продукт vGate R2:

Во-вторых, стала появляться информация о том, что уже начинаются претензии к госструктурам относительно соответствия требованиям ФЗ 152 их виртуальной инфраструктуры, а сертификат есть только на vSphere 4.0 Update 1. В связи с этим эта категория пользователей продолжает оставаться на старых версиях платформы vSphere и не получает новых преимуществ, имеющихся в vSphere 5. Это печально. Тем более, что у компании Код Безопасности есть продукт vGate-S R2, предназначенный как раз для госструктур, который позволит пройти сертификацию на новых версиях vSphere.

А для vSphere 4.0 U1 и с сертификатом ФСТЭК вы хрен пройдете сертификацию, так как есть много требований того же ФЗ 152, которым платформа не удовлетворяет (например, по классу К1 ПДн).

Так что сейчас самое время поставить в известность вашу службу ИБ о том, что есть такой хороший продукт vGate и начать его тестировать.

4 октября мы успешно провели мероприятие "Безопасность виртуальных инфраструктур" в рамках конференции "Инфобезопасность 2011". Обсуждение получилось весьма интересным и содержательным, а круглый стол собрал немало народу (хотя в этом году аудитория выставки в целом несколько уменьшилась).

Хочу поделиться с вами презентациями, представленными на мероприятии, среди которых наиболее интересен материал по продукту vGate R2, который предназначен для комплексной защиты виртуальных сред (подробнее тут, тут и тут).

Собственно, моя презентация:

Презентация по продукту vGate R2 от Александра Лысенко, ведущего эксперта по вопросам защиты информации, компания «Код Безопасности»:

Презентация Михаила Козлова, независимого эксперта по вопросам защиты информации в виртуальных инфраструктурах, консалтинговое агентство DevBusiness, о расчетах возврата инвестиций в покупку решения для обеспечения безопасности vGate R2 (за дополнительной информацией о расчетах обращайтесь ко мне - я дам контакт Михаила):

Чтобы попробовать продукт vGate R2, нужно запросить демо-версию по этой ссылке.

Да, совсем забыл сказать. Завтра в ЦВК "Экспоцентр" я буду вести круглый стол об обеспечении информационной безопасности виртуальных инфраструктур на конференции-выставке Инфобезопасность 2011. У кого есть желание - приходите, вход там бесплатный, но нужно получить свой билетик здесь.

Сам круглый стол всего полтора часа - особо не поговоришь (тем более, что там еще 5 экспертов, некоторые из которых хорошо вам знакомы). Но - я думаю потом, если кому надо, я могу некоторое время пообщаться, но тоже недолго, т.к. потом уматываю в башню Полонского на очередную бесперспективную продажу. Приходите, в общем.

В прошлой заметке мы уже писали о защите персональных данных с помощью продукта vGate R2, который позволяет настроить вашу инфраструктуру vSphere в соответствии с целым набором стандартов и требований (в том числе, российских - ФЗ 152, СТО БР ИББС и многих других), а также обеспечить защиту от НСД. В этом смысле продукт vGate R2 просто незаменим и не имеет аналогов на рынке (учитывая специфику российских регуляторов в сфере ИБ).

Сегодня я хочу обратить внимание еще на две статьи Маши Сидоровой о защите персональных данных и соответствии требованиям PCI DSS:

• СТО БР ИББС: защита персональных данных при использовании технологий виртуализации в банках
• Приведение виртуальных инфраструктур банков в соответствие требованиям PCI DSS

Несмотря на то, что статьи рекламные, в них есть много полезной информации о том, зачем вообще нужно интересоваться проблемами ИБ своей инфраструктуры VMware vSphere.

Ну и из новенького - еще одна брошюра по vGate-S R2 о требованиях законодательства в этой сфере:

Автор: Андрей Луценко

Во время анонса новых 22нм-процессоров Ivy Bridge была описана технология защиты от повышения уровня привилегий SMEP (Supervisory Mode Execute Protection).

Данная технология контролирует уровень привилегий исполняемого кода, размещенного в адресном пространстве, выделенном для работы программам (Applications) .

Фактически на аппаратном уровне блокируется классическая атака, нацеленная на повышение уровня привилегий, необходимая для получения доступа к системным ресурсам.

Хотя данная аппаратура представлена только сейчас, но в официальной документации фирмы Intel это архитектурное решение уже нашло документальное отражение. В новой редакции документации (том 3А), датированной маем 2011г., имеется полное описание работы данного оборудования.

В начале года на нашем сайте была опубликована статья, описывающая новые методы проактивной антивирусной защиты. В данной статье был среди прочего представлен аналогичный метод контроля за повышением уровня привилегий. К настоящему времени этот метод запатентован в России автором статьи совместно с фирмой «ЛАН-ПРОЕКТ».

От VM Guru: вроде как наш автор Андрей намерен несколько подискутировать с компанией Intel по поводу данной темы (я так понимаю, по поводу патентов - их у него не один). Как только станут известны подробности - мы их опубликуем здесь.

Продолжаем вам рассказывать о средстве номер 1 для обеспечения информационной безопасности VMware vSphere - vGate R2 от Кода Безопасности. Напомним, что это средство позволяет автоматически настраивать компоненты vSphere в соответствии с регламентами и стандартами, а также обеспечивать защиту от несанкционированного доступа.

Сегодня мы поговорим о защите персональных данных (ПДн), которая является головной болью специалистов службы ИБ предприятия (ФЗ 152). Как многие из вас знают, при автоматизированной обработке ПДн защищенность информационной системы при использовании технологий виртуализации должна соответствовать требованиям российского законодательства.

В этой сфере есть несколько законов, постановлений и руководящих документов, которые актуальны на сегодняшний день:

Все эти документы не делают различия между физической и виртуальной средой. При этом в виртуальной инфраструктуре vSphere есть очень много новых рисков ИБ, о которых может не знать важа служба ИБ предприятия. Кроме того, в этих документах требования, зачастую, весьма неконкретны, поэтому непонятно, как их вообще выполнять, учитывая неоднозначность толкования.

Например: согласно документу ФСТЭК нужно регистрировать вход-выход пользователей из системы, которая имеет доступ к ПДн. Очевидно, что это может быть виртуальная машина с этой системой. Но к ПДн имеет доступ также гипервизор хост-сервера (в том числе к выключенным машинам) - и значит операции по работе с ним (например, вход в консоль ESX / ESXi) также надо правильно регистрировать.

Еще пример: требования к очистке (обнулению, обезличиванию) освобождаемых областей оперативной памяти информационной системы и внешних накопителей в условиях виртуальной среды также должны быть дополнены такими операциями, как очистка освобождаемых областей оперативной памяти после завершения работы ВМ и дисков виртуальных машин при их удалении.

Наиболее жесткие требования к обеспечению защиты персональных данных предъявляются к информационным системам персональных данных (ИСПДн) класса К1, для которых процедура оценки соответствия является обязательной, а использу-
емые технические средства защиты информации должны иметь сертификат ФСТЭК по уровню не ниже НДВ 4.

К таким организациям относятся медицинские учреждения (данные о состоянии здоровья - категория 1), а также финансовые и телекоммуникационные компании. Российское законодательство любые организации, осуществляющие обработку персональных
данных, признает оператором персональных данных.

