На проходящей сейчас конференции Citrix Synergy, было сделано несколько интересных анонсов компанией Citrix. В частности, среди них две важные новости - выпуск технического превью клиентского гипервизора Citrix XenClient 2.0 и выпуск его релизной версии Citrix XenClient XT 1.0 (будет доступна в июне). О том, что такое Citrix XenClient вы можете прочитать в наших заметках тут, тут и тут.
Expanded Hardware Compatibility – поддержка в три раза большего количества ПК и ноутбуков для установки продукта. Кроме того, добавлена поддержка второго поколения процессоров Intel Core vPro. Напомним, что список совместимости с Citrix XenClient (HCL) находится здесь.
Expanded Graphics Support – расширенная поддержка графики Intel HD Graphics на процессорах Intel Core 2nd Generation, а также поддержка дискретных графических технологий от AMD, включая видеоадаптеры FirePro и Radeon.
Новая версия компонента Synchronizer – обновление компонента, отвечающего за синхронизацию виртуальных ПК пользователя с VDI-инфраструктурой датацентра. Теперь возможности синхронизации станут шире, что позволит наиболее быстро синхронизировать ПК, приложения и данные.
Simplified User Experience – за счет комбинации с новой версией Citrix Receiver, XenClient 2 получать большую производительность и качество отображения своих виртуальных ПК.
Скачать Citrix XenClient 2.0 technical preview можно по этой ссылке.
Extreme Desktop Isolation - улучшения в плане безопасности, касающиеся изоляции виртуальных ПК и их сетей на одном клиентском устройстве, что позволяет создавать защищенные окружения (например, для домашней и рабочей виртуальных машин на одном ноутбуке).
Extreme Security - опять-таки, улучшения безопасности, связанные с возможностями платформы Intel Core vPro. Это включает в себя технологию доверенной загрузки на базе Intel Trusted Execution Technology (TXT), где проверяется конфигурация XenClient при каждой загрузке.
Вы все уже давно поняли, что нужно думать о безопасности виртуальной инфраструктуры VMware vSphere. Лучше всего думать о ней таким способом: попробовать продукт vGate, который автоматизирует настройку виртуальной среды в соответствии с регламентами предприятия, а также руководящими документами и стандартами в этой сфере. Сегодня мы рассмотрим безопасность инфраструктуры виртуализации с экономической точки зрения: попробуем ROI-калькулятор для решения vGate.
Как вы знаете, есть такой продукт vGate 2 от российского разработчика "Код Безопасности", который нужен для защиты информации от несанкционированного доступа и контроля выполнения политик безопасности для виртуальной инфраструктуры на базе платформ VMware Infrastructure 3 и VMware vSphere 4. Также он облегчает приведение виртуальной инфраструктуры в соответствие законодательству и отраслевым стандартам информационной безопасности (и также имеет сертификат ФСТЭК).
Мы уже описывали основные возможности и архитектуру vGate 2 для VMware vSphere, а сегодня поговорим более детально о важной функциональной составляющей продукта - настройке политик безопасности и имеющихся встроенных политиках.
Политики безопасности, реализованные в vGate, контролируют критичные для безопасности виртуальной среды настройки серверов ESX и ВМ. Помните те самые политики, на предмет соответствия которым вы сканировали инфраструктуру виртуализации с помощью бесплатного средства vGate Compliance Checker? Так вот теперь их можно задать для хостов VMware ESX, а также виртуальных машин. И, соответственно, привести их в соответствие с этими политиками.
Основная идея таких политик - облегчить жизнь администратору виртуальной инфраструктуры VMware vSphere при работе с серверами VMware ESX / ESXi в ситуации, когда есть необходимость защиты данных виртуальных машин. Поскольку виртуализация, зачастую, полностью меняет подход к управлению виртуальной инфраструктурой, список требований к безопасности существенно увеличивается (см., например, как украсть виртуальную машину или наши записи с тэгом Security).
Так вот, когда у вас в компании есть администратор информационной безопасности, продукт vGate 2 - это лучший способ настроить виртуальную инфраструктуру с помощью политик так, чтобы он не мог прикопаться к администратору vSphere, поскольку все будет сконфигурировано в соответствии с отраслевыми стандартами, а значит потенциальные дырки будут закрыты.
То есть, сакральный смысл политик в vGate 2 - освободить администратора vSphere от геморроя по удовлетворению требований безопасников за счет автоматизации настройки безопасности для хостов и виртуальных машин. Все просто и нужно.
Политики безопасности vGate 2 объединены в наборы (они же шаблоны). Эти шаблонов целых пять штук:
Набор политик
Описание
vGate
Специально разработанный аналитиками компании Код Безопасности для vGate базовый набор политик, включающий в себя политики для ESX-серверов и ВМ
CIS 1.0
Набор политик для быстрого приведения виртуальной среды в соответствие рекомендации CIS VMware ESX Server 3.x Benchmark (v 1.0)
PCI DSS
Набор политик для быстрого приведения виртуальной среды в соответствие требованиям PCI DSS 1.2. Это типа для всяких контор, которые работают с платежными системами.
