Заждались? Но, не волнуйтесь, он уже здесь - пятый выпуск обзора бесплатных программ и утилит для виртуальной инфраструктуры VMware vSphere / ESX / ESXi. Сегодня мы рассмотрим все самые интересные бесплатные средства администрирования и управления серверами ESX и ESXi, а также приведем ссылки на все заметки VM Guru, опубликованные ранее по этой теме.
William Lam, известный блоггер, уже сделал сценарий Perl (один из интерфейсов VMware vSphere), который позволяет произвести проверку соответствия вашей инфраструктуры VMware ESX требованиям VMware Security Hardening Guide и вывести отчет в формате html.
Скачать скрипт VMware vSphere Security Hardening Report Check можно по этой ссылке.
Возможности скрипта:
Отчет, посылаемый на почту
Возможность выполнения только отдельных групп проверок (COS,HOST,VCENTER,VNETWORK,VM)
Возможность выполнения отдельного пакета тестов (ENTERPRISE,DMZ,SSLF)
Детальный отчет в html с оценкой процента успешного прохождения тестов
Nicholas Weaver выпустил интересную бесплатную утилиту Session Monitor для VMware vSphere / ESX, позволяющую в реальном времени отслеживать подключения к серверу управления виртуальной инфраструктурой VMware vCenter.
На VMware Communities появился черновик разделов документа VMware vSphere 4.0 Security Hardening Guide, являющегося основным руководством по обеспечению информационной безопасности виртуальной инфраструктуры серверов ESX и виртуальных машин.
Безопасность инфраструктуры виртуализации на ESX 4.0 и vCenter 4.0 в документе VMware vSphere 4.0 Security Hardening Guide поделена на 5 частей (кроме оглавления), каждую из которых можно скачать отдельно:
Компания VMware ожидает помощи от сообщества в проведении ревью документа VMware vSphere 4.0 Security Hardening Guide и внесении в него дополнений - присоединяйтесь!
На Techtarget появилась хорошая статья Eric'а Siebert'а о безопасности виртуальных машин на сервере виртуализации VMware ESX. Статья достаточно длинная, поэтому постараюсь привести краткое содержание с пояснениями.
Чтобы украсть виртуальную машину с VMware ESX вместе со всеми ее данными и приложениями нужно сделать 3 вещи:
1. Сделать Snapshot виртуальной машины, что переведет ее основной виртуальный диск vmdk в режим только чтения.
2. Загрузить диск vmdk с общего или локального хранилища на машину злоумышленника с помощью FastSCP или WinSCP (можно использовать встроенный в vSphere Client Datastore Browser).
3. Импортировать виртуальную машину на VMware Workstation (для запуска и доступа к данным и приложениям), либо смонтировать диск ВМ в операционную систему Windows или Linux с помощью утилиты vmware-mount из комплекта VMware's Virtual Disk Development Kit (VDDK).
Комментарии:
1. Поскольку основной vmx-файл виртуальной машины будет ссылаться не только на основной vmdk, но и на файл снапшота (отличия от исходного состояния ВМ), нужно будет этот vmx подправить. Кроме того, после того, как файлы vmdk и vmx будут скопированы злоумышленником, он удаляет снапшот - для администратора будто бы ничего и не было.
2. Чтобы запустить импортированную виртуальную машину потребуется пароль администратора гостевой ОС. Как известно, есть утилиты для подбора пароля администратора под Windows Server.
3. Чтобы смонтировать виртуальный диск vmdk и получить доступ ко всем данным - никакого пароля не нужно (если не было шифрования средствами гостевой ОС). Представьте, что вы украли обычный физический диск и воткнули его в компьютер.
4. Файлы vmdk не шифруются в VMware vSphere, но судя по тому, что возможность шифрования в VMware Workstation 7 появилась, в скором времени ее можно ожидать и для VMware vSphere / ESX.
Как не допустить кражи виртуальной машины со своего сервера VMware ESX:
1. Разграничивайте доступ к VMware vCenter, а также к томам VMFS, где хранятся виртуальные машины (в том числе на уровне SAN).
