Мы уже писали о средстве защиты соединений пользователей в виртуальной инфраструктуре VMware vSphere под названием HyTrust, поставляемого в виде виртуального модуля (Virtual Appliance). В связи с тем, что в конце марта вышла вторая версия данного продукта, хотелось бы остановиться на нем поподробнее (недаром он стал одним из победителей в конкурсах VMworld 2009).
Итак, HyTrust позволяет нам с четырех сторон улучшить управление и повысить безопасность виртуальной инфраструктуры VMware vSphere:
Unified Access Control - контроль всех возможных методов доступа к виртуальной инфраструктуре.
Virtual Infrastructure Policy - задание политик безопасности при работе с виртуальной инфраструктурой с максимальной гранулярностью в соответсвии с потребностями крупных организаций
Hypervisor Hardening - анализ хостов VMware ESX на соответствие безопасной конфигурации
Audit-quality Logging - качественная система централизованного сбора и анализа логов
Расширенный список функций HyTrust выглядит так:
Unified Authentication - HyTrust перехватывает все соединения пользователей с виртуальной инфраструктурой VMware vSphere / ESX (включая SSH, различные API, vSphere Client в конфигурациях vSphere-Client-to-ESX или vSphere-Client-to-vCenter) и позволяет разграничивать доступ к различным объектам на базе ролей с высокой гранулярностью разрешений.
Directory Server Bridging - HyTrust интегрируется с Microsoft ActiveDirectory (или с любым другим провайдером LDAP v3), чтобы организация могла использовать уже существующие репозитории пользователей, ролей и групп в унифицированной среде доступа HyTrust.
Two-factor Authentication: Поддерживаются различные устройства двухфакторной аутентификации, включая RSA SecurID, что позволяет ввести дополнительный уровень защиты при аутентификации пользователей в среде VMware vSphere 4
Root Password Vault: Позволяет передать привилегии пользователя root другому аккаунту на ограниченное время, чтобы не светить везде учетные данные root, а дать возможность доверенному администратору некоторое время поработать с хостом ESX
Object Policy Labels: Политики доступа организуются с помощью тэгов, что позволяет проще ориентироваться и разграничивать доступ по бизнес-сущностям или иным признакам.
Centralized Log Repository - модуль HyTrust централизованно хранит все необходимые логи, где отображена информация об активности пользователей в среде VMware vSphere.
Industry-standard Log Format - логи хранятся в форматах syslog или secure syslog
Host Configuration Templates - HyTrust может обследовать ваши хосты ESX на предмет соблюдения необходимых требований безопасности (бенчмарки C.I.S., PCI DSS, VMware Best Practices, либо кастомные) и, после проверки, применить требуемые настройки для повышения безопасности конфигурации.
Gold Standard Benchmark: очень просто - можно сделать "золотой" с точки зрения безопасности хост VMware ESX и сравнивать с ним все остальные серверы в виртуальной инфраструктуре.
Federated Deployment: несколько виртуальных модулей HyTrust можно объединять в единую систему, между компонентами которой будет осуществляться репликация политик безопасности
Virtual Appliance Form-factor: HyTrust - это готовая виртуальная машина, а значит решение просто развернуть в рамках вашей инфраструктуры, проще бэкапить, настраивать и т.п.
Virtual Infrastructure Search: простой и эффективный поиск объектов, политик и логов внутри HyTrust Virtual Appliance.
Remote API: интерфейс для автоматизации HyTrust Appliance
Wide platform support for VMware: решение HyTrust поддерживает VMware vSphere и ESXi (ESX 3.5/4.0; ESXi 3.5/4.0), а также vCenter Server 2.5 и 4.0.
Router-Mode - HyTrust моржет работать как Default Gateway для серверов ESX и vCenter, что позволит маршрутизировать трафик между сетью управления (management network) и производственной сетью.
Основные возможности HyTrust продемонстрированы на видео ниже:
Между тем, виртуальный модуль HyTrust Community Edition доступен абсолютно бесплатно для инфраструктуры, состоящей не более чем из 3 хостов VMware ESX.
