На прошедшей осенью этого года главной конференции о виртуализации Explore 2022 компания VMware сделала немало интересных анонсов, главным из которых стал выпуск новых версий платформ vSphere 8 и vSAN 8. На американской и европейской конференциях много говорили о будущих новых продуктах и технологиях VMware, но несколько незамеченным остался переход VMware на новую схему релизов платформы vSphere...
На прошедшей конференции Explore 2022 компания VMware представила множество интересных продуктов и технологий, о которых мы рассказали вот тут. Сегодня мы поговорим еще об одном решении, релиз которого состоялся на этой неделе - VMware Ransomware Recovery.
Согласно исследованиям, каждые 11 секунд в мире происходят атаки типа Ransomware (программы-вымогатели). Компаниям приходится платить до 5 миллионов долларов в качестве выкупа за получение доступа к своим данным. При этом в 92% случаев жертвы Ransomware после переведения оплаты в итоге не получают полного доступа к своим данным.
Сегодня мероприятия по борьбе с Ransomware состоят из следующих этапов:
В настоящее время большие компании заинтересованы в получении услуги Ransomware Recovery as-a-Service, которая подразумевает непрерывную работу по обнаружению и ликвидации вредоносного ПО, которое постоянно проникает в крупные организации. Проблема здесь в том, что Ransomware может жить незаметно в инфраструктуре до нескольких месяцев (сейчас медианный показатель составляет 11 дней), поэтому регулярное резервное копирование, неизменяемые копии (immutable backups) и жесткие политики хранения данных тоже не являются на 100% работающим средством.
В процессе восстановления после атаки Ransomware администраторы сталкиваются со следующими проблемами:
Идентификация точки восстановления, которая находится до момента возникновения подозрительной активности.
Валидация точки восстановления, чтобы убедиться в том, что данные в ней не содержат вредоносного кода.
Проведение итеративного процесса восстановления как можно быстрее.
Минимизация потерь данных в рамках процесса восстановления и после него - машины нужно поднять в изолированном окружении (Isolated Recovery Environment, IRE) и протестировать их на отсутствие инфекции. При этом надо сделать так, чтобы внутри ВМ оказались самые последние незараженные версии файлов и папок.
Итак, выпущенный VMware продукт Ransomware Recovery представляет собой облачное решение, доступное по запросу как Ransomware Recovery as-a-Service. Оно является дополнением к продукту VMware Cloud Disaster Recovery и использует двухъярусную инфраструктуру хранения, которая была разработана, в том числе, для задач борьбы с Ransomware.
Об этом мы уже писали ранее - одной из имплементаций такой инфраструктуры является платформа VMware Cloud Flex Storage.
Это решение построено на базе файловой системы enterprise-класса, которая разрабатывается уже много лет на базе продукта Datrium DHCI, купленного VMware в июле 2020 года. Эта же файловая система используется для сервиса VMware Cloud Disaster Recovery. Она имеет двухъярусный дизайн, который позволяет просто масштабировать емкость и производительность хранилищ, используя архитектуру Log-Structured Filesystem (LFS).
Там доступны такие возможности, как эффективные снапшоты, неизменяемость бэкапов (immutability), защита от ransomware и многое другое, что позволяет использовать их для разных типов организаций и рабочих нагрузок.
Функциональность VMware Ransomware Recovery в консоли Cloud Disaster Recovery позволяет обеспечить рабочий процесс идентификации Ransomware, валидации резервных копий и восстановления инфраструктуры после атаки в рамках утвержденных шагов согласно руководствам blueprints от VMware.
Возможности guided restore point selection позволяют найти точку во времени (снапшот данных), которая является наиболее подходящей для восстановления, учитывая баланс теряемых данных и вероятности возвращения инфекции:
Встроенные функции Next Gen AV and Behavioral Analysis позволяют проанализировать выбранный снапшот на наличие вредоносного кода. Это, конечно же, не дает 100% гарантии, что его там нет, но очень существенно снижает риски.
Все тесты проходят в окружении Isolated Recovery Environment (IRE), где внутрь виртуальной машины вставляет специальный security sensor, который проверяет машину на подозрительные активности.
В результате анализа будет выведен отчет о подозрительных активностях ВМ:
Кроме того, VMware Ransomware Recovery предоставляет следующие функции:
Пользователи могут использовать предконфигурированные сетевые политики в изолированном окружении, чтобы избежать реинфицирования.
За счет возможности Live Mount виртуальные машины включаются мгновенно в среде IRE, без необходимости их восстанавливать в нативном формате. Это минимизирует общее время восстановления инфраструктуры.
Возможности 30-minute RPO и Granular Recovery позволяют сохранять резервные копии в облако каждые полчаса и хранить их там в immutable-режиме в файловой системе Scale Out Cloud Filesystem. Это позволяет хранить глубокую историю снапшотов, а также восстанавливать отдельные файлы и папки из резервных копий в нужную точку восстановления (машину для этого даже не нужно включать).
Встроенные отчеты об аудите дают представление о производительности и полноте операций аварийного восстановления. Они доступны напрямую из SaaS-консоли.
Релиз VMware Ransomware Recovery уже состоялся. Более подробно почитать об этом решнии можно по этой ссылке.
Таги: VMware, Ransomware, Recovery, Security, Cloud, LSFS, DR
Недавно мы писали об анонсированной на конференции VMware Explore 2022 платформе VMware Aria, которая пришла на смену семейству продуктов VMware vRealize для управления кросс-облачными виртуальными датацентрами, присоединив к себе решение Skyline.
Сегодня мы поговорим еще об одном продукте VMware Aria Operations for Networks 6.8, сменившем средство vRealize Network Insight 6.7, продвинув его версию на 0.1. Напомним, что vRNI - это платформа для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре.
Первое большое нововведение Aria Operations for Networks - это обновленный стартовый дэшборд, где собрана сводная информация об инфраструктуре сетевых взаимодействий виртуального датацентра.
Здесь есть информация о здоровье платформы и ее сборщиков, различные источники данных, такие как vCenter, NSX-T, AWS и физические серверы, алерты, инстайты в сетевом разрезе, а также выявленные аномалии.
Также тут представлены тепловые карты окружения, объединяющего онпремизные, облачные и гибридные облачные ресурсы. Среди инсайтов представлены рекомендации по оптимизации правил фаерволов, подсистемы безопасности и многого другого, что требует внимания администратора.
Ну и главное, что здесь визуально видно, что именно требует немедленного реагирования, чтобы обеспечить работоспособность, безопасность и производительность приложений:
Также появились улучшения функций Network Assurance and Verification, основанных на приложениях. Теперь они позволят повысить производительность за счет нахождения проблем в TCP-трафике с точки зрения задержек (latency), повторной передачи и отображения алертов на дэшборде. Также есть возможность сравнить поведение приложения на разном оборудовании инфраструктуры, чтобы определить есть ли ошибки конфигурации, такие как некорректный размер пакета или MTU.
Онпремизные инсталляции теперь поддерживают функции Guided Network Troubleshooting (ранее было доступно только для SaaS-версии), которые позволяют визуализовать взаимозависимости компонентов и пройти по шагам к источнику проблемы, что дает администратору ответ на вопрос, куда копать в поисках решения:
Также добавилось еще несколько новых возможностей:
Улучшения Cisco ACI, включая возможность поиска путей в топологиях NSX-T и Cisco ACI, а также поддержка различных сценариев Endpoint Groups (EPG).
VMware HCX API для автоматизации действий по миграции рабочих нагрузок в облако и между облаками.
Улучшенная интеграция с VMware Cloud on AWS, что позволяет упростить развертывание продукта Aria Operations for Networks как аддона в облаке SDDC.
Встроенные обучающие гайды для операций с трафиком, планирования инфраструктуры безопасности, обнаружения приложений, влияния найденных проблем на бизнес, сетевого здоровья компонентов и поисковых запросов.
Пробную версию продукта VMware Aria Operations for Networks 6.8 можно загрузить по этой ссылке.
На прошедшей недавно конференции Explore 2022 компания VMware представила Project Newcastle - решение, использующее методику Post Quantum Cryptography (PQC) для создания фреймворка на базе политик, который позволяет организовать переход на современные технологии защиты для нового поколения приложений.
Вся индустрия шифрования на протяжении десятилетий использовала алгоритмы шифрования инфраструктуры открытых ключей RSA и ECDSA (Elliptic Curve Digital Signature Algorithm). С приходом квантовых вычислений их надежность в плане защиты от взлома с помощью квантовых компьютеров встала под угрозу.
Как многие знают, методики шифрования - это всегда компромисс между различными параметрами, такими как скорость обработки, размерность ключа, размер полезного сообщения и прочими. Чтобы перевести технологии шифрования на новый уровень, VMware представила методику Cryptographic agility - это механизм конфигурации на базе политик и платформа оркестрации для больших инфраструктур, где используются новые техники шифрования и обеспечивается обратная совместимость со старыми.