После установки сервера VMware ESX 4 из состава vSphere 4 многие пользователи сталкиваются с первой проблемой: невозможно удаленно войти пользователем root в Service Console по протоколу SSH. Решив эту проблему, пользователи задумываются о том, достаточно ли безопасно всегда входить в сервисную консоль пользователем root и какие права необходимо назначать пользователям в Service Console для работы с сервером VMware ESX. Сегодня мы рассмотрим обе этих проблемы в контексте безопасности и покажем некоторые практические приемы работы с командами su и sudo.
Некоторым пользователям VMware vSphere 4 не хватает стандартной функциональности Distributed vSwitch (dvSwitch), который позволяет создать центральный коммутатор для всей виртуальной инфаструктуры, представляющий собой объединение виртуальных коммутаторов на хостах VMware ESX.
Специально для них, компания Cisco, близкий партнер VMware, предоставляет пользователям возможность применять специализированный виртуальный коммутатор Cisco Nexus 1000V в составе издания VMware vSphere Enterprise Plus (за отдельные деньги), который очень удобен сетевым администраторам для больших инсталляций VMware vSphere. Полный список функций распределенного коммутатора Cisco Nexus 1000V, который бывает как физическим устройством, так и виртуальным модулем (Virtual Appliance) приведен вот в этом документе.
Offline Virtual Machine Servicing Tool предназначена для решения следующей проблемы: в ИТ-инфраструктуре предприятия, зачастую, присутствует множество виртуальных машин на хостах Hyper-V, которые не используются и находятся в выключенном состоянии. Соответственно, обновления к ним не применяются, и устаревают версии антивирусного программного обеспечения в гостевой операционной системе. Это ведет к тому, что когда такая виртуальная машина включится - она не будет соответствовать корпоративным политикам информационной безопасности предприятия. Поэтому с помощью Offline Virtual Machine Servicing Tool можно держать выключенные виртуальные машины в состоянии up-to-date. С помощью интерфейса Windows PowerShell, группа unmanaged виртуальных машин запускается, обновляется до нужного уровня безопасности и возвращается в состоянии offline, но с обновленной ОС, и продолжает свое хранение в библиотеке ВМ.
Скачать Offline Virtual Machine Servicing Tool (OVMST) для Hyper-V R2 можно здесь.
P.S. В ближайшее время ждите обзор бесплатных программ и утилит для Microsoft Hyper-V R2 и SC VMM 2008 R2. Таги: Microsoft, Hyper-V, SC VMM, OVMST, Security
Многие специалисты по информационной безопасности интересуются, как правильно задавать политики сложности и устаревания паролей консольной ОС для VMware ESX Server. Сегодня мы расскажем о том, как нужно обращаться с командой esxcfg-auth для управления аутентификацией пользователей на ESX, и как сделать безопасным логин в Service Console.
Есть такая компания VMinformer, которая выпускает продукт с одноименным названием, предназначенный для аудита безопасности виртуальной инфраструктуры VMware vSphere. VMinformer является технологическим партнером VMware (TAP), сама же утилита позволяет проанализировать безопасность инфраструктуры виртуализации на соответствие требованиям PCI и SOX. Для каждого хоста VMware ESX выдается отчет по Security, в котором оцениваются риски различной тяжести. Очень наглядно работа VMinformer представлена на видео ниже:
Коллеги делятся информацией, что какое-то время назад компания HyTrust выпустила Virtual Appliance с одноименным названием под версией 1.5.
Продукт HyTrust Virtual Appliance предназначен для обеспечения безопасности виртуальной инфраструктуры VMware vSphere / ESX, где этот виртуальный модуль становится звеном через которое проходят все каналы доступа к виртуальной инфраструктуре (vSphere Client, SSH, Web Access и т.п.). Основные возможности продукта HyTrust Virtual Appliance:
Проксирование всех интерфейсов доступа к инфраструктуре VMware vSphere / ESX (SSH, Client, сторонние API) с обеспечением безопасного доступа. Поддержка токенов и прочей двухфакторной ереси.
Поддержка ролевой модели VMware vCenter и управление безопасностью на основе политик для объектов.
Поиск брешей в инфраструктуре на основе шаблонов PCI DSS, C.I.S. Benchmark, VMware Best Practices.