А теперь подумайте, как вручную настроить конфигурацию виртуальной инфраструктуры vSphere, чтобы она соответствовала всем руководящим документам? Ведь сама vSphere имеет сертификат ФСТЭК только для версии vSphere 4.0 Update 1 и у нее нет сертификата по НДВ, что автоматически делает ее средства обеспечения ИБ неприемлемыми для ПДн категории К1 (то есть всех медучреждений, где в ВМ хранятся данные о пациентах). И даже если вы сами сможете настроить все правильно, то представляете каковы будут эксплуатационные затраты на настройку при развертывании новых систем или изменении старых. А помимо общих документов, есть еще и специфические отраслевые стандарты вроде СТО БР ИСПДн (Банк России) и прочие.

Соответственно вам нужно автоматизированное средство vGate R2, у которого есть все необходимые бумаги и сертификаты. Например, в vGate R2 есть политики для настройки инфраструктуры vSphere по российским РД и стандартам (СТО БР ИСПДн, АС разных классов, шаблон политик под ФЗ 152 и др).

Что вы можете почитать на тему защиты ПДн в виртуальной инфраструктуре с помощью vGate R2:

• Выполнение требований законодательства по защите информации государственными компаниями при использовании технологий виртуализации
• Перенос информационных систем персональных данных в виртуальную инфраструктуру
• Выполнение требований СТО БР ИББС в части защиты персональных данных при использовании технологий виртуализации

Ну и в комментариях спрашивайте о том, что вас интересует в части защиты персональных данных и соблюдения стандартов с помощью vGate R2. Поможем.

Продолжаем нашу серию статей о продукте номер 1 - vGate R2, который необходим для защиты виртуальных инфраструктур VMware vSphere. Напомним, что продукт позволяет автоматически настроить среду виртуализации (хост-серверы и ВМ) в соответствии с регламентами и стандартами информационной безопасности, а также защитить инфраструктуру от несанкционированного доступа. Сегодня мы поговорим об администрировании продукта со стороны службы ИБ предприятия.

Мы уже писали о том, что продукт vGate R2 от компании Код Безопасности (который нужен для автоматической настройки безопасности и защиты от НСД)  стал победителем Конкурса продуктов сразу в двух категориях: номинации Access control (Контроль доступа) и номинации «Best of Show».

Вот хорошая презентация с этого конкурса:

Ну и вот эта презентация тоже добавляет некоторых знаний о безопасности виртуальной инфраструктуры:

Вообще, штука такая, что продукт vGate R2 нам начинает нравиться и мы начинаем его поставки, так что обращайтесь.

И не забудьте прийти на вебинар о vGate R2: "Выполнение требований законодательства по защите персональных данных", который состоится 23 сентября в 11:00.

И скоро опять будет традиционный розыгрыш призов!

Напоминаю вам, коллеги, что 23 сентября в 11:00 состоится важный и нужный вебинар "Выполнение требований законодательства по защите персональных данных" от компании Код Безопасности, которая делает самый лучший продукт для защиты виртуальных инфраструктур VMware vSphere - vGate R2. Горячо рекомендую.

Тема мероприятия - как привести вашу инфраструктуру в плане безопасности к защищенной среде, которая будет соответствовать не только отраслевым стандартам, но и требованиям регулирующих органов. Скоро это будет очень важно.

Кстати, по оценочной шкале Anti-Malware продукт vGate R2 получил 9 из 10 баллов и стал победителем конкурса Virtualization Security Group Russia (тот же Deep Security от Trend Micro получил 8,5 баллов). Кстати, мы реально заметили существенное повышение интереса к этому продукту в последнее время.

Ну и еще из новостей по продукту:

Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate-S R2 сертификационных испытаний и получении им сертификата ФСТЭК России, согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Таким образом, продукт vGate-S R2 стал первым и единственным в России сертифицированным средством защиты государственной тайны от несанкционированного доступа в виртуальной среде.

Так что, в общем, не тупите, покупайте vGate R2 - пригодится. Купить можно через нас.

Многим из вас известно средство номер 1 для защиты виртуальных инфраструктур VMware vSphere - продукт vGate R2 от компании Код Безопасности. У него две основных сферы применения - автоматическая настройка виртуальной среды в соответствии с лучшими практиками и отраслевыми стандартами на базе политик, а также создание инфраструктуры защиты от несанкционированного доступа.

Обратите внимание, vGate R2 полностью российская разработка, он сертифицирован ФСТЭК, поддерживает ESXi и может использоваться даже там, где охраняют гостайну. Кстати, сходите на вебинар о ФЗ 152 по этому поводу в сентябре.

Мы уже много писали о возможностях, развертывании и других аспектах функционирования средства vGate R2, а в этом посте мы постараемся собрать некоторые ответы на часто задаваемые вопросы о продукте со стороны интересующихся безопасностью в своей инфраструктуре VMware vSphere 5.

Нажимаем читать дальше.

Q: У VMware есть средство vShield для защиты виртуальной инфраструктуры vSphere, зачем нам vGate R2?

A: Если вы заглянете в эту заметку, вы поймете, что vShield 4.x - это просто средство межсетевого экранирования различных типов, а vGate R2 - это комплексное средство для защиты виртуальной среды vSphere: мы можем настроить всю инфраструктуру в соответств
Таги: Security Code, vGate, Обучение, Security, VMware, vSphere, ESX, ESXi

Безопасность StarWind Enterprise iSCSI. Часть 2.

Мы уже писали о некоторых аспектах настроек безопасности в StarWind Enterprise HA - продукте номер 1 для создания отказоустойчивых хранилищ для серверов VMware vSphere и Microsoft Hyper-V на базе протокола iSCSI (у нас об этом продукте есть целый раздел).

Сегодня мы поговорим о еще некоторых рекомендациях и условиях применения, в которых применяются различные техники обеспечения ИБ.

1. Самая очевидная рекомендация - разделяйте сеть iSCSI для хранения данных для хост-серверов и сеть производственной среды, где работают компьютеры и пользователи. Желательно физически. Если это невозможно - используйте VLAN или PVLAN'ы.

2. Помните, что  iSCSI протокол поддерживает списки контроля доступа (Access Control Lists, ACL-листы). Это не самый надежный метод обеспечения ИБ, но в кобинации с аутентификацией CHAP дает неплохую защиту от НСД. Это убежет вас от IP-спуфинга и прочей ерунды.

StarWind поддерживает как однонаправленную, так и двунаправленную CHAP-аутентификацию (Mutual). Последняя позволяет аутентифицироваться как со стороны таргета, так и со стороны инициатора.

3. Если у вас никак не получается разделить LAN-сегмент и сегмент сети хранения данных в вашей корпоративной сети физически или логически, имеет смысл воспользоваться протоколом IPSec, который позволяет шифровать трафик между сервером StarWind и инициаторами хост-сервера.

StarWind поддерживает протокол IPSec в туннельном режиме (когда шифруется весь пакет вместе с заголовком, где есть данные получателя, и кладется в новый пакет). Такой режим работы IPSec позволяет использовать безопасную работу с хранилищами по iSCSI даже через WAN. Со стороны хостов VMware ESX / ESXi о настройке IPSec можно узнать из KB 1021769, а со стороны StarWind в документе "StarWind iSCSI Target for Microsoft Windows:IP Security policy" (он, правда, несколько устарел, но суть осталось той же).