Набор политик для быстрого приведения виртуальной среды в соответствие рекомендации CIS VMware ESX Server 3.5 Benchmark
(v 1.2.0)
Позырим на самый простенький шаблон политик с одноименным названием vGate, который обеспечивает базовую настройку безопасности на хостах ESX и ВМ.
Для ESX:
Список разрешенных программ - на ESX-сервере хранится список разрешенных по умолчанию программ. Безопасник или админ может добавить или
удалить из этого списка нужные программы.
Запрет локального входа
на ESX-сервер - указываем пользователей для входа в консоль.
Запрет подключения USB-носителей - после применения надо перезагрузиться.
Правила для межсетевого экрана - содержит правила фильтрации трафика для межсетевого экрана netfilter, поступающего на ESX-сервер(по умолчанию политика запрещает административный доступ по портам TCP 443/22 для всех объектов из за-
щищаемого периметра за исключением сервера авторизации и vCenter - админы ходят клиентом через сервер авторизации).
Для виртуальных машин:
Список запрещенных устройств - всякую фигню не подключишь.
Запрет клонирования виртуальных машин - не склонируешь и не украдешь.
Запрет создания снимков виртуальных машин - снапшоты это вообще плохо (не только в плане безопасности).
Проверка целостности виртуальных машин - контроль целостности и доверенной загрузки ВМ перед стартом.
Очистка памяти виртуальной машины - после завершения ее работы (нужна перезагрузка ВМ).
Ну а дальше идут шаблоны, отвечающие различным общепринятым стандартам (там очень много пунктов, полный список здесь). Самый разумный из них - VMware Security Hardening Best Practice, там есть реально нужные в жизни вещи.
Кстати, делается это все за счет агентов, работающих на серверах ESX и устанавливаемых туда с сервера авторизации (см. статью).
Назначение политики делается так:
Делаем из шаблонов набор политик (можно комбинировать шаблоны и отдельные политики):
Назначаем для категории или уровня конфиденциальности (метки безопасности) этот набор:
Далее объекту (ESX-серверу или ВМ) назначаем эту метку безопасности.
Потом проходит некоторое время (его можно настраивать, по дефолту - 10 минут) и политики применяются. Работает - само.
Теперь, что еще нужно сказать о vGate 2. Во-первых, просили зафигачить ссылку на вот это видео (http://www.sltv.ru/comments/clip-1812/) - там вам пафосным голосом расскажут о продукте. Во-вторых, вы можете написать все, что думаете о vGate 2 вот в этой форме, а также в комментариях здесь. Сотрудники Кода Безопасности ответят на ваши вопросы.
Как вы знаете, есть такой хороший продукт StarWind Enterprise iSCSI, о котором мы уже немало писали и сделали специальный раздел. Он позволяет вам сделать отказоустойчивое iSCSI-хранилище для виртуальных машин VMware vSphere или Microsoft Hyper-V на базе любого устройства хранения, в том числе обычного Windows-сервера с локальными дисками.
Сегодня мы поговорим о том, что нам нужно сделать с сервером StarWind Enterprise, чтобы у нас была безопасная конфигурация хранилища, и никто лишний не смог бы к нему подключиться.
Во-первых, когда мы установили StarWind, то к нему можно подключиться с помощью StarWind Management Console, установленной локально на сервере или на другой рабочей станции. По умолчанию для подключения к серверу используется логин root и пароль starwind. Это нужно изменить. Меняется это вот тут:
Во-вторых, само собой, StarWind Enterprise поддерживает CHAP-аутентификацию клиентов (с паролем от iSCSI инициатора к таргету). Ее можно настроить, зайдя в свойства таргета StarWind и перейдя на вкладку "CHAP Permissions". Там нужно нажать правой кнопкой на белом поле и выбрать Add Permission:
Ну и, в-третьих, можно настроить разрешения для IP-адресов клиентов, которые могут соединяться с определенными таргетами по определенным сетевым интерфейсам. Для этого нужно зайти в свойства таргета StarWind и, перейдя на вкладку "Access Rights", нажать правой кнопкой на белом поле и выбрать Add Rule:
Все эти три вещи рекомендуется настраивать для производственного хранилища StarWind Enterprise iSCSI.
Мы уже писали о семействе продуктов VMware vShield, которые позволяют организовать защиту вашего виртуального датацентра на базе VMware vSphere (еще и тут). Повторим вкратце:
vShield Endpoint - это мидлваре (то есть, само по себе для пользователя ничего не делающее ПО), которое построено поверх VMsafe API и позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere.
vShield App - думайте об этом компоненте как о виртуальном распределенном коммутаторе (dvSwitch) с логикой фаервола с неограниченным количеством портов.
vShield Edge - это продукт для комплексной защиты периметра датацентра. Это уже более глобальный продукт, он включает в себя такие сервисы как Stateful firewall, VPN, DHCP, NAT, Web Load Balancing и другое. Он интегрируется с vCloud Director.
Есть еще vShield Zones, который идет в комплекте с изданиями vShphere, начиная с редакции Advanced. Это урезанная версия vShiled App.
Наши зарубежные коллеги затронули тему - а с какими же изданиями и версиями vSphere работают эти продукты? Тем более, что в документации об этом нигде не говорится.