Как вы считаете, актуальна ли такая услуга как обеспечение безопасности виртуальной инфраструктуры от внешних поставщиков (аудиты, стандарты, регламенты) для вашей компании, или проблема надумана?
Просьба отвечать только представителей компаний, которые являются потребителями ИТ-услуг.
Заждались? Но, не волнуйтесь, он уже здесь - пятый выпуск обзора бесплатных программ и утилит для виртуальной инфраструктуры VMware vSphere / ESX / ESXi. Сегодня мы рассмотрим все самые интересные бесплатные средства администрирования и управления серверами ESX и ESXi, а также приведем ссылки на все заметки VM Guru, опубликованные ранее по этой теме.
William Lam, известный блоггер, уже сделал сценарий Perl (один из интерфейсов VMware vSphere), который позволяет произвести проверку соответствия вашей инфраструктуры VMware ESX требованиям VMware Security Hardening Guide и вывести отчет в формате html.
Скачать скрипт VMware vSphere Security Hardening Report Check можно по этой ссылке.
Возможности скрипта:
Отчет, посылаемый на почту
Возможность выполнения только отдельных групп проверок (COS,HOST,VCENTER,VNETWORK,VM)
Возможность выполнения отдельного пакета тестов (ENTERPRISE,DMZ,SSLF)
Детальный отчет в html с оценкой процента успешного прохождения тестов
Nicholas Weaver выпустил интересную бесплатную утилиту Session Monitor для VMware vSphere / ESX, позволяющую в реальном времени отслеживать подключения к серверу управления виртуальной инфраструктурой VMware vCenter.
На VMware Communities появился черновик разделов документа VMware vSphere 4.0 Security Hardening Guide, являющегося основным руководством по обеспечению информационной безопасности виртуальной инфраструктуры серверов ESX и виртуальных машин.
Безопасность инфраструктуры виртуализации на ESX 4.0 и vCenter 4.0 в документе VMware vSphere 4.0 Security Hardening Guide поделена на 5 частей (кроме оглавления), каждую из которых можно скачать отдельно:
Компания VMware ожидает помощи от сообщества в проведении ревью документа VMware vSphere 4.0 Security Hardening Guide и внесении в него дополнений - присоединяйтесь!
На Techtarget появилась хорошая статья Eric'а Siebert'а о безопасности виртуальных машин на сервере виртуализации VMware ESX. Статья достаточно длинная, поэтому постараюсь привести краткое содержание с пояснениями.
Чтобы украсть виртуальную машину с VMware ESX вместе со всеми ее данными и приложениями нужно сделать 3 вещи:
1. Сделать Snapshot виртуальной машины, что переведет ее основной виртуальный диск vmdk в режим только чтения.
2. Загрузить диск vmdk с общего или локального хранилища на машину злоумышленника с помощью FastSCP или WinSCP (можно использовать встроенный в vSphere Client Datastore Browser).
3. Импортировать виртуальную машину на VMware Workstation (для запуска и доступа к данным и приложениям), либо смонтировать диск ВМ в операционную систему Windows или Linux с помощью утилиты vmware-mount из комплекта VMware's Virtual Disk Development Kit (VDDK).
Комментарии:
1. Поскольку основной vmx-файл виртуальной машины будет ссылаться не только на основной vmdk, но и на файл снапшота (отличия от исходного состояния ВМ), нужно будет этот vmx подправить. Кроме того, после того, как файлы vmdk и vmx будут скопированы злоумышленником, он удаляет снапшот - для администратора будто бы ничего и не было.
2. Чтобы запустить импортированную виртуальную машину потребуется пароль администратора гостевой ОС. Как известно, есть утилиты для подбора пароля администратора под Windows Server.
3. Чтобы смонтировать виртуальный диск vmdk и получить доступ ко всем данным - никакого пароля не нужно (если не было шифрования средствами гостевой ОС). Представьте, что вы украли обычный физический диск и воткнули его в компьютер.
4. Файлы vmdk не шифруются в VMware vSphere, но судя по тому, что возможность шифрования в VMware Workstation 7 появилась, в скором времени ее можно ожидать и для VMware vSphere / ESX.