4. Не забывайте о политике хранения ваших ключей шифрования, чтобы полностью не потерять доступ к данным виртуальных машин.

5. Для шифрования данных виртуальных хранилищ StarWind Enterprise HA можно использовать встроенные средства Windows Server, например, BitLocker. Ранее в StarWind было свое шифрование виртуальных дисков, но они от него отказались в пользу более стандартизованного средства. Что с шифрованием хранилищ в продукте StarWind VSA - пока не понятно, может Константин в комментариях нам ответит на этот вопрос.

Напоминаю, что есть бесплатная версия продукта StarWind iSCSI, с которой можно начать знакомство с продуктом. Купить StarWind можно здесь.

Многие из вас уже пристрастились к вебинарам компании Код Безопасности, которая выпускает продукт номер 1 для защиты виртуальной инфраструктуры VMware vSphere под названием vGate R2.

Для вас - специально новая порция мероприятий. Если вы еще ни разу не слушали вебинары по vGate R2, то сейчас самое время начать и втянуться (о том, для чего нужен продукт, начните читать здесь и тут):

Вебинар: Мониторинг событий информационной безопасности в виртуальной среде.

Пятница, 26 августа 2011 г. 11:00 мск.

На вебинаре «Мониторинг событий информационной безопасности в виртуальной среде» будут рассмотрены особенности мониторинга событий информационной безопасности виртуальных инфраструктур, примеры возможных инцидентов и способы их выявления.

http://session.webinar.ru/vGateR2

Вебинар: Выполнение требований законодательства по защите персональных данных при их обработке в виртуальных инфраструктурах с использованием решения vGate R2 разработки компании «Код Безопасности».

Пятница, 23 сентября 2011 г. 13:25 мск.

На вебинаре «Выполнение требований законодательства по защите персональных данных при их обработке в виртуальных инфраструктурах с использованием решения vGate R2 разработки компании «Код Безопасности»» будут рассмотрены особенности приведения виртуальных инфраструктур в соответствие положениям законодательства по защите персональных данных.

http://session.webinar.ru/vGate

Проводит мероприятия Сидорова Мария, наша хорошая знакомая, которая умеет зарядить аудиторию разумной долей скепсиса касательно текущей защиты виртуальной инфраструктуры и дать надежду на светлое будущее за счет увлекающего рассказа о том, как все будет у вас хорошо после внедрения vGate R2.

Мы уже много писали об универсальном средстве vGate R2 для защиты виртуальных инфраструктур VMware vSphere от компании Код Безопасности. Этот продукт позволяет автоматически настроить серверы ESX / ESXi и виртуальные машины в соответствии требованиями и регламентами безопасности, а также защитить инфраструктуру от несанкционированного доступа. Сегодня мы расскажем о том, как правильно развернуть средство защиты vGate R2 в вашей тестовой или производственной среде.

Напоминаю о том, что мы продолжаем дружить с компанией Код Безопасности, которая выпускает самый лучший продукт vGate R2 для защиты виртуальной инфраструктуры VMware vSphere (в том числе на базе ESXi), который имеет сертификат ФСТЭК и даже сертифицирован для работы с данными, представляющими гостайну.

Он выполняет две нужные и важные задачи - позволяет автоматически настроить все компоненты виртуальной инфраструктуры в соответствии в отраслевыми рекомендациями и стандартами, а также защищает инфраструктуру от несанкционированного доступа.

Некоторые из вас знают, что на сайте VirtualizationSecurityGroup.Ru проходил конкурс продуктов в сфере информационной безопасности именно для виртуальных сред. Событие неординарное, учитывая специфику отрасли.

В комиссии экспертов сидело 7 серьезных мужиков и одна наша с вами хорошая знакомая (Маша Сидорова). Все они, а также посетители VirtualizationSecurityGroup.Ru выбирали лучшие продукты. И выбрали.

vGate R2 разработки компании «Код Безопасности» стал победителем Конкурса продуктов сразу в двух категориях: номинации Access control (Контроль доступа) и номинации «Best of Show».

Best of Show - это по голосованию всех, а не только экспертного совета. И еще они сделали прикольный ролик:

Основные критерии оценки продуктов экспертным советом – соответствие заявленным функциональным возможностям, наличие инновационных возможностей, удобство настройки и использования продукта, отсутствие конфликтов при взаимодействии с другими средствами и подсистемами системы управления информационной безопасностью, наличие и виды технической поддержки в России на русском языке, скорость реакции на запросы от Заказчиков, наличие «Историй успеха» и стоимость продукта.

Попробовать бесплатную версию vGate R2 можно по этой ссылке, проверить соответствие вашей инфраструктуры требованиям безопасности бесплатно можно с помощью vGate Compliance Checker тут (вот описание).

P.S. Официальный пресс-релиз и новость на сайте VirtualizationSecurityGroup.Ru.

Хотим напомнить еще раз, что продукт компании "Код Безопасности" vGate R2 - это лучшее средство для обеспечения безопасности вашей виртуальной инфраструктуры (в том числе, на базе VMware ESXi с сертфикатом ФСТЭК), а также для автоматизированной ее настройки в соответствии с требованиями ИБ.

Теперь пара новостей. Первая:

vGate-S R2 – первое в России сертифицированное средство защиты государственной тайны в виртуальной среде

Компания «Код Безопасности» объявляет об успешном прохождении продуктом vGate-S R2 сертификационных испытаний и получении им сертификата ФСТЭК России, согласно которому продукт может применяться для защиты государственной тайны в автоматизированных системах до класса 1Б включительно. Таким образом, продукт vGate-S R2 стал первым и единственным в России сертифицированным средством защиты государственной тайны от несанкционированного доступа в виртуальной среде.

Подробнее на сайте "Кода Безопасности".

Что это значит? Это значит, что если ваша организация работает с гостайной, и вы используете VMware vSphere - то у вас просто нет альтернатив, кроме как купить vGate-S R2.

Вторая новость:

Продукт vGate R2 стал победителем первого этапа Конкурса продуктов VirtualizationSecurityGroup.Ru в номинации Access Control

Продукт vGate R2 разработки компании «Код Безопасности» стал победителем первого этапа Конкурса продуктов (в номинации Access control), организованного некоммерческим объединением специалистов Virtualization Security Group Russia и порталом VirtualizationSecurityGroup.Ru.

Следующим этапом конкурса станет открытое голосование на портале VirtualizationSecurityGroup.Ru за видео-ролики, которые подготовили компаний-участники по своим продуктам. Голосование за видео-ролики по продуктам на портале VirtualizationSecurityGroup.Ru продлится десять дней. Победители Конкурса продуктов будут объявлены 4 августа на сайте организатора. По результатам двух этапов организаторы объявят победителей в трех номинациях Конкурса (Access Control, Network Protection, Antivirus/Anti-Malware), а самая оригинальная и интересная видео-презентация будет отмечена в номинации «Best of Show».

В Конкурсе также приняли участие продукты для защиты виртуальных инфраструктур компаний Cisco, HP, Trend Micro, McAfee, IBM, Symantec. Вне Конкурса были представлены продукты компаний ОКБ Сапр, Stonesoft.