Ситуация такова:
vShield Zones работает с vSphere 4.0 и более позними версиями, начиная с редакции Advanced (то есть, плюс Enterprise и Enterprise Plus).
vShield Endpoint работает только с vSphere 4.1 и выше, начиная с редакции Essentials Plus (то есть, еще и от Standard до Enterprise Plus).
vShield App работает, начиная с vSphere 4.0 и выше, с редакции Essentials Plus (то есть, еще и от Standard до Enterprise Plus). Несмотря на то, что Zones (работающий, начиная с Advanced) является частью App, все равно последний работает на младших изданиях vSphere.
vShield Edge работает, начиная с vSphere 4.0 и выше, с редакции Essentials Plus.
Поэтому в пролете от vShield остается только издание VMware vSphere Essentials.
Дорогие читатели. Как вы знаете, мы сотрудничаем с компанией "Код Безопасности", которая является разработчиком сертифицированных средств для обеспечения безопасности ИТ-инфраструктуры. В частности, они делают продукт vGate 2 for VMware, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware в соответствие законодательству и отраслевым стандартам.
Это очень важно для многих тех из вас, которые видят перед собой призрак закона ФЗ 152 о персональных данных. Ну и для тех из вас, конечно, кто хочет эти данные в виртуальной инфраструктуре vSphere защитить. Тем более, что виртуализация открывает множество новых источников угроз.
Надежность vGate подтверждает и сертификат ФСТЭК России №2308.
Тыкаем на ссылку и регистрируемся. Не каждый день девушки вам рассказывают о безопасности виртуальной ИТ-инфраструктуры VMware vSphere.
Ну и описание вебинара по vGate 2:
На вебинаре «Автоматизация работы администраторов по конфигурированию и эксплуатации системы безопасности виртуальной инфраструктуры» будут рассмотрены возможности разделения объектов инфраструктуры на логические группы и сферы администрирования, автоматического приведения виртуальной инфраструктуры в соответствие положениям законодательства и отраслевых стандартов, а так же контроля над изменениями на основе заданных корпоративных политик.
На вебинаре будет представлено решение для защиты виртуальных инфраструктур компании «Код Безопасности» - vGate 2. В конце вебинара будет проведена демонстрация его работы.
Вебинар будет интересен всем специалистам, которые работают с виртуальными инфраструктурами или планируют перейти на их использование, а также специалистам по информационной безопасности занимающимся обеспечением их защиты.
Докладчик: Сидорова Мария, заместитель руководителя направления «Защита виртуальных инфраструктур», компания «Код Безопасности»
Как вы знаете, в рамках партнерства с компанией Код Безопасности мы будем вас знакомить с продуктом vGate 2, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware в соответствие законодательству и отраслевым стандартам.
Мы уже много писали о таком документе как VMware vSphere Security Hardening (есть также и версия для VMware View), который описывает основные принципы и приемы обеспечения информационной безопасности VMware vSphere и виртуальных машин (без учета гостевых ОС).
Так вот, недавно компания VMware выпустила бесплатный продукт "VMware Compliance Checker for vSphere", который и проверяет вашу виртуальную инфраструктуру VMware vSphere на соответствие требованиям данного документа.
Основные возможности VMware Compliance Checker for vSphere:
Проверка соответствия нескольких серверов VMware ESX / ESXi в рамках одной сессии (поддерживается только соединение с vCenter).
Сканируются не только хост-серверы, но и vmx-параметры виртуальных машин.
Основан на VMware vSphere Security Hardening.
После того как обследование запущено, можно посмотреть пункты по виртуальным машинам и по типу категории обследования
Ну а теперь самое главное - у российской компании "Код Безопасности" есть бесплатный продукт vGate Compliance Checker, который не только объединяет в себе возможности сканирования виртуальной инфраструктуры на соответствие обоим видам требований по безопасности (Security Hardening и PCI DSS), но и поддерживает сканирование по различным версиям этих стандартов и руководящих документов. То есть, он круче, чем VMware Compliance Checker for vSphere.
Как вы знаете, мы начали стратегическое сотрудничество с компанией "Код Безопасности", которая выпускает такой нужный для российского рынка продукт как vGate 2. Он нужен, чтобы автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также привести виртуальную инфраструктуру на платформах VMware в соответствие законодательству и отраслевым стандартам. Он имеет сертификат ФСТЭК, что очень нужно при наведении порядка в организации, которая хочет соответствовать нормам ФЗ 152.
Но у компании "Код Безопасности" есть и бесплатный продукт, с которого лучшего всего начать приобщение к продуктовой линейке по обеспечению безопасности VMware vSphere. Это утилита vGate Compliance Checker.
vGate Compliance Checker позволяет проверить соответствие виртуальных инфраструктур на платформах компании VMware требованиям таких стандартов, как PCI DSS и рекомендаций CIS VMware ESX Server Benchmarks и VMware Security Hardening Best Practices. Результатом проверки, которую ИТ-специалисты смогут провести с помощью vGate Compliance Checker, является структурированный отчет (можно экспортировать в HTML), представляющий информацию о положениях стандартов и о соответствии протестированной системы этим положениям. Проверять систему можно произвольно на соответствие только интересующим стандартам и рекомендациям.
