В недавно вышедшем обновлении платформы виртуализации VMware vSphere 6.0 Update 2 появилась возможность конфигурации Logon Banner (он же Security Banner) для того, чтобы предупредить пользователей или потенциальных злоумышленников о последствиях неавторизованного доступа к системе. Подробно об особенностях его конфигурации написал Вильям Лам, а мы рассмотрим тут основные моменты настройки баннера вкратце.
Это стандартный подход к обеспечению безопасности, баннер мало кого останавливает, но хотя бы сам факт его наличия будет еще одним пунктиком при привлечении нарушителя к ответственности.
Конфигурация логон-баннера доступна только через интерфейс Platform Services Controller (PSC) Administrator UI, к которому можно получить доступ по следующей ссылке:
https://[PSC-HOSTNAME]/psc
В разделе Configuration вы найдете конфигурацию баннера, где можно настроить следующие параметры:
Status - включен он или выключен.
Checkbox Consent - будет ли показан обязательный для отметки чекбокс согласия с правилами.
Title - заголовок текста.
Message - собственно, само сообщение.
Также можно изменять данные параметры из командной строки с помощью сценария /opt/vmware/bin/sso-config.sh, что требует SSH-доступа к хосту PSC. Ну и вам понадобится создать файл banner.txt, где будет содержаться основной текст баннера безопасности.
Для того, чтобы установить заголовок баннера и его текст, но не включать чекбокс, используйте следующую команду:
opt/vmware/bin/sso-config.sh -set_logon_banner /root/banner.txt -title 'Disclaimer' -enable_checkbox N
Можно не использовать путь к тестовому файлу, а, например, просто изменить заголовок:
Быстрый рост числа кибератак и нарушений конфиденциальности персональных данных делает критически важной защиту финансовых операций. Все помнят недавнюю громкую историю с хищением $300 млн со счетов клиентов в России, Китае и Европе группировкой хакеров Carbanak и многие другие. Ведущие мировые операторы платежных систем: Visa, MasterCard, American Express, JCB и Discover совместно установили «Стандарт безопасности данных индустрии платежных карт» (PCI DSS), чтобы повысить надежность финансовых транзакций...
Важная новость пришла от компании Veeam, производителя лучшего решения для резервного копирования и репликации виртуальных машин Veeam Backup & Replication v8. Теперь этот продукт сертифицирован на соответствие требованиям ФСТЭК, а значит его можно будет использовать в тех ИТ-системах, где выполнение этих требований является обязательным.
Безопасность резервного копирования с помощью решения компании Veeam Software подтверждена на государственном уровне, что позволяет заказчикам применять его при работе с информацией ограниченного доступа, не относящейся к государственной тайне.
Да, сертифицирована не последняя версия Veeam Backup & Replication, но многие из вас, кто знаком с темой, сами знают, сколько времени занимает сертификация ФСТЭК. Да и большинство пользователей в производственной среде сейчас используют именно восьмую версию.
Как многие из вас знают, начиная с 2013 года, программные средства резервного копирования, используемые при работе с информацией ограниченного доступа, не относящейся к государственной тайне, как в государственных структурах, так и в частных компаниях, должны проходить оценку соответствия требованиям безопасности в установленном законом порядке. В частности, согласно приказам ФСТЭК №17, №21 и №31 установлены требования на применение средств резервного копирования при обработке информации ограниченного доступа, не относящейся к государственной тайне в государственных информационных системах, при обработке персональных данных, а также в системах автоматизированного управления на объектах критически важной инфраструктуры. Кроме того, потребность заказчиков в программном обеспечении, прошедшем оценку соответствия, часто продиктована не только законодательством, но и отраслевой спецификой.
Особенно отметим, что на сегодняшний момент только решение Veeam обладает сертификатом на резервное копирование последних версий платформ виртуализации Microsoft и VMware: VMware vSphere 5.5 и 6.0 и Microsoft Hyper-V Server 2012 R2.