Можете поддержать vGate R2 следующими действиями:

• Cмотрим презентацию по продукту на -  http://www.slideshare.net/VirtSGR/vgate-r2-virtualizationsecuritygroupru
• Смотрим видео-презентацию по продукту на - http://www.youtube.com/watch?v=X4xyW9PVNyw&feature=channel_video_title
• Голосуем за продукт в двух номинациях Access Control и Best of Show (лучшая видео-презентация продукта) на - http://www.virtualizationsecuritygroup.ru/proektyi-gruppyi/golosovanie-konkurs-produktov.html

Подробнее о конкурсе - тут и тут.

Как вы знаете, мы очень любим компанию Код Безопасности и продукт vGate R2 для обеспечения защиты виртуальных инфраструктур VMware vSphere, который они выпускают (подробнее тут). Любим мы его не только за то, что он хорошо работает и на отлично справляется как с задачей автоматизированной настройки виртуальной среды в соответствии с требованиями ИБ, так и с задачей защиты от несанкционированного доступа. Мы любим его еще и за то, что у него есть сертификаты ФСТЭК, которые так важны при общении с органами на предмет соответствия ФЗ 152.

Собственно, об этом и первая новость. Как мы уже писали, поскольку VMware vSphere 5 построена только на базе VMware ESXi, Код Безопасности выпустил версию vGate R2 с поддержкой ESXi 4.1 и подал ее на прохождение инспекционного контроля ФСТЭК.

Теперь vGate R2 этот инспекционный контроль успешно прошел:

Новая версия vGate R2 с поддержкой ESXi прошла инспекционный контроль во ФСТЭК России.

Компания «Код Безопасности» сообщает об успешном прохождении новой версии vGate R2 c поддержкой VMware ESXi Server 4.1 инспекционного контроля и подтверждении выданного ранее сертификата ФСТЭК России (№2308) на соответствие требованиям по 4-му уровню контроля отсутствия НДВ и 5-му классу защищенности от несанкционированного доступа.
Ключевыми особенностями новой версии продукта vGate R2 являются: поддержка VMware ESXi Server 4.1 и новые шаблоны безопасности по требованиям ФСТЭК для автоматизированных систем государственного сектора России, по требованиям ФСТЭК к информационным системам персональных данных и по требованиям отраслевого стандарта СТО БР ИББС (РС БР ИББС 2.3-2010). vGate R2 позволяет значительно облегчить приведение виртуальной инфраструктуры VMware, в которой обрабатывается информация ограниченного доступа, не содержащая государственную тайну, в соответствие требованиям отечественных и международных отраслевых стандартов и регулирующих органов России.

Продажа продукта vGate R2 c поддержкой ESXi откроется 1 августа 2011 года.

Скачать сертификат ФСТЭК для vGate R2 можно по ссылке:

Ну и вторая новость - по данным сайта anti-malware.ru (а это еще и информационно-аналитический центр Anti-Malware) продукт vGate R2 - хорош в плане обеспечения ИБ VMware vSphere. Об этом можно почитать в результатах тестирования продукта у этих ребят на тестовом стенде.

Эксперты Anti-Malware отметили «необходимость использования продукта vGate R2, который позволяет дополнить систему защиты от несанкционированного доступа и контроля выполнения политик информационной безопасности с учетом специфики виртуальной среды». По оценочной шкале Anti-Malware продукт vGate R2 получил 9 из 10 баллов.

В общем скачивайте и тестируйте vGate R2, все равно нужно будет это сделать рано или поздно.

Мы уже не раз писали об обновленной линейке продуктов VMware vShield (тут, тут и тут). Вместе с релизом VMware vSphere 5 компания VMware также объявила о выпуске VMware Site Recovery Manager 5 и VMware vShield 5. Сегодня мы поговорим о последнем из перечисленных продуктов.

Итак, давайте взглянем на общую картину решения VMware vShield 5:

Как мы помним, в VMware vShield есть 3 ключевых компонента:

• vShield Edge - защищающий периметр датацентра.
• vShield App with Data Security - защищающий виртуальные машины на хост-серверах VMware ESXi (контроль трафика по портам и протоколам). Обратите внимание, что появился новый компонент Data Security (его, кстати, будут давать бесплатно ко многим продуктам).
• vShield Endpoint - ПО, построенное поверх VMsafe API, позволяющее сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere 5.

Всеми этими компонентами в той или иной степени управляет VMware vShield Manager, который представляет собой надстройку к VMware vCenter.

Теперь взглянем на список новых возможностей VMware vShield 5 (которые соответствуют потребностям заказчика из левой колонки):

По сути, в vShield 5 появилось 3 новых ключевых возможности. Рассмотрим их детальнее.

1. Система обнаружения конфиденциальных данных для соблюдения стандартов и нормативов.

Эта функциональность реализована в компоненте vShield Data Security 5, который поставляется вместе с vShield App 5 (который, в свою очередь, является виртуальным модулем - Virtual Appliance и работает на каждом хосте ESXi). Это продукт позволяет обнаруживать конфиденциальные данные (таких как информация о банковских картах, личные данные) которые могут быть сохранены внутри документов в виртуальных машинах (это делается за счет технологии Data Loss Prevention от RSA, DLP, которая может выявлять данные из файлов, например, PDF). На базе этого анализа делается заключение о данных, нуждающихся в защите с помощью политик безопасности. Самое интересное, что это делается без агентов.

Далее организации могут выбирать из более 80 шаблонов нормативных требований, таких как PII (личные данные), данные держателей карт PCI-DSS и PHI (защищенные медицинские данные), из различных стран (Северная Америка, Европа, Ближний Восток и Африка, Азиатско-Тихоокеанский регион). России тут нет - для нас есть продукт vGate R2 от компании Security Code.

Эти шаблоны содержат в себе наборы определенных политик безопасности, которые можно применить к хост-серверам ESXi 5 и виртуальным машинам (для каждой отрасли свои требования). Элементы виртуальной инфраструктуры VMware vSphere 5 (datacenter, file share, resource pool, host, VM) можно просканировать на предмет соответствия этим политикам. После этого будет получен детальный отчет о том, какие объекты и в чем именно не соответствуют требованиям стандартов.

Этот механизм имеет собственный API. Далее проблемные виртуальные машины можно исправлять вручную (но это долго и муторно) либо с помощью VMware vCenter Configuration Manager (перед этим эти машины можно поместить в карантин). Российским пользователям лучше использовать продукт vGate R2, сертифицированный ФСТЭК.

2. Возможность карантина виртуальных машин.

В VMware vShield есть возможность интеграции со сторонними виртуальными модулями, в которых реализован механизм обнаружения и предотвращения вторжений (IDS/IPS-системы). Такая система, выявившая подозрительную виртуальную машину, может поместить ее на карантин за счет механизма VMware vShield App 5.

Машины, находящиеся в карантине, полностью изолированы от производственной среды, их можно исследовать и исправлять. После исправления (удаление вирусов, ликвидация угроз, приведение в соответствие политикам ИБ) ее можно вернуть снова в production.