Добавим в vGate Compliance Checker сервер VMware ESX (кнопка "Добавить") и запустим проверку безопасности VMware vSphere (кнопка "Запустить").
Начнется сканирование хоста VMware ESX:
После чего, ваш хост ESX конечно не будет соответствовать основным политикам безопасности. Поэтому чтобы узнать, каким именно - нажимаем кнопку "Детали":
Чтобы получить полный отчет в формате html, нужно нажать на кнопку "Сохранить". Отчет vGate Compliance Checker удобно разбит по категориям, соответствующим нормам безопасности виртуальной инфраструктуры VMware vSphere:
Давайте раскроем политику VMware и посмотрим что там внутри:
Как видите, для каждого несоответствия vGate Compliance Checker рассказывает о том, какие именно рекомендации и стандарты нарушены с точки зрения безопасности сервера VMware ESX, а также суть необходимой политики, которую нужно применить в целях повышения уровня безопасности.
Как устранить эти дырки и привести свои серверы ESX в соответствие нормам и стандартам? Ну, во-первых, вы можете воспользоваться материалами нашего сайта, где по тэгу Security можно найти решения для некоторых требований безопасности (например, вот про политики паролей).
Но лучше всего, в целях настоящей безопасности, установить, попробовать, а потом и купить продукт vGate 2, который позволяет держать под контролем безопасность виртуальной инфраструктуры vSphere. Это уже более серьезный уровень, и, если вы озабочены тем, как сделать все правильно с точки зрения Security - не отключайтесь, на следующей неделе мы поговорим про vGate 2 подробнее.
Для многих администраторов, управляющих решением для виртуализации настольных ПК предприятия VMware View, могут оказаться полезными таблицы используемых различными компонентами View портов. Таблицы подготовил Christoph Harding, работник VMware и автор блога That's my View, на основе следующих документов:
О чем нам рассказывает данный документ в плане безопасности платформы VMware vSphere 4.1:
Защита хост-серверов виртуализации VMware ESX / ESXi 4.1
Безопасность виртуальной машины как контейнера для гостевой ОС (то есть не рассматривается защита ОС в виртуальной машине и приложений)
Правильная конфигурация виртуальной инфраструктуры в целом: средства управления, сети хранения данных, виртуальные коммутаторы (но не сеть между ВМ)
Защита VMware vCenter Server, его базы данных, а также vSphere Client
Защита сервера VMware Update Manager (как главного средства своевременного наката обновлений, в том числе в плане безопасности)
Есть полезные рекомендации, а есть весьма пространные. Очень удобно, что они разбиты на блоки, в пределах которого разъясняется суть угрозы, пример воздействия на инфраструктуру и область применения (Enterprise, DMZ и Specialized Security Limited Functionality (SSLF)). Вот пример полезной рекомендации:
Напоминаем также, что в настоящее время идет публичное обсуждение данного руководства для продукта VMware View - VMware View Security Hardening.
P.S. Не забываем про скрипт VMware vSphere Security Hardening Report Check, который позволяет проверить вашу виртуальную инфраструктуру на соответствие VMware vSphere 4.x Security Hardening Guide.
Некоторым из вас, возможно, известна компания Ericom, занимающаяся разработкой решений для предоставления доступа к инфраструктуре виртуализации и виртуализованным приложениям. Совсем недавно компанией был запущен интересный проект - HTML5 Client for VMware View.
Этот продукт, работающий по протоколу RDP (PCoIP не поддерживается), позволяет получить доступ к виртуальным ПК предприятия на базе VMware View 4.6. Сейчас открыто его бета-тестирование. Основное преимущество HTML5 Client for VMware View от Ericom - это то, что любой браузер с поддержкой HTML 5 ( Firefox, Google Chrome, Safari и др.) может получить доступ к рабочему столу виртуального ПК без необходимости установки какого-либо ПО на устройство (то есть заработает даже на Chrome OS нетбуке). Нужно просто ввести адрес View Connection Server.
Основные возможности:
Не требует Java, Flash, Silverlight или других компонентов.
Поддерживает процессоры Intel x86, ARM и другие.
Может действовать как Gateway, предоставляя доступ к компьютерам в сети предприятия за счет публикации только одного IP.
Передача данных по SSL.
Используются техники WebSockets, AJAX, JSON и другие от HTML5.
Веб-клиент соединяется с сервером Ericom, используя Ajax и WebSockets (когда это возможно) через SSL и пробрасывает клавиатуру и мышь.
Принять участие в бета-тестировании HTML5 Client for VMware View можно по этой ссылке.
После выпуска черновой версии VMware vSphere 4.1 Security Hardening, содержащей в себе рекомендации по обеспечению безопасности серверной виртуальной инфраструктуры, компания VMware выпустила черновик очередного документа по безопасности VMware View Security Hardening, в котором приведены лучшие практики для инфраструктуры виртуальных ПК.
Основные разделы:
Лучшие практики по использованию продукта vShield Endpoint (об этом мы писали тут и тут)
Безопасность серверов
VMware View Connection Server и Security Server
Безопасность гостевых ОС – Windows 7
Политики использования PowerShell
Использование клиента View with
Local Mode (как он работает - вот тут)
Работа в режиме
Kiosk Mode (публичный доступ к инфраструктуре виртуальных ПК)
Основные общие практики по сопровождению инфраструктуры View (приложения, сертификаты, сетевая безопасность, роли)
В нем раскрываются технические детали работы антивирусных решений с технологией vShield Endpoint и Security VM (вспомогательная виртуальная машина на хосте ESX, осуществляющая сканирование всех ВМ на нем).