Project Newcastle, интегрированный с архитектурой Tanzu Service Mesh, предоставляет разработчикам средства, позволяющие перенастроить криптографию для приложений, чтобы она соответствовала политикам организации и отраслевым стандартам.
В партнерстве с компанией Entrust, VMware представила enterprise-grade решение, которое позволит обеспечить полную поддержку современных механизмов шифрования PQC с возможностью оркестрации операций жизненного цикла сертификатов на базе политик. Связка Entrust + Project Newcastle обеспечивает полную автоматизацию операций в этом ключе.
В рамках Explore 2022 компания VMware провела демонстрацию технологии Project Newcastle на базе облаков GCP и AWS, в которых располагаются кластеры Kubernetes:
Здесь представлена видимость криптографических политик между облаками, которые поддерживают провайдеров Post Quantum Cryptography при межоблачном взаимодействии.
При создании политики нужно указать область ее действия - для отдельных сервисов, кастомной группы или выбранных API. Ниже показан пример создания политики для всего приложения в варианте глобального пространства имен Global Namespace (GNS).
Далее определяется спецификация для создаваемой политики. Первый вариант - это кастомная политика криптографии на базе выбранных протоколов, используемых библиотек и прочего:
Для более простого варианта, который "просто работает", VMware рекомендует готовую политику, обеспечивающую комплаенс FIPS 140-3 и защиту от квантовых атак (quantum safety). Можно просто выбрать стандарт, который требуется в вашей организации:
Дальше нужно выбрать центр сертификации (certificate authority). VMware работает с Entrust, чтобы динамически развертывать сертификаты, соответствующие указанным требованиям. Служба Entrust PKI Service поддерживает сертификаты PQC:
Далее определяем, когда политика должна быть применена (прямо сейчас, сохранена как неактивная или внедрена в другой рабочий процесс):
После этого можно просмотреть данные о выбранной политике. Она будет обратно совместимой с уже существующими стандартами шифрования, такими как RSA, ECDSA и ECDHE:
Активация политики позволяет Project Newcastle перенастроить провайдеров шифрования, чтобы они соответствовали выбранным политикам. Это динамически включает возможность поддерживать PQC-коммуникацию между облаками. Ниже можно увидеть, что межоблачное соединение поддерживает стандарты NIST для аутентификации и обмена ключами:
Project Newcastle имеет встроенные средства для аттестации приложений, чтобы ограничить риски типа supply chain attacks. Для каждого приложения доступны не только сервисы аттестации, но и детальный отчет о статусе комплаенса для данного приложения в любой момент:
Более подробно о Project Newcastle можно узнать из следующих статей в блогах VMware:
Сегодня мы поговорим о Project Narrows - новом решении, предназначенном для динамического сканирования безопасности контейнеров.
Сейчас многие пользователи Kubernetes применяют решение Harbor для хранения, сканирования и подписания контента для распространения Cloud Native приложений в рамках полной цепочки развертывания. Project Narrows представляет собой дополнение к Harbor, которое позволяет получить доступ к состоянию безопасности кластеров Kubernetes в реальном времени.
Образы, которые ранее не проверялись, теперь будут сканироваться на уязвимости не только в процессе добавления в кластер, то есть теперь можно будет своевременно обнаружить бреши в безопасности, пометить их и поместить рабочие нагрузки на карантин.
Администраторы кластеров сейчас используют Harbor для статического анализа уязвимости в образах, используя различные утилиты, такие как Trivy, Claiк и ArkSec. Эти утилиты позволяют сканировать образы только после выполненного действия, такого как обновление образа или добавление рабочей нагрузки в кластер. Однако угрозы безопасности могут возникнуть и во время исполнения рабочих нагрузок.
Project Narrows добавляет динамическое сканирование образов, что позволяет получить большую защищенность и контроль над исполнением рабочих нагрузок, чем при использовании традиционных средств.
Это даст следующие преимущества:
Немедленное оповещение об уязвимости во время исполнения рабочей нагрузки
Предотвращение атаки в процессе работы приложений
Ограничение эксплоитов в работающем приложении без необходимости уничтожать контейнер
Находить эксплоиты в более сложных приложениях и сервисах
Идентифицировать сложные, состоящие из нескольких шагов атаки
Суть сложных атак заключается в том, что они используют уязвимости в ПО различных вендоров, которые не обнаруживаются на уровне хранения образов, но во время работы приложений они активируются и могут быть использованы злоумышленниками.
Архитектура Project Narrows позволяет интегрироваться с Harbor как плагин (выделенный квадрат на рисунке) для кластеров Kubernetes, которым необходимо динамическое сканирование. Используя простой UI и интерфейс CLI, администратор может выполнять следующие действия:
Просматривать в реальном времени статус защищенности рабочих нагрузок
Создавать политики для сканирования, включая найденные ошибки в приложениях
Делать ревью базовых уровней политик и, при необходимости, предотвращать развертывание рабочих нагрузок из уязвимых образов
Настраивать политику карантина для незащищенных рабочих нагрузок
Просматривать, фильтровать и удалять отчеты о политиках
Генерировать отчеты о состоянии систем при каждом сканировании
Просматривать информацию о помеченных узлах с потенциальными рисками
Эта платформа от VMware будет реализовывать API и аналитические инструменты для выявления подозрительных активностей, которые будут обнаруживаться в трафике, которым обмениваются современные приложения. С помощью Project Trinidad можно будет использовать API для East-West трафика между приложениями на базе микросервисной архитектуры, чтобы обнаруживать паттерны нормального взаимодействия и выявлять подозрительные коммуникации, обнаруживать которые человек не способен. В качестве примера можно привести уязвимость Heartbleed, трафик которой для администраторов выглядел вполне нормальным.
Ключевые особенности Project Trinidad:
Обнаружение Zero-day атак в современных приложениях
Моделирование нормального поведения приложений, обнаружение и предсказывание аномального поведения
Помещение на карантин подозрительных коммуникаций
Не требуется развертывание дополнительных специальных средств
Сейчас атаки на корпоративные инфраструктуры стали более комплексными, в том числе ввиду усложнения самих онпремизных и облачных сред. Администраторы используют сотни решений, многие из которых построены на базе стандартных компонентов, используемых в программном обеспечении по всему миру. Уязвимость Log4j показала, что зачастую стандартные системы защиты просто не работают при анализе и обнаружении вторжений.
Project Trinidad сочетает в себе как средства обеспечения безопасности, так и средства для observability - то есть наблюдения за трафиком за пределами мониторинга человеком. Инсайты по безопасности, выявленные Project Trinidad, можно быстро использовать, чтобы незамедлительно закрыть дыры в инфраструктуре.
Продукт будет работать как SaaS-сервис и не требовать вмешательства со стороны администратора для поддержки решения. Также будет доступна и онпремизная инсталляция, чтобы дать клиентам максимальную гибкость. Решение будет съедать менее 5% ресурсов, но зато даст администраторам любых компаний средства обеспечения безопасности самого высокого уровня.
Средства federated machine learning (FML) позволяет использовать алгоритмы машинного обучения, наученные на большом количестве данных об уязвимостях, что позволяет начать использовать продукт сразу, без необходимости собственного обучения на своей инфраструктуре.
На данный момент платформа Project Trinidad находится в стадии внутренней разработки и технологического превью, о дате ее доступности пока не сообщается. Более подробно о технологии federated machine learning также можно почитать вот тут.
В прошлом году компания VMware анонсировала технологию Elastic Application Security Edge (EASE), которая обеспечивает надежное и безопасное соединение между облаками на уровне датацентров или облачных edge-компонентов для приложений, которые постоянно меняются и нуждаются в мобильности. Для того, чтобы защитить текущие инвестиции компаний в оборудование, которое не может обеспечить все потребности меняющейся структуры облачных приложений, и был придуман Project Watch.
Эта технология позволит исполнять операции и надежно поддерживать мультиоблачные соединения поверх существующей аппаратной архитектуры и инфраструктуры безопасности. Это будет включать в себя следующие аспекты:
Автоматическое поддержание зашифрованных межоблачных соединений Clouds (AWS, Azure, and GCP), виртуальные домены Cloud Zones (VPC и VNET), а также операции в сфере обеспечения безопасности для снижения вероятности человеческой ошибки.
Непрерывный анализ рисков и комплаенса в сфере безопасности с возможностью получить набор средств для ограничения рисков и следования корпоративным политикам.
Интеграция рабочих процессов SecOps, CloudOps и бизнес-подразделений для более эффективной коммуникации между командами.
То есть, Project Watch - это расширение существующей архитектуры доступности и безопасности приложений:
Когда мы говорим о доступности, то есть стандартные термины в SLA, как, например, надежность 5 девяток (99.999%), а вот в плане безопасности таких общепринятых метрик нет.