Для платформы VMware ESX / vSphere написано множество разнообразных бесплатных утилит, скриптов и полноценных приложений, которые не грех использовать в промышленной среде виртуализации для решения повседневных задач администраторов. Для начала напомним основные ссылки на предыдущие материалы о бесплатных приложениях для виртуальной инфраструктуры VMware VI / vSphere...
Как вы знаете, Web Access на VMware ESX 4 в vSphere отключен по умолчанию. Для VMware vCenter иногда требуется отключить Web Access насовсем в целях безопасности. Однако как быть, если вы хотите ограничить доступ пользователей к VMware Web Access на vCenter по IP-адресу для администраторов? Очень просто - добавляем в файл:
Richard Garsthagen выпустил бета-версию своей утилиты для аудита инфраструктуры виртуальных ПК VMware View, насящую название vAudit.
Запустив анализ инфраструктуры VMware View vAudit, вам поможет узнать, когда пользовали работали со своими виртуальными ПК, и каким действием закончилась их работа (Log Off или Disconnect).
Во многих компаниях, где используется VMware VI 3.x / vSphere 4, службы VMware Web Access не используются для управления инфраструктурой серверов VMware ESX, поэтому требуется их отключение в целях безопасности. Рассмотрим 2 варианта:
1. Если требуется отключить доступ только из внешней сети (External Web Access), то в файле C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\proxy.xml на сервере vCenter нужно удалить следующий объект:
Сегодня я хочу рассказать о производителе средств безопасности для виртуальной инфраструктуры, компании Reflex Systems, которая в своих решениях пытается совместить средства обеспечения безопасности инфраструктуры виртуализации и инструменты управления.
Основной продукт компании Reflex для VMware vSphere, Microsoft Hyper-V и Citrix XenServer называется Virtualization Management Center (VMC):
Этот продукт поставляется в виде виртуальных модулей (Virtual Appliance) и после загрузки с сайта Reflex может быть импортирован в окружение VirtualCenter как уже готовая виртуальная машина. После импорта и первичной настройки мы просто заходим по http на IP-адрес виртуальной машины и видим уже привычный нам интерфейс... Таги: VMware, Security, Reflex, VMC, ESX, Xen, Hyper-V, Microsoft
Ниже представлен набор ссылок на различные документы как VMware, так и сторонних производителей, касающихся безопасности VMware Virtual Infrastructure и применимых к VMware vSphere...
Таги: VMware, vSphere, Security, ESX, ESXi, vCenter
Компания VMware рекомендует не использовать доступ к ESX / ESXi по протоколу SSH без необходимости. Мало того, доступ по SSH к ESXi официально не поддерживается. Тем не менее, такая необходимость очень часто есть, в связи с настройкой из командной строки сервисной консоли самой платформы и виртуальных машин, а также использованием агентов сторонних разработчиков.
Сегодня мы расскажем о том, какие средства на ESX можно использовать для определения того, какие пользователи в данный момент залогинены, чем они занимаются и как узнать, какова ранее была их активность... Таги: VMware, Security, ESX, ESXi
Компания VMware в прошлом году приобрела компанию Blue Lane Technologies, ориентированную на безопасность виртуальной инфраструктуры, вместе с продуктом Virtual Shield. В течении небольшого времени компания VMware провела его ребрэндинг и скоро выпустит под названием VMware vShield Zones.
vShield Zones представляет собой промежуточный слой между гипервизором ESX Server и виртуальными машинами с гостевыми ОС. По сути это сетевой экран, контролирующий сетевой трафик виртуальных машин, приходящий и уходящий с хостов ESX... Таги: VMware, Security, VMsafe, vShield, ESX, vSphere
Защита виртуальной инфраструктуры требует несколько иного подхода, чем физическая. То что нам предлагают поставщики решений по виртуализации в контексте безопасности, например, Virtual Desktop Infrastructure, с одной стороны повышает уровень безопасности данных за счет централизации, с другой стороны, понижает его за счет единой точки возможного вторжения.