Мы уже писали о семействе продуктов VMware vShield, призванных обеспечивать безопасность виртуальной инфраструктуры на базе VMware vSphere, но многие до сих пор не понимают кому и для чего они нужны. Постараемся вкратце описать их. Massimo Re Ferrè опубликовал хорошую статью по vShield, где нарисовал понятную картинку:
Есть три разных продукта:
vShield Endpoint - это мидлваре (то есть, само по себе для пользователя ничего не делающее ПО), которое построено поверх VMsafe API и позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere. Это, понятное дело, важнее всего для VDI-инсталляций на базе VMware View (поэтому, если у вас нет VDI - продукт вам не нужен). О том, как это работает, и почему это хорошо, мы уже здесь писали. vShield Endpoint идет в комплекте с VMware View Premier.
vShield App - думайте об этом компоненте как о виртуальном распределенном коммутаторе (dvSwitch) с логикой фаервола с неограниченным количеством портов. То есть мы можем контролировать трафик на уровне гипервизора на хостах ESX (опять-таки, работает VMsafe) для различных уровней сетевого взаимодействия. Ну и дальше настраиваем правила, как виртуальные машины будут между собой общаться (порты, протоколы), и все это мониторим. Об этом продукте надо задуматься, когда у вас большая инфраструктура VMware vSphere и повышенные требования к безопасности. Но учтите - продукт этот подходит для внутренней защиты датацентра (т.е. внутренние взаимодействия ВМ).
vShield Edge - это продукт для комплексной защиты периметра датацентра. Это уже более глобальный продукт, он включает в себя такие сервисы как Stateful firewall, VPN, DHCP, NAT, Web Load Balancing и другое. То есть, это такая большая бронированная дверь в ваш виртуальный датацентр, которая обладает возможностями по защите от внешнего мира и контроля взаимодействия с ним. Не всем такое нужно - многие используют свои собственные решения. Но что надо упомянуть, так это то, что vShield Edge интегрирован с продуктом VMware vCloud Director, который предназначен для управления облаками, которые создаются в частных организациях и у сервис-провайдеров. То есть vShiled Edge понимает объекты vCloud Director и защищает их в соответствии с настроенными политиками. То есть, для инсталляций где виртуальная инфраструктра не предоставляется как услуга и где нет внутреннего облака (а, соответственно, и vCloud Director) - продукт Edge особо не нужен.
Теперь еще два важных момента:
Что такое vShield Manager? Это название консоли, которая управляет всеми этими продуктами.
Куда делся vShiled Zones? Никуда он не делся, он так и есть в составе изданий vSphere, начиная с Advanced. Этот продукт является частью vShiled App, а поэтому обладает только некоторыми из его возможностей:
Ну а дальше - читайте статью, там много интересных вещей написано.
Кстати, недавно наши соотечественники из Лаборатории Касперского объявили о поддержке в своих антивирусах продукта vShield Endpoint:
Скачать продукты семейства vShield можно по этой ссылке.
Как вы знаете, начиная с VMware vSphere 4.1, компания VMware включила с свою платформу виртуализации API для обеспечения безопасности виртуальных сред под названием EPSec (End Point Security). Совместно с технологией VMware VMsafe этот API должен позволить по-новому обеспечивать антивирусную защиту в виртуальных машинах на VMware ESX / ESXi (см. нашу запись о Trend Micro и Reflex VMC).
Сейчас традиционные антивирусы работают в виртуальных машинах, создавая нагрузку на них. Для виртуальных серверов это не так важно, поскольку их плотность на хост-машинах достаточно невелика. Да и потом, современнные антивирусы типа Symantec или Trend Micro имеют имеют функции случайного запуска, чтобы равномерно распределить нагрузку. Но для виртуальных ПК (например, на базе VMware View) коэффициент консолидации может достигать 50 и даже 100 к одному - и вот тут нужно искать пути оптимизации использования аппаратных ресурсов.
И здесь на помощь приходит VMware VMsafe и EPSec API:
Суть технологии такова - зачем использовать отдельный антивирус в каждой виртуальной машине, если можно сделать сервисную виртуальную машину, содержащую в себе средства сканирования активности виртуальных машин на уровне гипервизора, и тратить ресурсы только на нее. Естественно этот виртуальный модуль (Virtual Appliance) имеет все необходимое для поддержки перемещаемых средствами vMotion/DRS машин.
У компании Trend Micro уже есть продукт DeepSecurity 7.5, который поддерживает эту интересную технологию (Symantec и McAfee тоже скоро подтянутся). VMsafe-net API отвечает за единый фаервол, а EPsec API - за антивирусную деятельность.
Недавно Tolly group сделала его бенчмаркинг, показатели которого были впечатляющими: использование данной технологии позволяет сократить потребление ресурсов от 1.7 до 8.5 раза!