Эта функциональность может быть использована компонентом vShield Data Security, а также сторонними поставщиками ативирусных продуктов через API.

3. Повышение эффективности антивирусных решений.

Помимо функциональности помещения виртуальных машин в карантин, теперь в полную силу заработала технология сканирования виртуальных машин на уровне гипервизора, без агентов, на предмет наличия вредоносного ПО (ранее мы об этом писали). Антивирусное решение, поставляемое в виде виртуального модуля (Virtual Appliance), находится на каждом хосте ESXi 5 и обеспечивает проверку виртуальных машин на вирусы (см. компонент vShield Endpoint), после чего ПО в этом модуле может "лечить" зараженные ВМ после помещения в карантин.

VMware vSphere 5 знает о наличии таких специальных сервисных виртуальных машин, обеспечивающих безопасность, поэтому не перемещает их между хостами за счет технологии DRS.

VMware vShield 5 можно купить по отдельным компонентам (например, vShield App), кроме того, некоторые компоненты vShield 5 идут в комплекте поставки некоторых продуктов VMware (например, VMware View - там идет Endpoint). Также все компоненты vShield 5 можно купить в составе vShield Bundle.

За более подробной информацией обращайтесь в компанию VMC, которая, в том числе, оказывает услуги по внедрению инфраструктуры безопасности для VMware vSphere 5.

Как вы знаете, на днях было объявлено о выходе платформы виртуализации VMware vSphere 5. Наше любимое средство обеспечения информационной безопасности vGate R2 от компании Security Code, безусловно, будет поддерживает ее либо еще до выхода продукта, либо сразу после него (а пока о vGate R2 почитайте тут и тут, а также про поддержку ESXi).

VMware также объявила о выходе решения VMware vShield 5 для обеспечения безопасности vSphere 5, но если вы посмотрите сюда, то увидите, что vGate является наиболее эффективным средством защиты, в отличие от нишевого продукта vShield.

А сегодня мы поговорим о том, как дополнительно можно защитить инфраструктуру VMware vSphere, в которой работает средство vGate R2, ведь помимо программных средств обеспечения безопасности, нужно обезопасить инфраструктуру еще и на физическом уровне в организациях с повышенными требованиями к ИБ и в компаниях, работающих с конфиденциальными данными. Кроме того, актуальна проблема защиты данных внутри виртуальных машин, которые для VMware являются, по-сути, "черными ящиками".

Продукт Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

• №98-ФЗ ("О коммерческой тайне")
• №152-ФЗ ("О персональных данных")
• №5485-1-ФЗ ("О государственной тайне")
• СТО БР (Стандарт Банка России)

Этот продукт можно использовать для защиты от несанкционированного доступа следующих объектов виртуальной инфраструктуры vSphere:

• Защита виртуальных машин от НСД (разграничение доступа, контроль устройств, управление политиками доступа к информации в гостевой ОС, мониторинг и аудит событий ИБ).
• Защита сервера авторизации vGate R2 (несанкционированный доступ к функциям администратора информационной безопасности). Надо отметить, что сервер авторизации также может быть физической машиной, что требует дополнительных мер по его защите (см. ПАК "Соболь").
• Защита рабочего места администратора VMware vSphere (не является компонентов виртуальной инфраструктуры, а значит требует дополнительной защиты)

Более детально о продукте Secret Net можно почитать здесь.

Электронный замок (ПАК) "Соболь"

Электронный замок «Соболь» -  это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Если виртуальные машины мы можем защитить за счет их доверенной загрузки средствами vGate R2, то физические компоненты виртуальной инфраструктуры нужно наиболее тщательно защищать от злоумышленников за счет специализированных аппаратно-программных средств. Таким средством и является ПАК "Соболь" (как видно из картинки, это специальная плата и ПО). Его можно использовать для защиты следующих объектов виртуальной инфраструктуры vSphere:

• Доверенная загрузка сервера авторизации vGate R2
• Доверенная загрузка серверов ESXi и ESX

В качестве альтернативного или дополнительного метода защиты сервера авторизации и серверов ESX / ESXi могут применяться организационные меры, заключающиеся в физическом ограничении доступа к оборудованию со стороны возможных нарушителей.

Более подробно о ПАК "Соболь" можно почитать здесь.

Все эти средства прекрасно живут и работают с vGate R2. Если есть какие-то вопросы - задавайте в каментах.

Сегодня мы поговорим о защите от несанкционированного доступа к различным компонентам инфраструктуры VMware vSphere с помощью vGate R2. Мы уже писали о том, как с помощью vGate R2 можно автоматически настроить vSphere в соответствии с политиками ИБ, а также обсуждали экономический эффект, а теперь углубимся в защиту от НСД...

На сегодняшний день есть несколько средств для анализа текущего состояния виртуальной инфраструктуры VMware vSphere на предмет соответствия требованиям информационной безопасности, а также непосредственно для обеспечения этой самой безопасности.

Наиболее популярны продукты Security Code vGate R2 и VMware vShield (у обеих компаний есть бесплатные анализаторы безопасности vSphere - vGate Compliance Checker и VMware Compliance Checker). Но, дело в том, что нужны они для совершенно разных целей. Причем vGate R2 на практике для пользователей VMware оказывается значительно полезнее vShield, поскольку последний сосредоточен только на сетевой защите (+ интеграция с антивирусами), а vGate R2 позволяет автоматически настроить среду VMware vSphere в соответствии с требованиями ИБ на базе политик, а также защитить различные объекты инфраструктуры от несанкционированного доступа. К тому же, vGate еще имеет сертификат ФСТЭК, что немаловажно для российских компаний, стремящихся обеспечить соответствие нормам ФЗ 152.

Давайте посмотрим на сравнение функциональности продуктов vGate R2 и vShield в разрезе задач по обеспечению ИБ, которые стоят перед компаниями, использующими виртуализацию VMware. Информация взята из брошюры "Cравнение функциональных возможностей vGate R2 и VMware vShield". В таблице также приведены возможности продукта TrustAccess, который также делает компания Код Безопасности.

Возможности/показатели	vGate R2	TrustAccess	vShield (App+Edge+Endpoint/Zones)
Межсетевое экранирование различных типов
Дополнительные лог-файлы событий информационной безопасности
Контроль доступа к элементам инфраструк- туры (дискреционное и мандатное управление доступом)
Автоматическое приведение конфигурации виртуальной инфраструктуры в соответствие положениям PCI DSS, VMware Security Hardening Best Practice и CIS VMware ESX Server 3.5 Benchmark
Согласование готовой виртуальной машины у администратора информационной безопасности
Запрет доступа администраторов виртуальных инфраструктур к данным виртуальных машин
Создание отчетов о произошедших событиях информационной безопасности и внесенных изменениях в конфигурацию
Создание отчетов о соответствии PCI DSS, VMware Security Hardening Best Practice и CIS VMware ESX Server 3.5 Benchmark
Создание отчетов о текущем статусе конфигурации системы безопасности
Регистрация попыток доступа к инфраструктуре
Контроль целостности и доверенная загрузка виртуальных машин
Сертификаты ФСТЭК России для защиты конфиденциальной информации и персо- нальных данных	СВТ5, НДВ4 (АС 1Г и ИСПДн К1)	МЭ2, НДВ4 (АС 1Г и ИСПДн К1)
Сертификаты ФСТЭК России для защиты государственной тайны	СВТ3, НДВ2 (АС 1Б и ИСПДн К1) *Проходит сертификационные испытания	МЭ2, НДВ2 (АС 1Б и ИСПДн К1)

Как видно из таблицы, vGate R2 обеспечивает очень много возможностей тем организациям, которые хотят правильно настроить конфигурацию VMware vSphere с точки зрения безопасности, а также защитить ее от НСД, особенно от своих собственных администраторов (для этого все действия фиксируются и попадают в отчет).