Project Watch как раз будет вводить стандарт в области оценки рисков, который будет говорить о численных метриках взаимодействий. Например, в соответствии с корпоративной политикой типы взаимодействий user-to-app и app-to-app могут осуществляться только, если их risk score составляет менее 73.
При этом будут приниматься во внимание и небинарные решения, где администратор выбирает не только правила Permit/Deny. С помощью Project Watch можно будет поддерживать высокий уровень доступных коммуникаций с постепенным ограничением рисков и гибким регулированием правил.
Поддерживая и традиционную структуру политик Permit/Deny, Project Watch позволит постоянно анализировать риски источника, назначения и структуру коммуникации при проведении транзакций, чтобы обеспечить следующее:
Решения по предоставлению доступа становятся адаптивными и пересматриваемыми в реальном времени для баланса факторов доверия, риска, чувствительности данных и критичности для бизнеса.
Теперь можно будет дать либо "добро" на коммуникацию, либо устранить риск, чтобы иметь такую возможность, и дать зеленый свет транзакциям, для которых ранее стояло жесткое правило Deny.
Этот подход требует вовлечения и других вендоров экосистемы безопасности в этот процесс. Чтобы все действовали в рамках одного набора определений, нужно договориться о методике оценки risk score, а также способах мониторинга, оценки и ограничения рисков.
Таким образом, VMware работает, что стандартизировать индустрию безопасности в рамках политик и оценки рисков, для чего будет доступен open risk framework, который реализует следующие вещи:
Indicators of Risk (IoR) - это параметры, которые будут доступны стороннему ПО. Там будут утилиты для безопасности, метки рабочих нагрузок, контекст окружения, а также классификация операций и данных при коммуникации в рамках сессии источника и назначения.
IoR могут быть организованы в объекты buckets, такие как индикаторы типа Strategic, Operational, Security и Compliance, которые можно использовать для численного измерения рисков между источником и назначением.
Далее риски просчитываются непрерывно, как часть транзакции, а также появляется и оценка потенциальных рисков для источника, назначения и самой коммуникации.
Далее можно делать базовые уровни для рисков (baselining) для разных приложений и окружений, используя стандартные профили рисков, а также гибко ограничивать риски путем регулировки пороговых значений (thresholds).
Доступность технологического превью платформы Project Watch ожидается в ближайшие несколько месяцев.
На конференции Explore 2022 компания VMware анонсировала множество новых проектов, обновлений и технологий, которые мы увидим в ближайшем будущем. Недавно мы писали о новых версиях платформ VMware vSphere 8 и VMware vSAN 8, а сегодня расскажем о Project Northstar, в рамках которого пользователям будут доступны доставляемые как SaaS облачные сетевые сервисы.
Сейчас в больших компаниях, использующих гибридную облачную среду, существует большая проблема по управлению сетевым взаимодействием сервисов, многие из которых находятся в различных публичных облаках. Это ведет к проблемам с унификацией, управляемостью и безопасностью, что влияет на стабильность и надежность сетевой коммуникации облачных приложений между собой.
Решая эту проблему, компания VMware представила Project Northstar - новое превью технологии, построенной на базе SaaS-сервисов, которые будут доступны пользователям решения NSX. Она позволит получить набор мультиоблачных инструментов, получаемых по запросу и реализующих службы кроссоблачной безопасности, end-to-end видимости сетевых потоков и контроля над сетевым взаимодействием.
Эта архитектура строится на стеке технологий и продуктов Network Detection and Response (NDR), NSX Intelligence, Advanced Load Balancing (ALB), Web Application Firewall (WAF) и HCX. Она поддерживает как частные, так и публичные облака, в том числе на базе инфраструктуры VMware Cloud.
Project Northstar будет давать следующие преимущества:
Faster time to value - сервисы, мгновенно доступные по запросу в любом из публичных облаков, поддерживающих технологии VMware, на базе служб федерации. Они будут обеспечивать совместимость и консистентность сетевого взаимодействия приложений, соблюдение единых корпоративных политик, платформу для быстрого масштабирования облака (cloud bursting) и эластичное взаимодействие cloud-to-cloud.
Flexible service consumption - теперь сетевые службы будут доставляться как SaaS-сервис, что позволит оптимизировать затраты и контролировать все аспекты сетевой коммуникации в централизованной панели управления. Также саму платформу можно будет обслуживать без остановки сетевых служб и в большой степени в автоматическом режиме.
Scalable lateral security - мультиоблачные окружения Northstar можно будет защищать с помощью таких технологий, как распределенный сетевой экран и NDR (Network Detection and Response), а надзор за этим будет осуществляться со стороны VMware. Технология NDRaaS будет давать пользователям инструменты для обнаружения сетевых вторжений и реакции на эти атаки по запросу. В дополнение к NSX Intelligence as a Service этот комплекс решений будет давать полную защиту рабочих нагрузок в мультиоблачных средах.
Project Northstar избавит крупные компании от необходимости использования разного набора сетевых инструментов (управление, безопасность, автоматизация операций), которые сейчас доступны в каждом из частных или публичных облаков. На данный момент администраторы используют разные консоли этих облачных провайдеров, что на большом масштабе неизбежно приводит к ошибкам из-за человеческого фактора.
Теперь же для мультиоблачного сетевого взаимодействия будет нужна только одна консоль, управляющая всеми сетевыми службами:
По-сути, Project Northstar - это эволюция платформы NSX, которая будет реализовывать 5 различных сервисов:
Policy-aaS - централизованное управление сетевыми политиками для разных облаков в одной консоли. Там же доступны политики безопасности и средства решения проблем.
NSX Intelligence-aaS - это инструменты для просмотра сетевой активности между облаками в реальном времени. Также тут будет использоваться VMware Data Lake, управляемое со стороны VMware, которое будет использоваться для предоставления рекомендаций для политик и безопасности в мультиоблачных окружениях. Ну и тут будут доступны средства визуализации Network Traffic Analysis (NTA), в которых будут доступны инсайты по обработке потенциальных точек вторжения, а также средства обнаружения сетевых аномалий.
NDR-aaS - сервис Network Detection and Response (NDR) дает средства обнаружения и пресечения вторжений. Он анализирует события IDPS, вредоносного ПО (malware) и сетевые аномалии, чтобы дать администратору полную картину с точки зрения безопасности. Далее можно организовать threat hunting на базе фреймворка MITRE ATT&CK.
NSX ALB-aaS - это расширенные средства балансировки нагрузки (Advanced Load Balancing), которые будут поддерживать онпремизные и облачные окружения. Они будут работать как standalone-система, так и как SaaS-службы, управляемые со стороны VMware. То есть пользователи будут подключаться к соответствующему Advanced Load Balancer provider, которые будет из коробки давать все необходимые службы балансировки без необходимости их развертывания.
HCX-aaS - это набор служб для миграции рабочих нагрузок как услуга, которая управляется на стороне VMware. Для них можно использовать централизованный дэшборд, где доступна оркестрация подключений, перебалансировки и миграций сервисов между облаками. Также тут доступны и функции централизованной отчетности о мобильности сервисов.
Если раньше все эти службы были доступны только пользователям решения NSX и облачного решения VMware Cloud on AWS, то теперь в Project Northstar они будут работать для разных облаков и гибридных сред по модели доставки SaaS.
Ну и в заключение пара полезных статей на тему Project Northstar с конференции Explore 2022:
В 2017 году компания VMware купила компанию VeloCloud, которая занималась продвижением технологии SD-WAN (software-defined WAN) для организации программно-определяемых WAN-сетей. Напомним, что для корпоративных онпремизных и облачных сетевых сред у VMware есть решение NSX, но решения VeloCloud предназначались для управления WAN-инфраструктурой компаний, которым было необходимо организовать и контролировать доступ пользователей из разных точек земного шара, с разных устройств и разных условиях защищенности и стабильности каналов, когда ресурсы организации, а также внешние SaaS-сервисы, находятся в географических разнесенных датацентрах. Сегодня мы поговорим об инфраструктуре VMware SASE - Secure Access Service Edge, которая призвана решить проблемы нового времени.
Продолжаем рассказывать о главном продукте для создания отказоустойчивых хранилищ StarWind Virtual SAN, который позволяет обеспечивать бесперебойное функционирование кластеров виртуальных машин на базе серверов виртуализации VMware ESXi или Microsoft Hyper-V. Сегодня мы рассмотрим механизм назначения прав доступа инициаторов в консоли StarWind Management Console, с помощью которой администраторы управляют всеми аспектами виртуальных хранилищ.
Таги: StarWind, iSCSI, Virtual SAN, VSAN, Security, Storage, HA
Недавно компания VMware объявила о скором выпуске обновленной версии решения vRealize Network Insight 6.7, предназначенного для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре. Напомним, что о новых возможностях версии vRNI 6.6 мы писали вот тут.