Кстати реализует упомянутые технологии продукт vShield Endpoint, входящий в состав VMware View Premier, о котором мы уже писали:
Улучшения и новые возможности VMware ESX/ESXi 4.1 Update 1
Поддержка до 160 логических процессоров хост-сервера
Платформа подготовлена к новому процессору Westmere-EX
Включены дополнительные драйвера устройств:
дисковые устройства 3ware и Neterion
Включена технология Intel Trusted Execution Technology (только для ESXi). Это поддержка модулей Trusted Platform Module (TPM) для доверенной загрузки хост-серверов (поддерживается также коммуникация с vCenter). Почитайте вот эту статью о TPM.
Добавлены: RHEL 6, RHEL 5.6, SLES 11 SP1 for VMware, Ubuntu 10.10 и Solaris 10 Update 9
Улучшенная производительность для виртуальных машин, реализующих нагрузки баз данных и терминальные службы. Быстрее теперь работа с дисковой подсистемой и эффективнее расходуется CPU (непонятно, включено ли это в данный релиз).
Улучшения и новые возможности VMware vCenter Update Manager4.1 Update 1
VMware Update Manager получил новый интерфейс для постконфигурации продукта, включая сам VUM и утилиту VMware Update Manager Download Service (для скачивания обновлений отдельно от VC и VUM). Теперь из GIU можно сбросить пароль для соединения с БД, сконфигурировать настройки Proxy и поменять SSL-сертификаты.
Исправления безопасности и различные багофиксы
Улучшения и новые возможности VMware vCenter Orchestrator4.1 Update 1
Исправления безопасности и различные багофиксы
Скачать VMware vSphere 4.1 Update 1 можно по этой ссылке. Помните, что перед обновлением хост-серверов ESX / ESXi нужно сначала обновить VMware vCenter. И да, помните о багах обновления на Update 1, которые у VMware стали доброй традицией.
В конце 2010 года фирма Intel сообщила о своем желании приобрести одного из ведущих поставщиков антивирусных решений — McAfee. На первый взгляд, — несуразное решение, но только на первый. Встраивание механизмов защиты от вирусов непосредственно в аппаратуру компьютера — это многообещающая идея и новая ступень в развитии антивирусных технологий.
Таги: VMachines, Hardware, Security, Intel, McAfee, Red Pill,
Изменений немного, но я, например, узнал, что с версии vSphere 4.1 операции Copy/Paste для виртуальной машины отключены по дефолту как раз в целях безопасности. Обсуждение документа продлится до конца февраля, а окончательный релиз состоится скорее всего весной.
Таги: VMware, vSphere, Security, Update, ESX, Whitepaper, vCenter, VUM
Вчера компании VMware и LG заключили соглашение о партнерстве в области виртуализации для смартфонов под управлением ОС Google Android. Суть инициативы обеих компаний в следующем: дать возможность пользователю разделить окружение с личными приложениями и данными (развлечения, персональная информация) и окружение с корпоративными данными и приложениями (email, доступ к корпоративной инфраструктуре). То есть, основная идея данного начинания - информационная безопасность.
LG and VMware announced this morning a partnership that brings visualization to Android smartphones. The non-nerd premise is this: You've got your standard Android smartphone, with your e-mail, your apps, your phone number. And in a virtual space on the same device, you have another set of apps, corporate e-mail, another phone number — completely sandboxed from your personal stuff, unable to talk to or access its data.
Интересное видео из анонса:
Все это еще и потому, что некоторые вынуждены таскать с собой два смартфона - бизнесовый и личный (есть и такие, да). Все это в перспективе может создать новые варианты использования смартфонов, которые в будущем будут одним из основных средств взаимодействия с информационными системами предприятия.
В предыдущей статье был описан гипердрайвер, использующий технологию аппаратной виртуализации, думаю любой, кто удосужился прочитать данную статью хотя бы до середины, понял, что эта технология позволяет осуществлять тотальный контроль над вычислительной системой в целом, операционной системой и прикладными программами.
Не так давно вышел релиз продукта VMware vCenter Configuration Manager 5.3 (vCM). Этот продукт представляет собой пакет для управления кофигурациями виртуальной среды на базе политик и развертывания приложений в ИТ-инфраструктуре предприятия.
Большое внимание в продукте уделено аспекту информационной безопасности физических серверов и виртуальных машин в соответствии с различными стандартами ИБ.
vCenter Configuration Manager собирает данные об ИТ-инфраструктуре предприятия (программное и аппаратное обеспечение, Active Directory, настройки приложений) и проверяет их на соответствие определенным политикам конфигураций, заданным администратором на базе требований компании. При этом есть некие шаблоны, относящиеся к компаниям определенной отрасли.
Что нового появилось в VMware vCM 5.3:
Развертывание приложений (упаковка Windows-приложений, установка и удаление)
Плагин к vSphere Client со средством управления vSM и средствами отчетности
Windows custom information: механизм для сбора данных об ИТ-инфраструктуре через PowerShell.
Расширенная поддержка Novell SUSE и VMware vSphere/vCenter
Управление конфигурациями систем UNIX/Linux/Mac OS X
Кроме того, есть также бесплатная лайт-версия продукта vCM под названием VMware Compliance Checker (урожденный Configuresoft Compliance Checker), о котором мы уже писали. С помощью него можно проверить ИТ-инфраструктуру на соответствие требованиям ИБ. Его отчет выглядит следующим образом:
Скачать бесплатный VMware Compliance Checker можно по этой ссылке.