Если говорить о стоимости решения Кода Безопасности, то она вполне кокурентна:

Бесспорно, и у vShield есть несколько преимуществ перед vGate R2, ведь vGate не замахивается на нишу vShield (я бы сказал, что продукты дополняют друг друга). Но если дело касается практических задач ИБ на предприятии, то vGate R2 - куда полезнее.

Пока все обсуждают то, что из Citrix ушли ключевые люди, а 12 июля VMware объявит о своей платформе VMware vSphere 5, мы расскажем о другом.

Хорошая новость для тех, кому необходимы средства для защиты инфраструктуры виртуализации VMware vSphere. Как многие знают, есть такое семейство продуктов VMware vShield, среди которых есть средства для обеспечения безопасности виртуальных машин, хост-серверов ESX / ESXi и периметра датацентра.

Теперь суть новой промо-акции. Любой пользователь VMware, приобретающий продукт VMware vSphere до 15 сентября 2011 года, получает бесплатно 50 лицензий на VMware vShield Data Security. Кстати, не очень понятно пока, какие именно компоненты vShield включены в промо-пакет, ведь как такого продукта VMware vShield Data Security еще нет, он выйдет несколько позже. При этом по данному промо, к пакету идет бесплатно поддержка и подписка на обновления на 1 год (SnS).

Исключение из акции составляют пакеты ПО VMware vSphere Essentials и VMware vSphere Essentials Plus, которые как всегда в пролете.

Список парт-номеров и названия продуктов, участвующих в акции, приведен здесь. Так что не забывайте задать вопрос своему поставщику VMware про данную акцию.

Продолжаем вам рассказывать о средстве vGate от компании Код Безопасности, которое необходимо  для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур.

Кстати, обратите внимание, что продукт теперь называется не vGate 2, а vGate R2, и в него включена поддержка платформы VMware ESXi, на базе которой будет построена VMware vSphere 5.

На фоне грядущей ответственности за неисполнения норм ФЗ 152 продукт vGate R2 будет вам очень полезен, тем более, что он имеет сертификат ФСТЭК. Согласно сертификату ФСТЭК России №2308, программное средство защиты информации разработки компании «Код Безопасности» vGate R2 предназначено для защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, и может применяться в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

А сегодня - еще одна важная новость. В данное время продукт vGate R2 с поддержкой ESXi передан во ФСТЭК России для прохождения инспекционного контроля. Поступление сертифицированного продукта в продажу ожидается в августе 2011 года (т.е. ближе к релизу vSphere 5).

"При разработке новой версии vGate R2 мы постарались учесть все пожелания наших заказчиков. Теперь vGate R2 поддерживает ESXi-сервера, а также содержит новые встроенные наборы шаблонов для АС по требованиям ФСТЭК и для ИСПДН по требованиям СТО БР ИББС. Реализованные в новой версии vGate R2 функции значительно облегчат приведение виртуальных инфраструктур в соответствие законодательству, обеспечат непрерывность в соблюдении политик безопасности и позволят сократить затраты на обеспечение ИБ. На этом мы не останавливаемся и продолжаем дальше развивать vGate с учетом пожеланий наших заказчиков. Сегодня любой желающий может внести свой вклад в развитие vGate, предложив идею относительно развития функционала продукта на нашем сайте", - отметила Мария Сидорова, заместитель руководителя направления "Защита виртуальных инфраструктур" компании «Код Безопасности».

Свой вклад в развитие продукта vGate R2 можно внести, оставив комментарий вот в этой форме на сайте Кода Безопасности.

Скачать пробную версию vGate R2 можно по этой ссылке (вам выдадут лицензию на 60 или 90 дней). В ближайшее время мы подробно рассмотрим механизм защиты информации в виртуальной инфраструктуре VMware vSphere от несанкционированного доступа, а также расскажем о процессе установки vGate R2.

Не так давно появилось несколько интересных открытых документов по продуктам Veeam, Microsoft и VMware, о которых стоит рассказать.

Первый - детальное описание техник оптимизации памяти Dynamic Memory от Aidan Finn, пишущего о продуктах компании Microsoft. Документ "Understanding, enabling, and configuring Windows Server 2008 R2 Hyper-V Dynamic Memory for virtualised workloads".

В документе детально описана концепция Dynamic Memory, технологии, появившейся в Microsoft Windows Server 2008 R2 SP1, рассмотрены варианты ее применения и настройки, а также даны лучшие практики по ее использованию в производственной среде. Документ весьма понятный и очень нужный для администраторов Hyper-V.

Второе - несколько интересных документов от Veeam Software, выпускающей продукт номер один Veeam Backup and Replication 5 для создания систем резервного копирования VMware vSphere. Документы написаны известными блоггерами, давно пишущими о виртуализации на базе VMware.

• Continuing to Reap the Rewards of Virtualization - о том, для чего нужно решение Veeam One (мониторинг, отчетность и управление изменениями) от Scott Lowe
• VMware Recovery: 77x Faster! - интересный документ о практическом применении новейших технологий в продукте Veeam Backup: мгновенное восстановление ВМ из резервных копий, верификация резервных копий в автоматических лабораториях и восстановление отдельных объектов приложений. Все с интересными картинками.
  
• Product Review: Veeam Backup & Replication v5 - whitepaper от известного блоггера Jason Boche по флагманскому продукту Veeam.
• И не забудьте прочитать сравнение системы резервного копирования виртуальных машин Veeam Backup and Replication 5 с продуктами Symantec.

Третье - очередной документ "Project Virtual Reality Check Phase IV" от Login Consultants. Вы их уже знаете по заметкам у нас тут и тут. Коллеги сравнивают производительность различных продуктов и технологий в сфере виртуализации и выкладывают результаты в открытый доступ. На этот раз сравнивались продукты для виртуализации приложений в инфраструктуре VDI: Citrix Application Streaming (XenApp), Microsoft App-V и VMware ThinApp.

Интересно, что VMware ThinApp бьет почти все остальные варианты:

Ну и четвертое - три новых whitepapers от VMware по семейству продуктов vShield:

• The Technology Foundations of VMware vShield
• vShield Edge Design Guide
• vShield App Design Guide

На этом пока все. Кстати, интересна ли будет вам рубрика "Что почитать?" или вы сами найдете что?

Как вы знаете, есть такой хороший продукт vGate 2, который производится нашим спонсором - компанией "Код Безопасности" (об основных его возможностях можно почитать в нашей статье). Нужен он для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги, которые вы должны были бы потратить на консультантов, обучение своих специалистов и ручную настройку виртуальной среды).