Проверка Veeam Backup & Replication v8 решения на соответствие требованиям нормативных актов осуществлялась в два этапа:
Сначала специалисты испытательной лаборатории ФСТЭК изучили работу решения и подтвердили, что его функциональность полностью соответствует предоставляемой технической документации (ТУ).
Далее в ходе анализа исходного кода продукта было установлено, что Veeam Backup & Replication v8 соответствует четвертому уровню контроля отсутствия недекларированных возможностей (НДВ4) и может применяться для защиты информации в государственных информационных системах до первого класса защищенности включительно, а также в информационных системах персональных данных до первого уровня защищенности включительно, для которых актуальны угрозы первого, второго или третьего типа.
Сертификат выдан сроком на три года, после чего возможно его дальнейшее продление. Приобрести сертифицированную версию можно через партнерскую сеть Veeam в России.
В этот раз мы рассмотрим сразу две функции Enable-VMHostSSH/Disable-VMHostSSH моего PowerCLI модуля для управления виртуальной инфраструктурой VMware Vi-Module.psm1. Очень часто администраторам виртуальной инфраструктуры требуется временно включить SSH на хосте/хостах ESXi, например, для запуска esxtop или для выяснения причин PSOD или для решения проблем с СХД...
По завершении 2015 года группа компаний "ИТ-ГРАД" успешно прошла аудит на соответствие требованиям стандарта PCI DSS, сертифицировав не только физическое размещение, как это делает сегодня большинство поставщиков услуг, но и виртуальную инфраструктуру, а также процессы администрирования. "ИТ-ГРАД" стал одним из первых в России поставщиком услуг с управляемыми сервисами PCI DSS, или MSP-провайдером (PCI DSS Managed Service Provider). Такая сертификация позволяет предоставлять в соответствии с требованиями стандарта услуги не только по физическому размещению и аренде оборудования, но и по аренде виртуальной инфраструктуры в модели IaaS, а также администрированию и управлению этой инфраструктурой.
В рамках полученного MSP-статуса "ИТ-ГРАД" представляет сертифицированное по PCI DSS облако в модели IaaS, гарантируя безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне облачного поставщика, где хранятся, обрабатываются или передаются данные платежных карт. "ИТ-ГРАД" берет на себя ответственность по выполнению обязательных требований стандарта, начиная от физической защиты размещаемых серверов до администрирования операционных систем, а также обеспечивает соблюдение требований безопасности, гарантируя защиту облачной инфраструктуры и постоянный контроль за ее безопасностью.
"Миграция критически важных систем за пределы внутренней инфраструктуры компании связана с высоким уровнем доверия. В такой ситуации клиент должен быть уверен в надежности выбранного поставщика и в том, что обработка конфиденциальной информации происходит защищенным образом, а угрозы нарушения безопасности сведены к минимуму. В "ИТ-ГРАД" мы внедрили полный набор механизмов обеспечения безопасности, чтобы надежно контролировать и защищать клиентские системы. Мы следуем и соответствуем требованиям федерального законодательства в области информационной безопасности, обязательным индустриальным нормам и практикам проведения регулярных независимых аудитов. Благодаря внутренним регламентам и практикам компании "ИТ-ГРАД" сосредоточен на защите данных своих клиентов. Чтобы заработать доверие и обеспечить защиту систем и данных держателей платежных карт, мы прошли сертификацию на соответствие требованиям стандарта PCI DSS v.3.1", — комментирует Дмитрий Третьяков, менеджер по информационной безопасности "ИТ-ГРАД".