Давайте посмотрим, что нового появилось в vRealize Network Insight 6.7:
Поддержка протокола IPv6 для обнаружения приложений, а также видимость потоков трафика IPv6 для Center и NSX
Мониторинг сетевого взаимодействия и траблшутинг компонентов VMware HCX
Функции Assurance and Verification для сетевых визуализаций Cisco ACI Network Map. Теперь там отображаются Cisco Endpoint Groups (EPG), HSRP, контракты и другие элементы
Улучшения в дэшбордах Federation в части NSX Advanced Load Balancer (Avi) для пользователей SaaS-подписки vRealize Network Insight Universal
Повышение информативности для сетевых потоков NSX-T для identity-based аутентификации и метрик CPU core usage на устройствах NSX-T Edge Node CPU
Новые метрики интерфейсов роутеров NSX-T Transport Node
Метрики пакетов uRPF для портов VMware NSX-T и Cisco ASR 1000
Обновились обучающие материалы по продукту, включая внутренний туториал для планирования безопасности приложений и организации траблшутинга сети
Подробнее о решении VMware vRealize Network Insight 6.7 можно узнать здесь .
Компания VMware на днях анонсировала новый продукт из линейки Workspace ONE - Mobile Threat Defense. Это решение дополняет существующие средства по защите пользовательских окружений в части мобильных приложений на платформах Android, iOS и Chrome OS. Уже сегодня этот продукт доступен для пользователей и имеет интеграцию с решением Workspace ONE Intelligent Hub и UEM.
За счет интеграции с Intelligent Hub не требуется установки каких-то новых приложений или сервисов на пользовательские устройства. Администратору требуется лишь включить функции ONE Mobile Threat Defense в настройках, и данное решение автоматически будет развернуто на мобильных устройствах.
Основные возможности по защите мобильных пользовательских сред:
1. Средства защиты мобильных устройств
От атак типа SSL certificate stripping
От слабых алгоритмов (weaker algorithm negotiation)
От сканеров портов
От spyware и surveillance ware
От sideloaded apps
2. Механизмы обработки вредоносного контента и фишинговых угроз
В почте, SMS, мессенжерах и социальных приложениях
Выстраивание цикла обновления ОС и накатывания патчей
Решение проблем с устаревшими и давно не обновляемыми приложениями
4. Управление конфигурациями
Отслеживание Jailbreak / root access
Управление механизмом Wi-Fi auto join
Выявление приложений, которые негативно влияют на пользовательское окружение и устройство
Более подробно о решении Workspace ONE Mobile Threat Defense можно узнать на этой странице (там же есть и небольшое видео о продукте). Документация доступна тут.
На днях компания VMware опубликовала отчет по уязвимостям VMSA-2022-0014, которые были обнаружены в решениях Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation и VMware Cloud Foundation. Напомним также, что vIDM является компонентом таких продуктов, как NSX vRealize Operations, vRealize Log Insight и vRealize Network Insight. Это критическая уязвимость, которая позволяет обойти процедуры аутентификации пользователя и повысить привилегии в соответствующем продукте.
Обход аутентификации означает, что злоумышленник, который имеет доступ только к сети, в которой работает одно из перечисленных решений, может потенциально получить административный доступ к ним. То есть, уязвимость очень важная и опасная, уровня "emergency" в терминологии ITIL.
Основная информация о том, как закрыть эти дыры, приведена по следующим двум ссылкам:
Компания VMware несколько недель назад объявила о выпуске обновленной версии своей платформы для виртуализации и доставки настольных ПК и приложений VMware Horizon 8 2203 (так обозначается теперь релиз, последние четыре цифры - это год и месяц выпуска). Однако сегодня мы рассмотрим возможность key logger blocker, которая появилась еще в релизе 2111 в клиенте Horizon client for Mac осенью прошлого года.
В то время, как многие компании переходят на удаленный режим работы сотрудников, в том числе в виртуальных ПК, которые находятся под управлением корпоративных политик, возрастают риски, связанные с вредоносным ПО на оконечных устройствах. Одним из таких рисков является возможность "подхватить" кейлоггер на неуправляемом хостовом комьютере пользователя, который будет сохранять нажатия клавиш, что может привести к утечке конфиденциальных данных, а также пролей к учетным записям в разных системах.
Возможность блокировки кейлоггеров появилась в Horizon client for Mac. Она позволяет администраторам централизованно управлять групповыми политиками GPO, применяющимся к виртуальным машинам, к которым происходит доступ. Во время соединения происходит блокировка считывания клавиш со стороны приложения на компьютере пользователя.
Политика конфигурации агента называется Key Logger Blocking, при ее включении в хостовой системе кейлоггер просто не сможет считывать нажатия клавиш при вводе пароля виртуального ПК, что продемонстрировано в видео ниже:
Скачать клиенты VMware Horizon 8 2203 можно по этой ссылке.
На днях компания VMware объявила о выпуске новой версии решения vRealize Network Insight 6.6 (vRNI), предназначенного для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре. Напомним, что о версии 6.3 этого продукта мы писали вот тут. Также мы рассказывали о vRealize Network Insight Universal, представляющим собой комплекс средств по мониторингу сетевого окружения и аналитике в экосистеме продуктов NSX, NSX Advanced Load Balancer, vCenter / vSphere, VMware SD-WAN, а также сторонних решений по обеспечению сетевого взаимодействия и защиты виртуальных сред.
Давайте посмотрим, что нового появилось в vRNI 6.6:
1. Аналитика "Crown Jewels"
Теперь в vRNI есть возможность сфокусироваться на объектах Crown Jewels, то есть наиболее критичных виртуальных машинах, физических IP и т.п. в мультиоблачной гибридной инфраструктуре.
В раздел Crown Jewels можно добавить любой объект из консоли:
Для объекта можно определить степень анализа (Scope) и длительность анализируемого промежутка (Duration):
После этого можно запустить анализ, результаты которого дадут верхнеуровневую картину всех связанных сущностей, степень доступности, входящие потоки и их природу (внутренние или интернет-трафик):
Дальше мы можем сфокусироваться на отдельной сущности, чтобы узнать как ее состояние влияет на доступность, а также можно отследить потоки между сущностями на базе очков доступности:
Ну и можно экспортировать отчет Crown Jewels Analysis в формат PDF, который будет содержать список всех связанных сущностей и рекомендованные правила сетевых экранов для защиты этих объектов.
2. Улучшения балансировщиков и взаимодействия приложений
Балансировщики ставятся перед приложениями, и важно наблюдать их в совокупности, с точки зрения безопасности и доступности. Ранее мониторинг балансировщиков и приложений был доступен по отдельности, теперь же есть комплексное представление этой конфигурации:
Также информация о балансировщиках доступна из дэшборда приложений:
На дэшборде приложений информация обновляется в реальном времени, а балансировщики обнаруживаются автоматически.
Пользователь может определить, какие ярусы приложений обслуживаются балансировщиками, а также увидеть соединения между этими компонентами. На картинке ниже виден ярус web tier для приложения, который обслуживается балансировщиком, а когда вы кликаете на соответствующее соединение, вы получаете полную информацию о том, как настроен балансировщик и его операционный статус.
3. Пакетное изменение источников данных
Теперь для источников данных есть пакетные действия, которые упрощают ручные процедуры. Вы можете обновить учетные данные, временно отключить сбор данных или выполнить какую-либо другую операцию, например, изменить интервал сбора метрик.
4. Функции Network Assurance и Verification Updates
Теперь в vRNI 6.6 есть поддержка архитектур Cisco UCS и Cisco FEX в представлении Assurance and Verification Network.
Это дает детализацию инфраструктуры UCS на уровне путей Layer 2 / Layer 3 и соединений. Вот пример отображения топологии блейд-серверов USC на шасси 5108 с показом всех соединений блейдов в FEX, а также интерконнектов между фабриками:
Также есть возможность замапить пути от устройства к устройству или от ВМ к ВМ:
Также для сетевых карт была добавлена поддержка объектов NSX Bare Metal Edges. Вот пример отображения соединений между NSX Bare Metal Edges и TOR-коммутатором, где показаны все возможные пути трафика, включая заблокированные пути:
5. Прочие улучшения
Вот что еще интересного появилось в vRNI 6.6:
Поддержка топологий Arista BGP-EVPN
Новая локация для облака vRealize Network Insight Cloud и vRealize Network Insight Universal - Mumbai, India
Виртуальные модули Platform и Collector теперь поддерживают Secure NTP
Ноая метрика active sessions, показывающая, сколько сессий идет в рамках потока
Был обновлен компонент Databus, который теперь поддерживает фильтры для подписчиков на метрики
Больше информации VMware vRealize Network Insight 6.6 можно получить по этой ссылке.