Типичный пример – развертываемые из одного шаблона виртуальные настольные ПК с использованием View Composer в инфраструктуре VMware View. С одной стороны, один образ защищать проще, чем 100 компьютеров, с другой – заражение одного образа ночью приведет к тому, что все 100 виртуальных машин будут заражены уже утром, когда сотрудники придут на работу. Нужно учитывать также тот момент, что если скомпрометирован хост-сервер виртуализации (а точнее гипервизор) – все виртуальные машины этого хоста также будут под угрозой. А если брать в расчет механизмы горячей миграции VMotion и балансировки нагрузки – вообще интересная вещь получается…
Таги: VMware, Security, ESX, VMsafe
Некоторые пользователи VMware Virtual Infrastructure предъявляют особые требования к безопасности виртуальной инфраструктуры. В их числе финансовые компании, банки, организации здравоохранения и т.п. Компания VMware очень внимательно подходит к безопасности своих продуктов и имеет несколько сертификатов от организаций, проводящих сертификацию в этой сфере.
Сегодня мы приведем основные принципы безопасности в VMware Virtual Infrastructure 3.5 для виртуальных машин на платформе VMware ESX. Таги: VMware, ESX, Security
При использовании консоли виртуальной машины в VI Client зачастую требуется отключение операций копирования и вставки из гостевой операционной системы в целях безопасности. Чтобы запретить эти операции в ESX Server, требуется добавить некоторые параметры в расширенные настройки виртуальной машины. Для этого сделайте следующее... Таги: VMware, ESX, Security
Компания VMware уже больше года назад анонсировала технологию VMsafe, которая позволит вывести на новый уровень безопасность в виртуальных окружениях VMware. Автором идеи и ее активистом является Мендель Розенблюм, один из основателей VMware, который не так давно покинул компанию в связи с увольнением его жены Дианы (бывшая глава VMware и ее основатель). Но дело Менделя, как известно, живет. Ниже расскажем несколько подробностей технологии, которая появится в 2009 году, в не так давно анонсированной на VMworld 2008 «виртуальной» операционной системе для датацентра VMware Datacenter OS (VDS-OS). Таги: VMware, ESX, Security, VDC-OS, VMsafe
Утилита «esxcfg-auth» делает возможным проведение аутентификации пользователя совместно с Active Directory путем подключения модуля аутентификации (Pluggable Authentication Module) и изменения настройки системы сервера ESX. Таги: Security, VMware, ESX
Виртуализация представляет собой еще один уровень абстракции компьютерных систем, который, безусловно, является потенциальным источником угроз. Ведь платформа виртуализации является еще одним звеном в цепочке объектов, нуждающихся в защите от несанкционированного доступа. При этом получение контроля над хостовой системой сервера виртуализации означает получение доступа ко всем виртуальным системам, запущенным в ней. Этот факт заставляет уделять повышенное внимание защите серверов виртуализации. К тому же, платформа виртуализации сама представляет собой объект для внутренних и внешних атак, и ее уязвимости могут повлечь непоправимые последствия для функционирования ИТ-инфраструктуры компании. Множество уязвимостей, находимых в последнее время в платформах виртуализации, заставили заговорить всерьез о безопасности виртуальных систем как об одном из самых значимых факторов при принятии решения о внедрении виртуализации. Таги: VMware, Security, ESX
Безопасность компьютерных систем за последние годы является одной из самых важных проблем в сфере IT. Различные комплексные системы компьютерной безопасности и средства производителей операционных систем и программного обеспечения позволяют в данный момент достаточно надежно защитить IT-инфраструктуру предприятия от атак извне. В этом плане, за последнее время средства защиты производственной среды компаний существенно продвинулись вперед. Однако, проблема инсайдерских (внутренних) атак является сейчас одной из самых актуальных. Предприятия вынуждены детально разрабатывать комплексные политики безопасности рабочих станций и серверов, использующихся различными категориями сотрудников, тратя на это значительное время и ресурсы.
В статье пойдет речь о продукте VMware ACE, обеспечивающем надежную защиту виртуальных окружений в ИТ-инфраструктуре предприятия. Таги: VMware, ACE, Security
Компания VMware для сетевого взаимодействия предоставляет нам устройства, называемые виртуальными коммутаторами, что создает у нас впечатление, что это аналог физического устройства, работающий по тому же принципу. Давайте проверим это предположение на двух основных платформах виртуализации VMware: бесплатной Server 1.0 и платной VMware ESX Server 3.0, являющейся частью виртуальной инфраструктуры Virtual Infrastructure 3.
RSS