Кстати, важная новость. Вышел vGate 2 с полной поддержкой VMware ESXi 4.1 (об этом мы писали тут, но продукт был еще в бете). Скачать vGate 2 для VMware ESXi можно тут.

Но сегодня мы поговорим о том, как было бы неплохо организовать безопасную инфраструктуру доступа системных администраторов VMware vSphere к различным компонентам среды виртуализации. Это нужно для того, чтобы понимать как правильно наладить контроль за серверами ESX / ESXi и виртуальными машинами со стороны vGate, а также разграничить доступ к этим объектам в рамках зон ответственности администраторов vSphere.

Логичной выглядит следующая схема построения локальной сети в контексте доступа к компонентам виртуальной инфраструктуры:

Немного опишем ее:

• Выделяем на уровне домена безопасности отдельно сеть администрирования инфраструктуры vSphere. Она содержит серверы ESX / ESXi, сервер vCenter, а также сервер авторизации vGate. Сам сервер авторизации имеет два сетевых адаптера - одним он смотрит в сети администрирования vSphere, а другим во внешнюю сеть предприятия, где находятся рабочие станции администраторов. Таким образом из последней сети в сеть управления можно попасть исключительно через сервер авторизации vGate (компоненты vGate выделены зеленым). На рабочих местах администраторов vSphere и администратора ИБ также установлены клиентские компоненты vGate.
• В отдельную подсеть нужно выделить сеть репликации ВМ (та, что для vMotion и Fault Tolerance).
• В отдельную подсеть выделяем сеть для IP-хранилищ (NFS/iSCSI).
• Ну и, само собой, сеть виртуальных машин тоже должна быть отдельной. Разделение сетей на хостах ESX / ESXi лучше делать на базе тегирования на уровне виртуального коммутатора (см. виды тэгирования).

Если взглянуть на разделение сетей со стороны сетевых адаптеров хост-сервера ESX сервера авторизации vGate, мы получим такую картину:

После конфигурирования локальной сети обязательно следует настроить маршрутизацию между подсетями, а также убедиться в наличии доступа с рабочих мест администраторов vSphere к элементам управления виртуальной инфраструктурой (vCenter и хост-серверы).

Вот основные варианты настройки маршрутизации (АВИ - это администратор виртуальной инфраструктуры):

Вот собственно и основные правила.

Первая часть статьи: Где находятся логи VMware ESX и что они значат?

В первой части статьи о файлах журнала VMware ESX (логах) мы описали их размещение и назначение. Но поскольку готовящаяся к выходу платформа VMware vSphere 5 будет построена только на базе платформы VMware ESXi (см. нашу серию статей), то сегодня мы поговорим о том, где находятся логи ESXi и как их можно посмотреть.

Если открыть консоль ESXi через консоль Tech Support Mode или по SSH мы можем увидеть следующую структуру основных логов:

• /var/log/vmware/hostd.log – это лог службы хоста VMware ESXi (host daemon - служба, управляющая хостом)
• /var/log/vmware/vpx/vpxa.log – лог агента vCenter (который управляет через агент хоста). Этого лога не будет если ESXi работает не под управлением vCenter.
• /var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)
• /var/log/sysboot.log - System boot log (лог загрузчика хоста)
• /var/log/vmware/aam/vmware_<hostname>-xxx.log - Automatic Availability Manager (AAM) logs (лог агента VMware HA). Этого лога не будет если ESXi работает не под управлением vCenter.

NB: Обратите внимание, что при установке VMware ESXi по умолчанию логи хранятся в разделе Scratch Partition, который находится в памяти в виде RAM-диска. После перезагрузки хоста - они будут удалены, если вы не настроили этот раздел для хранения, в том числе, логов.

Теперь как эти логи на ESXi можно посмотреть. Есть аж 5 способов.

1. Через DCUI (Direct Console User Interface).

В главном меню System Customization, куда вы попадаете по кнопке F2 на самом сервере, выберите пункт "View System Logs":

Также в DCUI можно по комбинации клавиш Alt+F12 увидеть лог vmkernel.

Также вы можете зайти в консоль и перейти в папку с логами (/var/logs):

2. Через веб-браузер.

Просто наберите в адресной строке https://<esxi ip address>/host, после чего введите имя пользователя и пароль root.

3. Использование Syslog-сервера для VMware ESXi.

Вы можете настроить Syslog-сервер для ваших хостов ESXi в целях организации удаленного логирования. Для этих целей вполне можно использовать бесплатный продукт vSphere Management Assistant (vMA). Подробно это описано тут:

• Enabling syslog on ESXi
• vMA в роли Syslog сервера для ESX/ESXi хостов
• Using vMA As Your ESXi Syslog Server

4. Экспорт логов через vSphere Client.

Логи можно экспортировать через vSphere Client при прямом подключении к ESXi или при соединении через vCenter. Делается это так:

Далее распаковываете выгруженный архив Winrar-ом и смотрите нужные логи.

5. Экспорт логов ESXi через PowerCLI.

Если вы используете PowerShell / PowerCLI, то можно выполнить такую команду:

Get-Log -VMHost <ESXi Host> -Bundle -DestinationPath C:\logs

Кстати, по умолчанию сообщения логов  vpxa и hostd (/var/log/vmware/vpx/vpxa.log и /var/log/vmware/hostd.log) дублируются в /var/log/messages. Если вы хотите это отключить (чтобы там было меньше флуда), используйте вот эту заметку.

Продолжаем вас знакомить с решением vGate 2 от компании Security Code, которая является нашим спонсором (вот тут описано решение, а вот тут - специальный раздел о продукте). Вкратце: vGate 2 позволяет защиту объектов VMware vSphere от несанкционированного доступа, а самое главное - позволяет автоматически настроить среду VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги). Кстати, недавно вышла версия vGate 2.3 с поддержкой VMware ESXi.

Сегодня мы поговорим о мониторинге и аудите событий информационной безопасности, происходящих в виртуальной инфраструктуре VMware vSphere. Надо сказать, что для тех компаний, которые заботятся о безопасности своих виртуальных серверов, анализировать стандартные логи, которые дает ESX и vCenter весьма муторно:

На хостах ESX структура логов (откуда мы и можем выделить события ИБ) такова:

• /var/log/vmware/hostd.log – ESX Service Log
• var/log/vmware/vpx/vpxa.log – vSphere Client Agent Logs
• /var/log/vmware/aam – VMware HA Logs
• /var/logvmkernel – VMKernel Messages
• /var/log/vmkwarning – VMKernel Warnings
• /var/log/messages – Service Console Log

На ESXi - это следующие логи:

• /var/log/vmware/hostd.log – ESXi Service Log
• var/log/vmware/vpx/vpxa.log – vCenter Agent Logs
• /var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)

Вручную разгребать и анализировать всю эту пачку весьма трудозатратно, поэтому vGate 2 дает вам возможность сделать это удобно из центральной консоли в едином Журнале событий. Но vGate 2 - это не обработчик логов на хостах VMware ESX / ESXi. За счет собственных агентов на хост-серверах он сам регистрирует все события, относящие к информационной безопасности инфраструктуры виртуализации. Это именно те события, аудит которых позволяет своевременно обнаружить и пресечь попытки несанкционированного доступа.