"Услуги по предоставлению управляемых сервисов в контексте сертифицированного по PCI DSS облака в модели IaaS являются весьма актуальными для российского рынка. Особенность таких услуг заключается не только в предоставлении поставщиком оборудования в аренду, но и аренды виртуальной инфраструктуры, а также возможности ее администрирования в соответствии с требованиями стандарта PCI DSS. Такая услуга особенно полезна для небольших торгово-сервисных предприятий и поставщиков услуг, не имеющих собственных ИТ- и ИБ-подразделений. Обращение к сертифицированному поставщику, такому как "ИТ-ГРАД", поможет предприятиям существенно упростить процесс сертификации по стандарту PCI DSS и обеспечить защиту данных держателей платежных карт на высоком уровне", — отмечает Петр Шаповалов, инженер по защите информации ООО "Дейтерий", PCI QSA.
Используя сертифицированное по стандарту PCI DSS облако в модели IaaS, организации смогут значительно повысить уровень защищенности среды обработки карточных данных, снизив риски финансовых потерь от всевозможных инцидентов в сфере информационной безопасности. В рамках пройденного "ИТ-ГРАД" аудита на соответствие требованиям стандарта PCI DSS услуга по использованию сертифицированного облака в модели IaaS поможет компаниям наиболее полно воспользоваться преимуществами аутсорсинга в области выполнения требований стандарта, сосредоточив усилия на развитии своего бизнеса.
Компания VMware выпустила первое после нового года обновление своей серверной платформы виртуализации - VMware vSphere 6.0 Update 1b, включая обновления vCenter и ESXi.
Новых возможностей, конечно же, немного, но все же компоненты vSphere рекомендуется обновить ввиду наличия критичных обновлений подсистемы безопасности.
Что нового в VMware vCenter Server 6.0 Update 1b:
Поддержка метода обновления URL-based patching с использованием zip-пакета. Подробнее в KB 2142009.
Пользовательские настройки для Client Integration Plugin или диалогового окна VMware-csd guard в vSphere Web Client могут быть переопределены. Подробнее в KB 2142218.
vSphere 6.0 Update 1b включает поддержку TLS версий 1.1 и 1.2 для большинства компонентов vSphere без нарушения совместимости с предыдущими версиями. Компоненты которые по-прежнему поддерживают только TLS версии 1.0:
vSphere Client
Virtual SAN Observer на сервере vCenter Server Appliance (vCSA)
Syslog на сервере vCSA
Auto Deploy на vCSA
Auto Deploy на iPXE
О поддержке TLS-протоколов можно почитать подробнее в KB 2136185 .
Утилита certificate manager теперь автоматически вызывает скрипт updateExtensionCertInVC.py для обновления хранилищ сертификатов, которые построены не на базе VMware Endpoint Certificate Store (VECS).
Множество исправлений ошибок.
Что нового в VMware ESXi 6.0 Update 1b:
Поддержка TLS версий 1.1 и 1.2 для большинства компонентов без нарушения совместимости с предыдущими версиями.
Поддержка Advanced Encryption Standard (AES) с длиной ключа 128/256 бит для аутентификации через NFS 4.1 Client.
Исправления ошибок.
Скачать VMware vCenter Server 6.0 Update 1b и VMware ESXi 6.0 Update 1b можно по этой ссылке.
Недавно мы писали о новой функции решения vGate 3.0 for Hyper-V, предназначенного для защиты виртуальной инфраструктуры Microsoft от несанкционированного доступа и безопасной ее конфигурации средствами политик безопасности. В преддверии выхода vGate 3.0 для обеих платформ виртуализации, vSphere и Hyper-V, мы расскажем о некоторых новых функциях продукта, которые будут доступны в обоих изданиях в первом квартале 2016 года.
Напомним, что vGate - это решение, которое позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности.
Мероприятие пройдет 15 декабря в 11:00 по московскому времени. Вебинар проведет
Денис Полянский, менеджер по продукту компании «Код Безопасности».
В ходе вебинара будут подробно рассмотрены такие темы, как:
новый функционал продукта
редакции vGate и новая схема лицензирования
процессы обновления и перехода между редакциями
В конце вебинара в режиме чата участники смогут задать вопросы и оставить заявки на получение дополнительных материалов.
Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.