Когда произносится слово «виртуализация», сразу на ум приходят названия фирм VMware, Microsoft, Cisco… и разных продуктов стоящих за этими фирмами.
Виртуализация в нашем сознании прочно связана с понятиями гостевых ОС, гипервизорами, облачными вычислениями и прочими сложными программными комплексами. Мы уже привыкли, что все связанное с виртуализацией сложно, непонятно, имеет громоздкую программную инфраструктуру и создание таких систем - это удел крупных фирм, обладающих штатом программистов измеряемых сотнями, если не тысячами человек. Однако это всего лишь миф...
Компания VMware закончила разработку новой версии решения для виртуализации настольных ПК предприятия VMware View 4.5, которое позволяет разместить рабочие станции пользователей на серверах виртуализации, добившись существенной экономии на содержание парка настольных компьютеров, а также повысить управляемость и безопасность данной части инфраструктуры.
Как многие из вас знают, обновленная версия решения для виртуализации настольных ПК предприятия VMware View 4.5 выйдет уже в самое ближайшее время. Одной из новых возможностей VMware View 4.5 будет администрирование инфраструктуры виртуальных ПК на базе ролевой модели.
Это позволит использовать решение в крупных предприятиях, где есть различные ИТ-отделы (например, поддержка пользователей виртуальных ПК). Ранее была только одна роль VMware View 4 - Administrator, которая позволяла изменять абсолютно все настройки продукта. Теперь появилось несколько ролей:
Administrators
Administrators (Read Only)
Agent Registration Administrators
Global Configuration and Policy Administrators
Global Configuration and Policy Administrators (Read Only)
Inventory Administrators
Inventory Administrators (Read Only)
Кроме данных предопределенных ролей можно создать собственную роль с определенным набором привилегий (например, добавление новых ПК или управление пользователями). Набор привилегий достаточно обширен (обратите внимание на полосу прокрутки):
Также в VMware View 4.5 можно создавать папки-контейнеры для различных объектов и на эти папки вешать разрешения для различных групп пользователей (можно разделять по отделам, городам и т.п.):
Скачать VMware View 4.5 уже можно будет совсем скоро. Обождите пока.
На проходящей сейчас конференции VMworld 2010 компания VMware сделала несколько важных анонсов, один из которых мы сейчас рассмотрим. Серьезное улучшение, которое VMware сделала в плане обеспечения информационной безопасности инфраструктуры VMware vSphere - это полное обновление линейки продуктов vShield, представителем которой ранее было только средство VMware vShield Zones. Таги: VMware, vShield, Security, vSphere, ESX, VMachines, Zones, App, Endpoint, Edge
Компания 5nine, известная своим программным обеспечениям для платформы виртуализации Hyper-V, выпустила вторую версию продукта Virtual Firewall 2.0 for Hyper-V. Этот продукт позволяет организовать виртуальный сетевой экран в инфраструктуре виртуальных машин.
Возможности продукта:
Controls Network Traffic – используя скрипты PowerShell API или в GUI, администратор может определить различные правила фаервола для различных типов траффика, идущего к сети виртуальных машин серверов Hyper-V, а также в сети между виртуальными машинами, что позволяет организовать защиту от внешних и внутренних угроз.
Security Heartbeat Service – сервис, позволяющий в реальном времени проверять правила фаервола, и, если происходит подозрительная активность со стороны виртуальной машины, может выключить или приостановить данную ВМ.
Deployment options – 5nine Virtual Firewall может быть использован совместно с Microsoft System Center Virtual Machine Manager для виртуальных машин, а также для физических серверов перед P2V-миграцией.
Compliance Audits – возможность проведения аудита (отчеты) на соответствие политикам безопасности траффика в виртуальной инфраструктуре.
Скачать 5nine Virtual Firewall for Hyper-V можно по этой ссылке.
Из всех проблем, создаваемых технологиями виртуализации, настоящей проблемой я считаю только безопасность виртуальной инфраструктуры. Неудивительно, ведь по статистике Gartner, 60% всех развертываемых виртуальных машин к 2012 году будут менее защищенными, чем их физические "коллеги". В итоге - компании достаточно быстро внедряют технологии виртуализации, но очень мало уделяют аспектам безопасности виртуальных машин, хост-серверов и средств управления.
Денис Гундарев, бывший сотрудник Citrix Systems, а ныне независимый консультант, на конференции "Российские интернет-технологии" (заметьте, кстати, что сово "интернет" пишут-таки со строчной буквы) выступил с интересным докладом о недостатках виртуализации:
Мое отношение по пунктам такое:
1. Персонал - не согласен. Встречался как с положительными, так и с отрицательными примерами. Четкой зависимости именно от виртуализации нет. Зависимость есть от структуры компании и степени ее организованности.
2. Старые системы - не согласен. В крупных энтерпрайзах это являение более чем нормальное, обусловленное самим словом энтерпрайз. Зло, но с ним приходится жить.