Как не допустить кражи виртуальной машины со своего сервера VMware ESX:
1. Разграничивайте доступ к VMware vCenter, а также к томам VMFS, где хранятся виртуальные машины (в том числе на уровне SAN).
После установки сервера VMware ESX 4 из состава vSphere 4 многие пользователи сталкиваются с первой проблемой: невозможно удаленно войти пользователем root в Service Console по протоколу SSH. Решив эту проблему, пользователи задумываются о том, достаточно ли безопасно всегда входить в сервисную консоль пользователем root и какие права необходимо назначать пользователям в Service Console для работы с сервером VMware ESX. Сегодня мы рассмотрим обе этих проблемы в контексте безопасности и покажем некоторые практические приемы работы с командами su и sudo.
Некоторым пользователям VMware vSphere 4 не хватает стандартной функциональности Distributed vSwitch (dvSwitch), который позволяет создать центральный коммутатор для всей виртуальной инфаструктуры, представляющий собой объединение виртуальных коммутаторов на хостах VMware ESX.
Специально для них, компания Cisco, близкий партнер VMware, предоставляет пользователям возможность применять специализированный виртуальный коммутатор Cisco Nexus 1000V в составе издания VMware vSphere Enterprise Plus (за отдельные деньги), который очень удобен сетевым администраторам для больших инсталляций VMware vSphere. Полный список функций распределенного коммутатора Cisco Nexus 1000V, который бывает как физическим устройством, так и виртуальным модулем (Virtual Appliance) приведен вот в этом документе.
Offline Virtual Machine Servicing Tool предназначена для решения следующей проблемы: в ИТ-инфраструктуре предприятия, зачастую, присутствует множество виртуальных машин на хостах Hyper-V, которые не используются и находятся в выключенном состоянии. Соответственно, обновления к ним не применяются, и устаревают версии антивирусного программного обеспечения в гостевой операционной системе. Это ведет к тому, что когда такая виртуальная машина включится - она не будет соответствовать корпоративным политикам информационной безопасности предприятия. Поэтому с помощью Offline Virtual Machine Servicing Tool можно держать выключенные виртуальные машины в состоянии up-to-date. С помощью интерфейса Windows PowerShell, группа unmanaged виртуальных машин запускается, обновляется до нужного уровня безопасности и возвращается в состоянии offline, но с обновленной ОС, и продолжает свое хранение в библиотеке ВМ.
Скачать Offline Virtual Machine Servicing Tool (OVMST) для Hyper-V R2 можно здесь.
P.S. В ближайшее время ждите обзор бесплатных программ и утилит для Microsoft Hyper-V R2 и SC VMM 2008 R2. Таги: Microsoft, Hyper-V, SC VMM, OVMST, Security
Многие специалисты по информационной безопасности интересуются, как правильно задавать политики сложности и устаревания паролей консольной ОС для VMware ESX Server. Сегодня мы расскажем о том, как нужно обращаться с командой esxcfg-auth для управления аутентификацией пользователей на ESX, и как сделать безопасным логин в Service Console.
Есть такая компания VMinformer, которая выпускает продукт с одноименным названием, предназначенный для аудита безопасности виртуальной инфраструктуры VMware vSphere. VMinformer является технологическим партнером VMware (TAP), сама же утилита позволяет проанализировать безопасность инфраструктуры виртуализации на соответствие требованиям PCI и SOX. Для каждого хоста VMware ESX выдается отчет по Security, в котором оцениваются риски различной тяжести. Очень наглядно работа VMinformer представлена на видео ниже:
Коллеги делятся информацией, что какое-то время назад компания HyTrust выпустила Virtual Appliance с одноименным названием под версией 1.5.
Продукт HyTrust Virtual Appliance предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere / ESX, где этот виртуальный модуль становится звеном через которое проходят все каналы доступа к виртуальной инфраструктуре (vSphere Client, SSH, Web Access и т.п.). Основные возможности продукта HyTrust Virtual Appliance:
Проксирование всех интерфейсов доступа к инфраструктуре VMware vSphere / ESX (SSH, Client, сторонние API) с обеспечением безопасного доступа. Поддержка токенов и прочей двухфакторной ереси.
Поддержка ролевой модели VMware vCenter и управление безопасностью на основе политик для объектов.