Не так давно мы писали о полезном дэшборде для продукта VMware vRealize Operations, а сегодня расскажем, как восстановить забытый пароль от виртуального модуля vRealize Operations 6.x (vROPs).
Если вы не помните пароль, нужно просто перезагрузить Virtual Appliance и в меню загрузки в раздел Boot Options добавить после всех параметров следующую строчку:
init=/bin/bash
Далее загружаемся в консоль и просто пишем:
# passwd
После этого у нас запросят создать новый пароль пользователя root, далее перезагружаем модуль командой:
# reboot
Затем неплохо бы включить сервис SSH управлять модулем уже через putty:
Чтобы SSH работал постоянно, нужно выполнить команду:
# chkconfig sshd on
Обратите внимание, что это не только способ восстановить/сбросить пароль на vROPs, но и большая дыра в безопасности, так как любой, кто имеет доступ к консоли модуля, может провернуть это.
Продолжаем серию статей о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. Сегодня мы поговорим о новой возможности vGate R2 версии 2.8 - режимах работы, которые позволяют обеспечивать развертывание решения, его эксплуатацию, а также обработку исключительных ситуаций.
Иногда администраторам хранилищ в VMware vSphere требуется передать логический том LUN или локальный диск сервера под другие цели (например, отдать не под виртуальные системы или передать в другой сегмент виртуальной инфраструктуры). В этом случае необходимо убедиться, что все данные на этом LUN удалены и не могут быть использованы во вред компании.
Раньше это приходилось выполнять путем загрузки из какого-нибудь Linux LiveCD, которому презентован данный том, и там удалять его данные и разделы. А в VMware vSphere 6 Update 1 появился более простой способ - теперь эта процедура доступна из графического интерфейса vSphere Web Client в разделе Manage->Storage Adapters:
Теперь просто выбираем нужный адаптер подсистемы хранения и нажимаем Erase для удаления логических томов устройства (будут удалены все логические тома данного устройства):
Теперь можно использовать этот локальный диск по другому назначению, например, отдать кластеру VSAN.
Ну и также отметим, что в следующей версии утилиты ESXi Embedded Host Client компания VMware сделает возможность не только удаления таблицы разделов, но и добавит средства их редактирования:
Мы часто рассказываем о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик.
Не так давно мы писали о новых возможностях vGate 2.8, а ниже расскажем о реальном использовании продукта в производственной среде организации, работающей с чувствительными данными.
Компания «Код Безопасности», российский разработчик программных и аппаратных средств защиты, сообщает о реализации проекта по внедрению средства защиты vGate в центре обработки данных (ЦОД) «Электронного правительства» Ленинградской области.
Заказчиком проекта выступил Комитет по телекоммуникациям и информатизации Ленинградской области; работы по внедрению продукта осуществлялись при участии специалистов ГКУ ЛО «Оператор электронного правительства». Поставка средства защиты информации vGate была реализована партнером «Кода Безопасности» в Северо-Западном федеральном округе – Группой компаний SuperWave.
Центр обработки данных правительства Ленинградской области представляет собой виртуализированный кластер, построенный на современной платформе VMware vSphere. В ЦОДе функционируют различные информационные системы исполнительных органов государственной власти Ленобласти, в том числе портал государственных и муниципальных услуг, система обеспечения деятельности региональных МФЦ, бухгалтерские и учетные системы, системы ЭДО, базы данных CRM-систем и пр. В этих государственных информационных системах хранятся и обрабатываются персональные данные и другая конфиденциальная информация. vGate R2 обеспечивает сертифицированную защиту этой информации и позволяет привести виртуальную инфраструктуру в соответствие требованиям приказов ФСТЭК России № 17 и № 21 и подготовить систему к прохождению аттестации.