3. Отказоустойчивость - не согласен. Здесь спорить достаточно бессмысленно, но опыт клиентов - есть опыт, это то, с чем не поспоришь.
4. Безопасность - согласен. Пока да, есть такая проблема и будет в ближайшие пару лет. Недаром мы оказываем услуги по разработке стандартов и регламентов в этой сфере.
5. Планирование - согласен, но частично. Кое-где, виртуализация дает уже преимущества именно в планировании. Это дело времени и подхода. То есть проблема временная с тенденцией к разрешению.
6. Облачные ОС - не понял проблемы, надо было послушать голосом.
7. Расходы - не согласен. Как ни странно, виртуализация реально экономит деньги. С этим ничего не поделаешь. БОльшая проблема - высокая цена входа.
В целом - направление презентации очень интересное. Кстати, Денис, ты не хочешь по Hyper-V заметки выкладывать на VM Guru?
Мы уже писали о средстве защиты соединений пользователей в виртуальной инфраструктуре VMware vSphere под названием HyTrust, поставляемого в виде виртуального модуля (Virtual Appliance). В связи с тем, что в конце марта вышла вторая версия данного продукта, хотелось бы остановиться на нем поподробнее (недаром он стал одним из победителей в конкурсах VMworld 2009).
Итак, HyTrust позволяет нам с четырех сторон улучшить управление и повысить безопасность виртуальной инфраструктуры VMware vSphere:
Unified Access Control - контроль всех возможных методов доступа к виртуальной инфраструктуре.
Virtual Infrastructure Policy - задание политик безопасности при работе с виртуальной инфраструктурой с максимальной гранулярностью в соответсвии с потребностями крупных организаций
Hypervisor Hardening - анализ хостов VMware ESX на соответствие безопасной конфигурации
Audit-quality Logging - качественная система централизованного сбора и анализа логов
Расширенный список функций HyTrust выглядит так:
Unified Authentication - HyTrust перехватывает все соединения пользователей с виртуальной инфраструктурой VMware vSphere / ESX (включая SSH, различные API, vSphere Client в конфигурациях vSphere-Client-to-ESX или vSphere-Client-to-vCenter) и позволяет разграничивать доступ к различным объектам на базе ролей с высокой гранулярностью разрешений.
Directory Server Bridging - HyTrust интегрируется с Microsoft ActiveDirectory (или с любым другим провайдером LDAP v3), чтобы организация могла использовать уже существующие репозитории пользователей, ролей и групп в унифицированной среде доступа HyTrust.
Two-factor Authentication: Поддерживаются различные устройства двухфакторной аутентификации, включая RSA SecurID, что позволяет ввести дополнительный уровень защиты при аутентификации пользователей в среде VMware vSphere 4
Root Password Vault: Позволяет передать привилегии пользователя root другому аккаунту на ограниченное время, чтобы не светить везде учетные данные root, а дать возможность доверенному администратору некоторое время поработать с хостом ESX
Object Policy Labels: Политики доступа организуются с помощью тэгов, что позволяет проще ориентироваться и разграничивать доступ по бизнес-сущностям или иным признакам.
Centralized Log Repository - модуль HyTrust централизованно хранит все необходимые логи, где отображена информация об активности пользователей в среде VMware vSphere.
Industry-standard Log Format - логи хранятся в форматах syslog или secure syslog
Host Configuration Templates - HyTrust может обследовать ваши хосты ESX на предмет соблюдения необходимых требований безопасности (бенчмарки C.I.S., PCI DSS, VMware Best Practices, либо кастомные) и, после проверки, применить требуемые настройки для повышения безопасности конфигурации.
Gold Standard Benchmark: очень просто - можно сделать "золотой" с точки зрения безопасности хост VMware ESX и сравнивать с ним все остальные серверы в виртуальной инфраструктуре.
Federated Deployment: несколько виртуальных модулей HyTrust можно объединять в единую систему, между компонентами которой будет осуществляться репликация политик безопасности
Virtual Appliance Form-factor: HyTrust - это готовая виртуальная машина, а значит решение просто развернуть в рамках вашей инфраструктуры, проще бэкапить, настраивать и т.п.
Virtual Infrastructure Search: простой и эффективный поиск объектов, политик и логов внутри HyTrust Virtual Appliance.
Remote API: интерфейс для автоматизации HyTrust Appliance
Wide platform support for VMware: решение HyTrust поддерживает VMware vSphere и ESXi (ESX 3.5/4.0; ESXi 3.5/4.0), а также vCenter Server 2.5 и 4.0.
Router-Mode - HyTrust моржет работать как Default Gateway для серверов ESX и vCenter, что позволит маршрутизировать трафик между сетью управления (management network) и производственной сетью.
Основные возможности HyTrust продемонстрированы на видео ниже:
Между тем, виртуальный модуль HyTrust Community Edition доступен абсолютно бесплатно для инфраструктуры, состоящей не более чем из 3 хостов VMware ESX.
Как вы считаете, актуальна ли такая услуга как обеспечение безопасности виртуальной инфраструктуры от внешних поставщиков (аудиты, стандарты, регламенты) для вашей компании, или проблема надумана?
Просьба отвечать только представителей компаний, которые являются потребителями ИТ-услуг.
RSS