События безопасности регистрируются на всех серверах ESX, на которых установлены компоненты защиты vGate (агенты), а затем пересылаются на сервер авторизации для централизованного хранения. Регистрируются как события несанкционированного доступа к объектам vSphere, так и правомочные события.

Если открыть одно события из списка, мы увидим нечто подобное (доступно полное детальное описание - кто сделал, что, когда и с какого хоста):

События имеют следующие характеристики:

vGate 2 отслеживает те события, которые могут тем или иным образом повлиять на безопасность виртуальной инфраструктуры. Как примеры таких событий можно привести следующее:

• Копирование виртуальной машины
• Клонирование ВМ
• Выгрузка файлов ВМ на внешний носитель (см. "Как украсть виртуальную машину")

Также, помимо основных событий, vGate 2 регистрирует еще и события, связанные с нарушением контроля целостности (КЦ) в различных компонентах виртуальной инфраструктуры:

• На серверах ESX (папка /opt/vgate)
• На сервере авторизации (каталог установки vGate)
• На рабочей станции администратора VMware vSphere
• На рабочей станции администратора безопасности инфраструктуры vSphere

Кстати, на компьютерах внешнего периметра сети администрирования (то есть рабочих станциях с vSphere Client), на которых установлен агент аутентификации, сообщения хранятся локально в журнале при ложений Windows (Application Event Log). Для их просмотра (локально или удаленно) можно использовать Windows Event Viewer.

В этом документе вы найдете полное описание событий ИБ на хостах VMware ESX / ESXi, которые регистрирует vGate 2.

В заключение скажем, что vGate 2 имеет возможность интеграции с SIEM-системами, если таковые имеются на вашем предприятии. vGate позволяет настроить ведение журнала событий и поддерживает протокол SNMP, что позволит при необходимости перенаправить события из журнала событий vGate на удаленный сервер.

Как вы знаете, мы сотрудничаем с компанией "Код Безопасности", которая, в частности, занимается выпуском продукта vGate 2, который автоматизирует настройку виртуальной среды в соответствии с регламентами предприятия, а также руководящими документами и стандартами в этой сфере (см. тут).  Кроме того, он позволяет организовать инфраструктуру полномочного доступа к компонента виртуальной инфраструктуры VMware vSphere и защитить ее от несанкционированного доступа (см. тут).

Недавно стала доступна для скачивания бета-версия продукта vGate 2.3, который полностью поддерживает платформу VMware ESXi 4.1. А это очень важно, поскольку vSphere 5 будет построена только на базе ESXi, а ESX уйдет в прошлое (см. нашу серию статей тут). Само собой, к выходу vSphere 5 продукт vGate будет готов обеспечивать безопасность этой платформы.

Итак, прежде всего, ссылка на скачивание vGate 2.3 с поддержкой ESXi: http://www.securitycode.ru/products/demo/. В поле "Выберите продукт" выбираем "Бета-версия vGate 2 (с поддержкой ESXi)".

Для поддержки ESXi была проделана большая работа - представьте сколько всего нужно было переделать, чтобы доработать агента для хост-серверов и договориться с VMware о его сертификации для ESXi. Под "все" подразумевается настройка конфигурации хост-серверов ESXi для соответствия политикам безопасности VMware Security Hardening и другим.

Важно! Для серверов виртуализации VMware ESXi пока поддерживаются только следующие политики:

• Запрет клонирования виртуальных машин;
• Запрет создания снимков виртуальных машин;
• Список запрещенных устройств;
• Доверенная загрузка виртуальных машин;
• Запрет подключения USB-носителей к ESX-серверу;
• Очистка памяти виртуальных машин;
• Запрет доступа к консоли виртуальной машины;
• Запрет доступа к файлам виртуальных машин;
• Затирание остаточных данных на СХД при удалении ВМ;
• Запрет смешивания разных типов сетевого трафика.

Кстати, если у вас есть инфраструктура VMware View 4.5 - то vGate 2.3 ее поддерживает (в документации описано, что нужно сделать).

В продукте появилось еще несколько интересных возможностей:

• Поддержка стандартного Distributed vSwitch (dvSwitch)
• Новые политики безопасности:
  • Запрет Download файлов ВМ с привязкой к меткам
  • Запрет трафика vMotion (FT) и трафика vSphere Client
  • Затирание остаточных данных на СХД при удалении ВМ
  • Запрет доступа к консоли ВМ с привязкой к меткам
  • Соответствие стандарту PCI-DSS
• Обновлен установщик продукта, улучшено управление генерацией событий
• Сервер авторизации полностью поддерживается в ВМ
• Шаблоны настроек политик АС по ФСТЭК, ИСПДн по ФСТЭК, ИСПДн по СТО БР ИББС
• Новые отчеты по конфигурации и аудиту

Итак, скачиваем: http://www.securitycode.ru/products/demo/.

В продолжение темы "Как сбросить пароль root на VMware ESX". У Dave Mishchenko есть отличная инструкция о том, как сбросить пароль пользователя root на хосте VMware ESXi в том случае, если вы его потеряли, забыли или съели. Работает эта инструкция и для VMware ESXi 4.1 (а также 4.0 и даже 3.5). Переведем ее вкратце.

1. Допустим хост VMware ESXi у вас сейчас работает и вы можете выполнять на нем команды локально или по SSH. Тогда имеет смысл выполнить команду:

cat /etc/shadow

Видим картинку с хэшем пароля рута:

Хэш пароля - это то, что написано после root : до следующего двоеточия (само двоеточие не включается). Хэш этот нужно записать на случай, если его понадобится восстановить назад.

2. Дальше нужен какой-нибудь Linux live CD. Предлагается использовать Slax Linux Live CD.

Далее просматриваем смонтированные разделы сервера ESXi командами:

fdisk -l (смотрим подходящие FAT16 разделы, где у нас размещен загрузчик)

ls -l /mnt/sda5/ (основной, при загрузке монтируется как /bootbank)

ls -l /mnt/sda6/ (резервный, при загрузке монтируется как /altbootbank)

В случае чистой установки ESXi, картина будет такова:

Нас интересует файл state.tgz - там все, что нам нужно. Если у вас ESXi Embedded то нужен файл local.tgz (который в первом случае находится внутри state.tgz).

Распаковываем сначала state.tgz, а потом local.tgz командами gzip и tar во временную директорию. Далее заходим в ней в папку /etc и открываем в ней файл shadow командой:

vi shadow

У вас откроется что-то вроде того:

Теперь посмотрите на картинку ниже, мы удаляем хэш пароля из этого файла:

То есть убираем все то, что между двумя двоеточиями. Выходим из файла, сохранившись.

Теперь все это упаковываем назад, для чего во временной папке (туда надо подняться из /etc) выполняем такую команду (апдейтим архив изменившейся папкой):

tar -czvf local.tgz etc

Если вы используете ESXi Embedded - кладете файл local.tgz на место, откуда брали. Если обычный ESXi - снова апдейтим архив:

tar -czvf state.tgz local.tgz

И также копируем туда, где он лежит:

Перезагружаем сервер и уже загружаемся в VMware ESXi. Видим такую картинку:

Это значит - все получилось. Теперь можем заходить в консоль под пользователем root с пустым паролем. Вот такой незамысловатый способ сброса пароля на хосте VMware ESXi.