Компания VMware выпустила очередную полезную бесплатную книгу для администраторов, где затрагиваются вопросы обеспечения информационной безопасности виртуальной инфраструктуры предприятий - Securing Your Organization from Threats for Dummies.
Из книги почти на 50 страниц вы узнаете о следующих вещах:
Какие сегодня существуют проблемы в сфере информационной безопасности ИТ-инфраструктуры компаний
Какие есть особенности обеспечения ИБ встроенными в платформы средствами и внешними продуктами
Как VMware подходит к обеспечению ИБ в своих решениях, чтобы обеспечить максимальное удобство и умный подход к безопасности
Рассматриваются 4 основных варианта использования средств защиты виртуальных сред с применением различных инструментов и стратегий
Почему следует взаимодействовать с командой VMware Security для надежной защиты инфраструктуры
В качестве объектов защиты рассматриваются следующие сущности:
Мультиоблачные окружения (рабочие нагрузки, коммуникации, доступ пользователей, кросс-облачный доступ и конфигурация облачных сред)
Защита современных приложений
Защита рабочих сред сотрудников, распределенных географически
Постоянная защита центра операций с безопасностью
Скачать книгу Securing Your Organization from Threats for Dummies можно по этой ссылке.
Недавно мы писали о выходе новой версии пакета продуктов VMware Cloud Foundation 4.4, предназначенного для создания виртуального датацентра организации. Напомним, что он включает в себя компоненты VMware vRealize Suite, VMware vSphere Integrated Containers, VMware Integrated OpenStack, VMware Horizon, NSX и другие, работающие в онпремизной, облачной или гибридной инфраструктуре предприятия под управлением SDDC Manager.
Напомним, что одной из новых возможностей VCF 4.4 стало то, что теперь сервис SSH отключен на всех хостах ESXi по умолчанию - это новая конфигурация, которая применяется в соответствии с рекомендациями по безопасности.
Если по какой-то причине на одном или нескольких хостах в рамках доменов рабочей нагрузки (workload domains) вам нужно использовать SSH, то вот как можно это сделать.
Чтобы включить SSH на всех доменах и хостах ESXi вашей инфраструктуры, нужно выполнить следующую консольную команду SDDC Manager как root:
/opt/vmware/sddc-support/sos --enable-ssh-esxi --domain-name ALL
Если нужно включить SSH на одном из доменов, то делается это так:
Не все знают, что у VMware есть руководства по безопасности не только самой платформы, но и некоторых других продуктов, которые можно найти по этой ссылке.
Например, недавно обновился документ NSX-T 3.2 Security Configuration Guide, рассказывающий об обеспечении безопасной конфигурации решения для виртуализации и агрегации сетей NSX-T 3.2, о новых возможностях которого мы писали вот тут.
Напомним, что этот документ доносит концепцию "Secure by design", что означает, что среда VMware NSX-T изначально настроена оптимальным образом с точки зрения безопасности, поэтому вносить изменения вам нужно только в случае наличия каких-либо специальных требований в вашей инфраструктуре.
Как обычно, руководство состоит из двух файлов:
XLSX-таблица со всеми конфигурациями и объяснениями по их настройке
PDF-файл с описанием лучших практик по созданию безопасной конфигурации (документ Securing VMware NSX-T Data Center)
Основная таблица руководства разбита на 5 вкладок:
Doc. Info - описание колонок таблиц (см. ниже).
Management Plane - рекомендации и конфигурации для управляющих компонентов.
Data Plane - настройки, касающиеся работы с трафиком.
Ну а вот как выглядят основные поля приведенных в таблице конфигураций:
ID - идентификационное имя рекомендации.
Component - это продукт VMware или другой компонент виртуальной среды (например, гипервизор KVM).
Subcomponent - это логическая группировка рекомендаций и конфигураций по категориям.
Title - лаконичная формулировка сути этой рекомендации.
Vulnerability Discussion - описание влияния настройки на конфигурацию среды и операции, а также обсуждение моментов, которые касаются безопасности в связи с изменением настройки.
Assessment Procedure - пошаговое описание процедур, которые нужно выполнить, чтобы получить желаемую конфигурацию.
Word of Caution - это информация о потенциальном негативном эффекте от изменения данной настройки.
Desired Value - рекомендуемое значение, часто оно является значением по умолчанию.
Is the setting default? - просто для понимания (и для референса в будущем), установлено ли желаемое значение по умолчанию.
API - это ссылка на соответствующий NSX-T REST API.
Reference - отсылка к документации или другим объектам, которые более детально описывают данную конфигурацию.
Скачать VMware NSX-T 3.2 Security Configuration Guide можно по этой ссылке.
В прошлом году на VMworld 2021 компания VMware представила обновление продукта Workspace ONE Intelligence, который предназначен для для анализа поведения пользователей и устройств и выдачи рекомендации администраторам ИТ-инфраструктуры по применению тех или иных действий. На вход этого движка подаются данные об использовании устройств, приложений и данных пользователей, затем они агрегируются, анализируются, а потом для администраторов генерируются некоторые рекомендации и правила, которые можно применить для повышения эффективности инфраструктуры виртуальных ПК и приложений.
Тогда мы рассказали о новых возможностях этого продукта, а сегодня вкратце расскажем о том, какие основные его функции позволяют повысить безопасность пользовательской среды в рамках концепции Zero Trust Security, то есть когда никакие из систем предприятия по умолчанию не считаются 100% защищенными.
1. Мониторинг и отслеживание аномалий
Workspace ONE Intelligence позволяет пользователям отслеживать изменения метрик в их окружениях, касающихся аномалий в производительности и безопасности, а также проактивно корректировать их с помощью созданных сценариев автоматизации. На картинке ниже представлена временная картинка с трендами рисков, где администратор может погрузиться в отдельную систему для их детального понимания:
2. Доверенная экосистема (Trust Network)
В дополнение к данным окружения платформы Workspace ONE (включая Workspace ONE UEM и Workspace ONE Access), данные могут быть дополнены средствами внешних систем, входящих в доверенную экосистему Trust Network.
Например, вы можете подключить систему VMware Carbon Black, которая также может встроиться в окружение Workspace ONE. Например, вот два виджета, которые отображают Threat Count и Threat Type от Carbon Black в консоли Workspace ONE Intelligence:
3. Автоматизации для работы с данными об угрозах
Вы можете настроить различные автоматизации для действий в ситуации наступления определенных угроз. К примеру, если решение Carbon Black обнаружило какое вредоносное ПО в системе, например, ransomware, то система может быть помещена на карантин, а в Slack будет отправлено сообщение, оповещающее о проблеме. Затем будет создан тикет в ServiceNow, а Workspace ONE UEM протэгирует опасный объект и поместит его на карантин:
4. Аналитика рисков устройств и пользователей
Для дальнейших исследований аномалий в рамках экосистемы инфраструктуры виртуализации система может сделать скоринг рисков для устройств и пользователей на базе датасета, имеющегося в Workspace ONE. Вот так это выглядит:
Более подробно об этих всех возможностях можно почитать в документации.
Компания VMware объявила, что теперь ее решение VMware vRealize Automation Cloud можно дополнить продуктом SaltStack SecOps Cloud, который позволяет добавить дополнительные средства безопасности в инфраструктуру автоматизации облака. Этот компонент позволяет добавить функции соблюдения комплаенса и устранения уязвимостей в решение vRA Cloud по модели SaaS из облака.
Напомним, что ранее этот продукт был доступен только для онпремизной инфраструктуры vRealize Automation:
SecOps - это Security плюс Operations, то есть средства, которые позволяют объединить усилия команд безопасников и администраторов при конфигурации и контроле виртуальной среды. Теперь обе команды могут настраивать политики безопасности, сканировать системы на их соблюдение и активно исправлять конфигурации из единой консоли.
Многим организациям приходится соответствовать различным стандартам безопасности (ISO 27000, HIPAA, PCI, NIST и прочим), что требует выполнения тысяч различных требований и проверок. Организация Center for Internet Security (CIS) предоставляет пользователям единый фреймворк для соблюдения комплаенса в рамках различных требований и регуляций.
vRealize Automation SaltStack SecOps Cloud включает в себя базу данных сертифицированного CIS контента и требований DISA STIG (Defense Information Systems Agency Security Technical Implementation Guides), которые являются базой при конфигурации политик безопасности облачной среды.
vRealize Automation SaltStack SecOps Cloud ежедневно сканирует системы на соблюдение соответствия и предотвращает плавную "утечку" конфигураций безопасности в неправильную сторону.
Также это решение включает в себя сервисы интеграции с решением VMware Carbon Black Cloud, что позволяет дополнить средства проактивного поиска уязвимостей Black Cloud решением для исправления конфигураций и соблюдения требований регуляторов.
В дополнение к этому vRA SaltStack SecOps Cloud позволяет добавить результаты сканирования решений Tenable, Rapid7, Qualys и Kenna, чтобы ускорить настройку безопасной конфигурации среды.