«Перед началом проекта был сформирован список основных требований к системе защиты ЦОДа правительства Ленинградской области. Мы искали решение, которое сертифицировано по требованиям ФСТЭК России, поддерживает работу с платформой VMware, реализует защиту исключительно программными средствами, имеет развитый функционал и различные механизмы обеспечения безопасности в виртуальной инфраструктуре. vGate оказался единственным решением, удовлетворяющим всем нашим требованиям» – рассказал директор ГКУ ЛО «ОЭП», Кораблев Михаил Анатольевич.
Более подробно узнать о продукте vGate R2 и скачать его актуальную версию можно по этой ссылке.
Несколько лет назад мы писали про политики сложности паролей в VMware vSphere, которые определяют, какой пароль можно установить для пользователей ESXi. Аутентификация на ESXi реализуется с помощью подключаемых модулей аутентификации (Pluggable Authentication Modules, PAM), которые обладают различными возможностями, такими как интеграция с Active Directory, большая устойчивость к подбору пароля и дополнительные возможности (например, задание сложности пароля для различных классов символов).
Разберем сначала структуру политики сложности пароля:
retry=3 min=N0,N1,N2,N3,N4
retry=3 - допустимое число попыток ввода пароля.
N0 - минимальная длина пароля, который имеет только символы из класса 1 (это символы букв в нижнем регистре - например, abc).
N1 - это минимальная длина пароля, который обязательно имеет символы из двух классов (классы 1,2 и 3 - это символы букв в нижнем и верхнем регистре, а также цифры - например, abcABC).
N2 - пароли, имеющие в составе слова, должны быть длиной не менее 8 символов. Например, vmwareee.
N3 - это минимальная длина пароля, который обязательно имеет символы из классов 1, 2 и 3 (это буквы в нижнем и верхнем регистрах, а также цифры - например, abcABC123).
N4 - это минимальная длина пароля, который обязательно имеет символы из классов 1, 2, 3 и 4 (это буквы в нижнем и верхнем регистрах, а также цифры и спецсимволы - например, abcABC123!).
Напомним политики паролей, которые были в VMware ESXi 5.x:
ESXi 5: retry=3 min=8,8,8,7,6
Это значит, что можно было:
Задать пароль длиной в 8 символов из первого класса, например: thsmypwd
Задать пароль длиной в 8 символов из первого и второго класса, например: thsmypwD
Задать пароль из 8 символов, содержащем слово, например: vmwareee
Задать пароль длиной в 7 символов из первого, второго и третьего класса, например: VMware1
Задать пароль длиной в 6 символов из первого, второго и третьего класса, например: Vare1!
В VMware ESXi 6 политика сложности пароля была еще усложнена и теперь является такой:
retry=3 min=disabled,disabled,disabled,7,7
То есть, теперь пароль обязательно должен содержать минимум 7 символов, среди которых обязательно есть символы по крайней мере трех из четырех классов.
Но самое интересно, что политики сложности пароля ESXi теперь можно редактировать не в PAM-файлах сервисной консоли, а в расширенных настройках хоста в разделе Security (картинка кликабельна):
То есть, просто меняете параметр Security.PasswordQualityControl и перезагружаете хост ESXi.
Для массового изменения политик сложностей пароля можно использовать следующий PowerCLI-скрипт:
Недавно мы писали том, что компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 версии 2.8. Эта версия прошла инспекционный контроль в ФСТЭК России и доступна для загрузки и покупки. В обновленную версию vGate R2 добавлены новые механизмы защиты и расширенные функции по администрированию системы. Сегодня мы расскажем о том, как в vGate R2 выглядит рабочий процесс для пользователей в защищенной среде.
Многим из вас знакомо средство vGate R2, которое позволяет защитить виртуальную инфраструктуру предприятия от несанкционированного доступа, а также правильно настроить ее на базе политик. Недавно мы писали о возможностях vGate R2 версии 2.8, а в этой заметке вкратце расскажем о защите данных в государственных информационных системах. Российское законодательство устанавливает ряд обязательных требований по защите информации в среде виртуализации, соблюдение которых регулируется тремя нормативными актами...