Поиск брешей в инфраструктуре на основе шаблонов PCI DSS, C.I.S. Benchmark, VMware Best Practices.
Для платформы VMware ESX / vSphere написано множество разнообразных бесплатных утилит, скриптов и полноценных приложений, которые не грех использовать в промышленной среде виртуализации для решения повседневных задач администраторов. Для начала напомним основные ссылки на предыдущие материалы о бесплатных приложениях для виртуальной инфраструктуры VMware VI / vSphere...
Как вы знаете, Web Access на VMware ESX 4 в vSphere отключен по умолчанию. Для VMware vCenter иногда требуется отключить Web Access насовсем в целях безопасности. Однако как быть, если вы хотите ограничить доступ пользователей к VMware Web Access на vCenter по IP-адресу для администраторов? Очень просто - добавляем в файл:
Richard Garsthagen выпустил бета-версию своей утилиты для аудита инфраструктуры виртуальных ПК VMware View, насящую название vAudit.
Запустив анализ инфраструктуры VMware View vAudit, вам поможет узнать, когда пользовали работали со своими виртуальными ПК, и каким действием закончилась их работа (Log Off или Disconnect).
Во многих компаниях, где используется VMware VI 3.x / vSphere 4, службы VMware Web Access не используются для управления инфраструктурой серверов VMware ESX, поэтому требуется их отключение в целях безопасности. Рассмотрим 2 варианта:
1. Если требуется отключить доступ только из внешней сети (External Web Access), то в файле C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\proxy.xml на сервере vCenter нужно удалить следующий объект:
Сегодня я хочу рассказать о производителе средств безопасности для виртуальной инфраструктуры, компании Reflex Systems, которая в своих решениях пытается совместить средства обеспечения безопасности инфраструктуры виртуализации и инструменты управления.
Основной продукт компании Reflex для VMware vSphere, Microsoft Hyper-V и Citrix XenServer называется Virtualization Management Center (VMC):
Этот продукт поставляется в виде виртуальных модулей (Virtual Appliance) и после загрузки с сайта Reflex может быть импортирован в окружение VirtualCenter как уже готовая виртуальная машина. После импорта и первичной настройки мы просто заходим по http на IP-адрес виртуальной машины и видим уже привычный нам интерфейс... Таги: VMware, Security, Reflex, VMC, ESX, Xen, Hyper-V, Microsoft
Ниже представлен набор ссылок на различные документы как VMware, так и сторонних производителей, касающихся безопасности VMware Virtual Infrastructure и применимых к VMware vSphere...
Таги: VMware, vSphere, Security, ESX, ESXi, vCenter
Компания VMware рекомендует не использовать доступ к ESX / ESXi по протоколу SSH без необходимости. Мало того, доступ по SSH к ESXi официально не поддерживается. Тем не менее, такая необходимость очень часто есть, в связи с настройкой из командной строки сервисной консоли самой платформы и виртуальных машин, а также использованием агентов сторонних разработчиков.
Сегодня мы расскажем о том, какие средства на ESX можно использовать для определения того, какие пользователи в данный момент залогинены, чем они занимаются и как узнать, какова ранее была их активность... Таги: VMware, Security, ESX, ESXi
Компания VMware в прошлом году приобрела компанию Blue Lane Technologies, ориентированную на безопасность виртуальной инфраструктуры, вместе с продуктом Virtual Shield. В течении небольшого времени компания VMware провела его ребрэндинг и скоро выпустит под названием VMware vShield Zones.
vShield Zones представляет собой промежуточный слой между гипервизором ESX Server и виртуальными машинами с гостевыми ОС. По сути это сетевой экран, контролирующий сетевой трафик виртуальных машин, приходящий и уходящий с хостов ESX... Таги: VMware, Security, VMsafe, vShield, ESX, vSphere
Защита виртуальной инфраструктуры требует несколько иного подхода, чем физическая. То что нам предлагают поставщики решений по виртуализации в контексте безопасности, например, Virtual Desktop Infrastructure, с одной стороны повышает уровень безопасности данных за счет централизации, с другой стороны, понижает его за счет единой точки возможного вторжения.