Более подробно о решении vRealize Automation SaltStack SecOps Cloud можно почитать на официальном сайте.
Компания VMware выпустила четвертое издание документа Global Security Insights Report 2021, в котором рассматриваются глобальные проблемы безопасности ИТ-инфраструктуры, которые были актуальны в прошлом году. В исследовании приняло участие 3 542 специалиста в должности CIO, CTO и CISO из разных организаций, которые находятся в 14 странах.
76% специалистов в области информационной безопасности рассказали о том, что число атак увеличилось, а 78% из них заявили, что это произошло по причине того, что многие сотрудники перешли на удаленный режим работы. Также 79% сказали, что атаки стали более изощренными и спланированными. Очевидно, ИТ-безопасность стала одним из главных трендов нового времени.
Растет активность Ransomware как одного из самых страшных видов атак с точки зрения экономического ущерба:
Стратегия Cloud-first Security набирает обороты:
Также использование брешей в безопасности очень плохо влияет на репутацию:
Ну и самая критичная точка по опросам, через которую может произойти вторжение - приложения:
Компания VMware выпустила интересный документ "Intel architecture optimizes VMware SD-WAN Edge performance", в котором рассказывается о решении VMware Secure Access Service Edge (SASE) на базе аппаратных платформ Intel. Решение SASE объединяет компоненты интегрированной среды VMware, предназначенные для создания распределенной инфраструктуры безопасного и производительного доступа пользователей к приложениям и средства контроля этой активности.
Экосистема решения, описанного в документе, выглядит следующим образом:
Идея концепции SASE в том, чтобы обеспечивать защиту доступа к приложениям в географических центрах, максимально приближенных к облачной инфраструктуре, где эти приложения находятся (публичные облака и облака сервис-провайдеров). Сейчас у SASE есть более, чем 150 точек присутствия (points of presence, PoP), где физически размещено оборудование в облачных датацентрах, что позволяет построить безопасный и высокопроизводительный мост к SaaS-сервисам приложений.
Компоненты SASE включают в себя следующие решения:
Облачную технологию VMware SD-WAN, которая виртуализует WAN-сети в целях отделения программных служб от оборудования, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках.
Компонент VMware Secure Access для удаленного доступа в рамках фреймворка zero-trust network access (ZTNA). Это новый уровень VPN-решений, который дает новые инструменты для доступа к облачным приложениям.
VMware Cloud Web Security - это интегрированное решение на базе таких техник, как Secure Web Gateway (SWG), cloud access security broker (CASB), data loss prevention (DLP), URL filtering, а также remote browser isolation (RBI), что реализовано на уровне SASE PoP для защиты прямого доступа к SaaS-приложениям и веб-сайтам.
VMware Edge Network Intelligence - это платформа для отслеживания активности подключений и сетевых потоков в рамках концепции AIOps, которая предполагает использование алгоритмов AI/ML для аналитики трафика WAN-to-branch, WiFi/LAN, а также на уровне приложений.
В документе описывается использование компонентов VMware SD-WAN Edge на базе различных платформ Intel, использующих процессоры Atom и Xeon. Требуемая конфигурация устройств SD-WAN рассматривается через призму требований приложений к пропускной способности канала, а также объема виртуализуемых сетевых служб, таких как фаерволы, системы IDS и прочее, которые работают как VNF (virtual network functions) в рамках программно-аппаратных модулей.
Недавно мы писали об уязвимости Log4j, затрагивающей компоненты веб-серверов Apache Software Foundation log4j Java logging, а значит присутствующей и во многих продуктах VMware. Также мы рассказывали о том, как понять, что вас сканируют на уязвимость log4j, если у вас есть VMware vRealize Network Insight.
Надо сказать, что у партнеров VMware есть такое средство, как HealthAnalyzer, которое осуществляет сбор данных с различных компонентов виртуальной среды и составляет отчет об их состоянии. Оно позволяет собрать детальную информацию о продуктах VMware Horizon, VMware vSphere и VMware NSX, которая включает в себя различные конфигурации и данные об использовании. Собранные с помощью VMware HealthAnalyzer Collector данные можно отправить партнерам VMware или в саму VMware для дальнейшего анализа.
HealthAnalyzer позволит вам обнаружить угрозы, которые описаны в статьях CVE-2021-4428, CVE-2021-45046 и CVE-2021-45105 (а это 10/10 и 7.5/10 по шкале серьезности). Однако чтобы это работало, вам нужно удалить старую версию VMware HealthAnalyzer и поставить новую с портала Partner Connect.
Чтобы удалить старую Java-версию HealthAnalyzer, нужно просто удалить ее папки и связанные файлы. Для виртуальных модулей - нужно выключить ВМ и удалить ее из инвентори.
Также если вы будете использовать предыдущую версию анализатора, то ваши регистрационные данные в форме не будут приняты:
За установкой продукта HealthAnalyzer обращайтесь к своему поставщику VMware.
Ну и бонус-видео о том, как временно обезопасить свой VMware vCenter от Log4j, пока критические фиксы еще в пути:
Недавно мы писали про критическую уязвимость log4j, которая появилась в компоненте веб-сервера Apache Software Foundation log4j Java logging, а значит и во многих продуктах VMware. Атакующий, который имеет доступ к отсылке логов, может исполнять код, полученный с LDAP-серверов, когда настройка message lookup substitution включена. Это уязвимость типа "zero-day", а значит исправление ее для различных программных продуктов еще находится в процессе.
Если у вас есть средство VMware vRealize Network Insight, предназначенное для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре, то вы можете легко обнаружить злоумышленников, которые пытаются использовать уязвимость log4j.
Итак, вам понадобится собранный участниками краудсорсинговой кампании список IP-адресов, а также вот этот Python-скрипт от автора Martijn Smit. В VMware vRNI должен быть включен анализ потоков (flows), кроме того у вас должен быть развернут vRealize Network Insight Python SDK.
Для запуска процесса анализа сетевых подключений и потоков выполняем следующие команды:
Отработают эти команды примерно следующим образом (кликните для анимации):
Также этот скрипт можно запустить и в облачной версии vRealize Network Insight Cloud с токеном Cloud Services Portal API. Для этого надо посмотреть параметры скрипта:
# python3 vrni-log4j-flow-check.py --help
Понятное дело, что если вы найдете соединения с атакующих IP (однако, не все они могут быть вредными, так как в списке много адресов российских провайдеров), то лучше отклонить эти соединения.
Вот еще немного информации по теме, которая может оказаться вам полезна:
Как знают многие администраторы VMware vSphere, у компании есть очень полезный документ "Security Configuration Guide", который представляет собой основное руководство по обеспечению безопасности виртуальной среды. Последняя версия этого документа содержит 87 настроек (мы писали об этом тут), так или иначе влияющих на безопасность как самой платформы виртуализации, так и виртуальных машин и их гостевых операционных систем.
Документ передает концепцию "Secure by design", что означает, что среда VMware vSphere изначально настроена оптимальным образом с точки зрения безопасности, поэтому вносить изменения вам нужно только в случае наличия каких-либо специальных требований именно в вашей инфраструктуре.
Надо понимать, что конфигурация виртуальной среды в целях обеспечения повышенной (относительно дефолтной) безопасности - это всегда компромисс между защищенностью и удобством использования (как и для любой другой ИТ-системы). Из коробки сама платформа, сервер vCenter и виртуальные машины настроены таким образом, чтобы обеспечить максимальное удобство использования при должном уровне безопасности.
Помните, что изменение настроек безопасности - очень опасная штука, которая требует обязательного документирования и оповещения администраторов об этом. Ведь из-за этого они могут получить проблемы с работой отдельных компонентов, но так и не понять их источника, что будет похуже чисто гипотетической маловероятной атаки, связанной с измененной настройкой.
Сегодня мы посмотрим на 15 действительно полезных рекомендаций и настроек, применение которых не сильно снизит удобство использования, но при этом даст чуть более высокий уровень безопасности, что может оказаться вам в каком-то случае полезным.
Структура списка конфигураций и рекомендаций
Давайте сначала взглянем на колонки Excel-таблицы, которая, по-сути, и является списком настроек и рекомендаций, которые вы можете применить в своей виртуальной инфраструктуре:
Guideline ID - идентификационное имя рекомендации.
Description - лаконичная формулировка сути этой рекомендации.
Discussion - описание влияния настройки на конфигурацию среды и операции, а также обсуждение моментов, которые касаются удобства использования инструментов управления в связи с изменением настройки.
Configuration Parameter - это название расширенной настройки соответствующего компонента, которую вы можете изменить. Понятно дело, что эта колонка заполнена не всегда, так как есть рекомендации, которые регулируются не конкретными настройками, а, например, топологией или подходом к организации среды.