Типичный пример – развертываемые из одного шаблона виртуальные настольные ПК с использованием View Composer в инфраструктуре VMware View. С одной стороны, один образ защищать проще, чем 100 компьютеров, с другой – заражение одного образа ночью приведет к тому, что все 100 виртуальных машин будут заражены уже утром, когда сотрудники придут на работу. Нужно учитывать также тот момент, что если скомпрометирован хост-сервер виртуализации (а точнее гипервизор) – все виртуальные машины этого хоста также будут под угрозой. А если брать в расчет механизмы горячей миграции VMotion и балансировки нагрузки – вообще интересная вещь получается…
Таги: VMware, Security, ESX, VMsafe
Некоторые пользователи VMware Virtual Infrastructure предъявляют особые требования к безопасности виртуальной инфраструктуры. В их числе финансовые компании, банки, организации здравоохранения и т.п. Компания VMware очень внимательно подходит к безопасности своих продуктов и имеет несколько сертификатов от организаций, проводящих сертификацию в этой сфере.
Сегодня мы приведем основные принципы безопасности в VMware Virtual Infrastructure 3.5 для виртуальных машин на платформе VMware ESX. Таги: VMware, ESX, Security
При использовании консоли виртуальной машины в VI Client зачастую требуется отключение операций копирования и вставки из гостевой операционной системы в целях безопасности. Чтобы запретить эти операции в ESX Server, требуется добавить некоторые параметры в расширенные настройки виртуальной машины. Для этого сделайте следующее... Таги: VMware, ESX, Security
Компания VMware уже больше года назад анонсировала технологию VMsafe, которая позволит вывести на новый уровень безопасность в виртуальных окружениях VMware. Автором идеи и ее активистом является Мендель Розенблюм, один из основателей VMware, который не так давно покинул компанию в связи с увольнением его жены Дианы (бывшая глава VMware и ее основатель). Но дело Менделя, как известно, живет. Ниже расскажем несколько подробностей технологии, которая появится в 2009 году, в не так давно анонсированной на VMworld 2008 «виртуальной» операционной системе для датацентра VMware Datacenter OS (VDS-OS). Таги: VMware, ESX, Security, VDC-OS, VMsafe
Утилита «esxcfg-auth» делает возможным проведение аутентификации пользователя совместно с Active Directory путем подключения модуля аутентификации (Pluggable Authentication Module) и изменения настройки системы сервера ESX. Таги: Security, VMware, ESX
Виртуализация представляет собой еще один уровень абстракции компьютерных систем, который, безусловно, является потенциальным источником угроз. Ведь платформа виртуализации является еще одним звеном в цепочке объектов, нуждающихся в защите от несанкционированного доступа. При этом получение контроля над хостовой системой сервера виртуализации означает получение доступа ко всем виртуальным системам, запущенным в ней. Этот факт заставляет уделять повышенное внимание защите серверов виртуализации. К тому же, платформа виртуализации сама представляет собой объект для внутренних и внешних атак, и ее уязвимости могут повлечь непоправимые последствия для функционирования ИТ-инфраструктуры компании. Множество уязвимостей, находимых в последнее время в платформах виртуализации, заставили заговорить всерьез о безопасности виртуальных систем как об одном из самых значимых факторов при принятии решения о внедрении виртуализации. Таги: VMware, Security, ESX
Безопасность компьютерных систем за последние годы является одной из самых важных проблем в сфере IT. Различные комплексные системы компьютерной безопасности и средства производителей операционных систем и программного обеспечения позволяют в данный момент достаточно надежно защитить IT-инфраструктуру предприятия от атак извне. В этом плане, за последнее время средства защиты производственной среды компаний существенно продвинулись вперед. Однако, проблема инсайдерских (внутренних) атак является сейчас одной из самых актуальных. Предприятия вынуждены детально разрабатывать комплексные политики безопасности рабочих станций и серверов, использующихся различными категориями сотрудников, тратя на это значительное время и ресурсы.
В статье пойдет речь о продукте VMware ACE, обеспечивающем надежную защиту виртуальных окружений в ИТ-инфраструктуре предприятия. Таги: VMware, ACE, Security
RSS