Desired value - рекомендуемое значение, часто оно является значением по умолчанию, если это не site specific.
Default value - то значение, которое установлено по умолчанию.
Is Desired Value the Default? - просто для понимания (и для референса в будущем), установлено ли желаемое значение по умолчанию.
Action Needed - это тип действия, который необходимо предпринять - изменить настройку, проверить конфигурацию или топологию, добавить или удалить что-то и т.п.
Setting Location in vSphere Client - очень полезная колонка, позволяющая вам найти нужную настройку в клиенте vSphere.
Negative Functional Impact in Change From Default? - это как раз информация о влиянии на функционал в случае изменения настройки.
PowerCLI Command Assessment - команда PowerCLI, с помощью которой можно узнать текущее значение настройки.
PowerCLI Command Remediation Example - команда PowerCLI по применению настройки.
Hardening - указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации.
Site Specific Setting - говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.
Audit Setting - указывает, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено необоснованно.
Само руководство разбито на 4 категории, которые понятны всем администраторам:
Хосты ESXi
Сервер vCenter
Виртуальные машины
Гостевые ОС виртуальных машин
Также в документе есть и вкладка "Deprecated" - там находятся те настройки, которые больше не актуальны. Что важно - там помечено, почему это случилось (в колонке Discussion).
Итак, давайте посмотрим на 15 самых интересных и, главное, полезных настроек, которые вы можете изменить, а также рекомендаций, которые вы можете выполнять, чтобы повысить безопасность виртуальной среды в своей инфраструктуре.
Хосты ESXi
Configure remote logging - это действительно правильная рекомендация. Хосты ESXi должны отправлять свои логи на удаленный сервер Syslog. Самый удобный вариант - это использовать в качестве Syslog-сервера решение VMware vRealize Log Insight. Ведь если злоумышленник проникнет на сервер ESXi, то после своей активности он эти логи удалит, и расследовать будет нечего. С централизованного внешнего сервера удалить эти данные сложнее. На работу виртуальной среды эта конфигурация не влияет.
Ensure ESXi management interfaces are isolated on their own network segment - это очевидная, но не всегда выполняемая администраторами конфигурация. Конечно же, вся управляющая инфраструктура виртуальной среды должна находиться в выделенном сегменте сети в своих VLAN, куда имеют доступ только администраторы. То же самое касается и сети vMotion, и сети vSAN.
esxi-7.shell-interactive-timeout и esxi-7.shell-timeout (Set a timeout to automatically terminate idle ESXi Shell and SSH sessions) - по умолчанию сессии командной оболочки и SSH-сессии висят постоянно, что, конечно же, представляет потенциальную угрозу. Лучше ограничить таймаут 600 секундами, чтобы никто эти сессии не смог подхватить.
Only run binaries delivered via VIB - эта настройка позволяет устанавливать бинарные компоненты только через VIB-пакеты, которые соответствуют установленному Acceptance Level. Если вы не пользуетесь посторонними библиотеками кустарного производства, то лучше эту настройку включить. Когда вам понадобится установить такой бинарник - просто включите эту настройку снова. Но это изменение лучше задокументировать.
Enable bidirectional/mutual CHAP authentication for iSCSI traffic - настраивать CHAP-аутентификацию нужно обязательно, чтобы предотвратить атаки, связанные с перехватом трафика к хранилищам. Настраивать это недолго, но зато будет больше уверенности в сохранности данных.
Сервер vCenter
Ensure vCenter Server management interfaces are isolated on their own network segment or as part of an isolated ESXi management network - это та же самая рекомендация по изоляции управляющей сети от сети виртуальных машин, что и для серверов ESXi. Убедитесь, что они надежно разделены с помощью VLAN и других техник.
Ensure that port mirroring is being used legitimately - эта настройка отключена по умолчанию, но зеркалирование трафика на портах vSphere Distributed Switch надо периодически проверять (vSphere Client -> Networking -> Distributed Switch -> Configure -> Settings -> Port Mirroring). Такой способ атаки - один из самых простых в реализации, если у злоумышленника есть доступ к настройкам VDS (обычно в них никто не заглядывает после первичной настройки). То же самое касается и отправки трафика NetFlow, управление которым производится в разделе vSphere Client -> Networking -> Distributed Switch -> Configure -> Settings -> NetFlow.
Limit access to vCenter Server by restricting DCLI / SSH - это разумная рекомендация, чтобы злоумышленник не смог залогиниться в консоль виртуального модуля напрямую или по SSH. Уменьшив поверхность атаки, вы сделаете среду более защищенной. Только не забудьте задокументировать это изменение.
Configure File-Based Backup and Recovery - не ленитесь настраивать и обслуживать бэкап конфигурации вашего управляющего сервера. Однажды это может вам пригодиться как в контексте безопасности, так и в контексте быстрого восстановления системы управления в виртуальной инфраструктуре в случае сбоя.
Configure remote logging - здесь те же рекомендации, что и для ESXi. Не ленитесь настраивать сервер удаленного сбора логов.
Виртуальные машины
Limit the number of console connections - очень часто к консоли виртуальной машины не нужно больше одного подключения ее администратора. В этом случае дефолтное количество 40 одновременных подключений лучше уменьшить до 1. Делается это в разделе VM -> Edit Settings -> VM Options -> VMware Remote Console Options.
Encrypt VMs during vMotion - это полезная настройка. По умолчанию, трафик vMotion шифруется, только если есть такая возможность (Opportunistic). Если у вас хватает вычислительных ресурсов и быстрая сеть, то можно установить это значение в "Required". Это обеспечит защиту от перехвата трафика vMotion, в котором есть данные гостевой ОС виртуальной машины.
Lock the VM guest session when the remote console is disconnected - лучше включить эту настройку и лочить сессию при отключении удаленной консоли, чтобы брошенная администратором сессия в гостевой ОС виртуальной машины не была подхвачена злоумышленником. На удобство работы это не сильно влияет. Изменить эту настройку можно в VM -> Edit Settings -> VM Options -> VMware Remote Console Options.
Гостевая ОС
Ensure that VMware Tools are updated - это просто еще одно напоминание, что нужно постоянно следить за тем, что пакет VMware Tools обновлен до последней версии (и желательно поддерживать единый уровень версий для всех машин). В нем содержится много компонентов (кстати, не устанавливайте ненужные), поэтому уязвимость в одном из них может скомпрометировать множество виртуальных машин. То же самое относится и к версии Virtual Hardware - следите за этим.
Disable Appinfo information gathering - об интерфейсе Appinfo мы писали вот тут (он же Application Discovery). Он позволяет, например, собирать информацию о запущенных приложениях внутри гостевой системы и их параметрах. Механизм Appinfo используется различными решениями, такими как vRealize Operations Manager, для мониторинга на уровне гостевой ОС. Если же вы не используете эти решения в своей виртуальной среде, то данный механизм лучше просто отключить через VMware Tools. Учитывая какое количество багов, касающихся безопасности, в последнее время находится в различных компонентах инфраструктурного ПО, лучше отключить функции Appinfo, которые включены по умолчанию для всех гостевых ОС после установки VMware Tools.
Конечно же, в документе vSphere 7 Security Configuration Guide есть много и других настроек и конфигураций, изменение которых помогут вам повысить уровень безопасности. Иногда это связано с требованиями регулирующих органов или спецификой внутренних политик организации. Поэтому обратите особенное внимание на те конфигурации, которые помечены как Site Specific, а также те, где рекомендуемые значения отличаются от дефолтных. И обязательно документируйте сделанные изменения, а также проводите регулярный аудит наиболее важных настроек.
На днях компания VMware объявила о скором обновлении своего средства NSX-T до версии 3.2. Напомним, что NSX-T - это решение для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров, физических серверов и контейнеров приложений Kubernetes. О версии VMware NSX-T 3.0 мы писали в прошлом году вот тут.
Давайте посмотрим, что появилось нового в VMware NSX-T 3.2.
Функции мультиоблачной безопасности
Здесь появились следующие улучшения:
1. Возможности Tapless Network Traffic Analysis (NTA)
Функции Network traffic analysis (NTA) и средства для создания песочниц интегрированы в единый NSX Distributed Firewall (DFW). Сам сервис NTA встроен в гипервизор. Вместе с функциями IDS/IPS решения NSX администраторы могут виртуализовать весь стек безопасности и устранить слепые зоны для применения политик безопасности, чтобы контролировать сетевые потоки, безотносительно того, какие физические уровни под ними лежат.
2. Сетевой экран шлюза (Gateway Firewall)
Улучшенный gateway firewall
служит как программный шлюз с возможностью контроля на уровнях L2-L7, включая URL-фильтрацию и расширенные функции предотвращения угроз с возможностями анализа вредоносного ПО и сэндбоксинга.
Это расширяет функции централизованного управления безопасностью на физические нагрузки, периметр датацентра и оконечные устройства, что дает возможность реализовать концепцию east-west и north-south по защите данных под центральным управлением движка NSX Intelligence.
3. Интегрированный механизм NDR и NSX Intelligence
Теперь решение NSX Network Detection and Response (NDR) интегрировано в платформу NSX Intelligence, что позволяет решению NDR понимать сигналы от IDS/IPS, NTA и сэндбокса, чтобы идентифицировать настоящие вторжения. Также NSX Intelligence получил улучшения производительности, а также улучшения движка рекомендаций для правил фаервола.
4. Распределенная Switch-agnostic безопасность
NSX Distributed Firewall теперь поддерживает рабочие нагрузки, развернутые на распределенных группах портов (Distributed Port Groups) распределенных коммутаторов (VDS). Это позволяет реализовать фаервол NSX без внесения изменений в vSphere Distributed Switch и без конвертации портов в N-VDS, а также без развертывания сетевых оверлеев.
Улучшения сетевого взаимодействия и механизма политик
Здесь мы увидим 3 основных улучшения:
1. Работа с сетью и обеспечение безопасности для связки NSX-T и Antrea
Начиная с NSX-T 3.2, сетевые администраторы могут определить политики для Antrea в плане сетевых настроек и безопасности для контейнеров прямо из интерфейса NSX-T Manager. Политики применяются к кластерам Kubernetes на базе Antrea 1.3.1-1.2.2 с использованием interworking controller. Объекты K8s, такие как поды, пространства имен и сервисы, объединяются в инвентаре NSX-T и тэгируются, а значит их можно выбрать при настройке политик Distributed Firewall. Также NSX-T может управлять компонентом Antrea Traceflow и собирать лог-бандлы с кластеров, используя Antrea.
2. Улучшенный координатор миграции
NSX Migration Coordinator был улучшен, теперь он поддерживает определенные пользователем топологии NSX, больший масштаб развертываний и другие возможности, которые ранее не поддерживались, например, VMware Integrated OpenStack (VIO), фиксированные топологии OSPF, функции guest introspection для партнеров, которые поддерживают Migration Coordinator, а также конфигурации identity-based firewall (IDFW/RDSH).
3. Функции NSX Federation
Эти возможности впервые были представлены в NSX-T 3.0. Они позволяют через NSX Global Manager централизованно управлять распределенной виртуальной сетью в нескольких локациях, поддерживая их в синхронизированном виде с точки зрения конфигурации, политик безопасности и операционного управления.
Теперь NSX Federation поддерживает репликацию тэгов виртуальных машин между local managers, что позволяет виртуальным машинам при восстановлении после сбоя сохранить нужные политики безопасности. Также в NSX-T 3.2 есть мониторинг состояния каналов коммуникации между global и local manager.
Улучшения настройки сети и операций
В этой категории VMware сделала 4 основных улучшения:
1. Улучшенное развертывание NSX
Теперь администраторы могут развернуть NSX-T manager и различные сценарии networking and security напрямую из клиентов vSphere. Также есть guided workflows, которые упрощают развертывание NSX Manager и настройку политик.
2. Упрощенное развертывание для NSX Advanced Load Balancer
Установка NSX Advanced Load Balancer (ALB) теперь стала проще за счет тесной интеграции с NSX Manager. Вы можете использовать графический интерфейс NSX Manager для установки и настройки контроллеров NSX Advanced Load Balancer, после чего запустить ALB UI для настройки расширенных параметров. Также появились возможности по миграции своего решения по балансировке с NSX for vSphere на VMware NSX Advanced Load Balancer с использованием Migration Coordinator.
3. Поддержка vRealize Network Insight Support для NSX-T Federation and Firewall
Тесная интеграция между vRealize Network Insight 6.4 и NSX-T Federation позволяет улучшить сетевую видимость между разными датацентрами на базе NSX-T на разных уровнях: глобальном, региональном и уровне локального сайта. Новые возможности позволяют оптимизировать производительность и просмотр сетевых потоков VM-to-VM как в рамках одного сайта, так и между сайтами в рамках федерированной топологии. vRealize Network Insight 6.4 теперь поддерживает NSX-T Distributed Firewall (DFW) на распределенных порт-группах (Distributed Port Groups, DVPG), что дает дополнительные возможности анализа незащищенных потоков трафика, возможности безопасности, такие как Name Space (NS) groups, а также правила распределенного фаервола на существующих группах vSphere VLAN DVPG.
4. Улучшения сетевого мониторинга и механизма решения проблем
Новые функции Edge и L3 time-series monitoring позволяют получить представления во времени для метрик Edge и L3, такие как использование CPU, памяти, диска, пакетов в секунду, байтов в секунду, packet drop rate и многое другое в NSX Manager. Это позволяет сетевым администраторам получать больше данных для анализа в историческом контексте. Функции Live Traffic Analysis в NSX Manager дают возможность производить оперативную диагностику и решение проблем в плане состояния кластера, компонентов управления, федерации, состояния транспортных узлов, distributed firewall, Edge, VPN, NAT, Load Balancing и платформы NSX Application Platform.
Компания VMware сообщает пользователям, что разобралась с проблемой, которая появилась в компоненте веб-сервера Apache Software Foundation log4j Java logging, а значит и во многих продуктах VMware. Эта уязвимость описана в CVE-2021-44228 - атакующий, который имеет доступ к отсылке логов (к отсылке самих сообщений или к настройке их параметров), может исполнять код, полученный с LDAP-серверов, когда настройка message lookup substitution включена. Это уязвимость типа "zero-day", а значит исправление ее еще находится в процессе.
Надо понимать, что поскольку проблема с log4j касается веб-серверов, то вам надо позаботиться о защите не только управляющих компонентов виртуальной инфраструктуры VMware, но и виртуальных и физических машин.
Итак, вот какие ресурсы помогут вам защититься от этой уязвимости:
Для инфраструктурного ПО VMware нужно просто убедиться в том, что у вас установлен соответствующий патч или апдейт, который не старше версии, указанной в таблице по первой ссылке:
Увы, для многих продуктов исправлений еще нет, они в процессе выпуска, поэтому до момента их накатывания следует озаботиться применением воркэраундов из рекомендаций VMware, ссылки на которые также приведены в таблице. Да, пока придется править реестр и конфигурационные файлы.
Помните, что уязвимость критическая и имеет оценку 10 из 10 по методике CVSS 3.1 (remote code execution, RCE), поэтому надо проверить все компоненты инфраструктуры уже сегодня, особенно те, что смотрят в интернет. Самым простым способом для злоумышленника будет посылка кода со страницы логина атакуемого сервиса, так как все такие действия логируются.
Ну и есть положительный момент - в облачных инфраструктурах, таких как VMware Cloud on AWS, эти проблемы уже устранены, но на стороне онпремизных облаков или небольших сервис-провайдеров они все еще могут быть.
Не так давно мы рассказывали о продукте NAKIVO Backup & Replication, который является одним из лидеров в сфере решений для резервного копирования и защиты данных виртуальной инфраструктуры, его основных возможностях и областях применения. Сегодня мы рассмотрим новые возможности версии 10.5, которая вышла недавно и доступна для загрузки.
Многим из вас знакомы продукты компании StarWind, предназначенные для создания отказоустойчивых хранилищ под различные платформы виртуализации. Сегодня мы поговорим о том, как настраивать аутентификацию доступа к хранилищам через протокол CHAP в решении StarWind Virtual SAN...
Таги: StarWind, iSCSI, Storage, Security, ESXi, VMware, Microsoft, Hyper-V, HA
На сайте проекта VMware Labs появилась очередная бесплатная утилита для администраторов, на этот раз решения vRealize Network Insight. С помощью средства vRNI Toolkit администраторы платформы для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений могут выполнять различные рутинные операции.
Давайте посмотрим на основные возможности vRealize Network Insight Toolkit:
Пакеты разработки vRealize Network Insight Python и PowerShell SDK прединсталлированы и готовы к использованию.
Интеграция с VMware HCX - сначала нужно использовать Application Discovery для определения приложений в vRNI, после чего эту интеграцию можно использовать для синхронизации приложений в VMware HCX как групп Mobility Groups. Это дает бесшовный процесс миграции для пользователей.
Веб-инструмент Migration Planner - с помощью него можно планировать миграцию приложений или целых сетей.
Интеграция с vRNI позволяет соединиться с ядром продукта, выполнить кастомные поисковые запросы и сгенерировать суммарную информацию в Excel, в которой есть следующие пункты, касающиеся требований к сети для миграции:
Intra, Inter, East-West, North-South, Internet traffic для различных групп Network Groups.
Составляющие Network Group - сети VLAN и другие, которые администратор определяет в рамках рабочих процессов.
Скачать VMware vRealize Network Insight Toolkit можно по этой ссылке. Ну и небольшое видео с обзором продукта:
RSS