Очень нужный и полезный гостевой пост компании ИТ-ГРАД, занимающейся (в том числе) защитой персональных данных в облаке. В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают защищать информацию ограниченного доступа, а в случае несоблюдения этих требований — привлекать организации к ответственности со всеми вытекающими последствиями. Для тех, кому интересна тема защиты персональных данных, мы подготовили ответы на часто задаваемые вопросы.
Компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 (версия 2.8). Эта версия прошла инспекционный контроль в ФСТЭК России (с подтверждением выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383) и доступна для загрузки и покупки. Таги: vGate, Update, Security, VMware, vSphere, Microsoft, Hyper-V, Security Code
Как многие из вас знают, в состав платформы виртуализации VMware vSphere 6.0 входит виртуальный модуль VMware vCenter Server Appliance (vCSA) 6.0, который реализует все необходимые сервисы управления виртуальной инфраструктурой в виде уже готовой виртуальной машины на базе Linux.
По умолчанию в данном модуле настроено устаревание пароля в 90 дней, и если в течение этого времени он не был сменен, он устареет и не будет работать. То есть, через три месяца вы увидите вот такую картинку:
Unable to authenticate user. Please try again.
В этом случае вам нужно либо сбросить пароль vCenter Server Appliance и установить новый, либо (если вы помните старый пароль , но он устарел) разлочить аккаунт.
Делается это вот каким образом:
1. Используем какой-нибудь Linux LiveCD (например, KNOPPIX).
Подключаем ISO-шку к виртуальной машине с vCSA и загружаемся с нее в Shell:
Затем повышаем привилегии командой:
# su -
2. Монтируем файловую систему vCSA с помощью команды:
# mount /dev/sda3 /mnt
3. Создаем резервную копию файла с паролем рута и открываем его для редактирования:
# cd /mnt/etc
#
cp shadow shadow.bak
# vi /mnt/etc/shadow
Видим определение пароля root:
4. Если вы помните пароль, а он просто устарел:
В этом случае просто удаляем букву x (выделена желтым) и цифру 1 (также желтая - останется два двоеточия). Нажмите клавишу <i>, чтобы перейти в режим редактирования. После того, как вы внесете нужные изменения, нажмите <esc> и потом напишите ZZ, после чего нажмите ввод, чтобы сохранить изменения.
После перезагрузки vCSA старый пароль root будет работать.
5. Если вы не помните пароль:
Надо заменить его хэш. Сначала смотрим, что стоит в начале строчки. У вас, скорее всего, будет там $6$, что означает, что это хэш, сгенерированный по алгоритму SHA512. От правого доллара конструкции $6$ и до следующего доллара в этой строчке идет так называемая "соль" - это значение вам надо записать на бумажке или сфотать (доллары в него не входят).
Далее генерируем новый пароль, используя записанную соль, следующей командой:
# mkpasswd -m sha-512 <новый пароль> <соль>
Потом получившийся пароль просто вставляем в файл /etc/shadow, который вы только что открывали. Вставляем его от правого доллара, ограничивающего соль, до первого двоеточия. Тут плоховато видно, но суть понятна, куда вставлять этот пароль:
После перезагрузки vCSA вы можете логиниться в него с новым паролем.
Есть такая штука в сфере ИБ - Security banner. Это когда при логине в какую-нибудь консоль вы выводите пользователю сообщение о характере информации и системы, к которой он пытается получить доступ, и предупреждаете о возможной ответственности за несанкционированный доступ. Вряд ли это много кого остановит, но все же с ним лучше, чем без него.
Вот способ сделать security banner для VMware ESXi. В VMware vSphere он бывает двух видов:
1. Login banner
Это текст, который показывается после ввода имени пользователя, но до ввода пароля:
Чтобы его поменять нужно залогиниться на хост VMware ESXi и с помощью редактора vi или nano отредактировать следующий файл:
# vi /etc/issue
Нажмите клавишу <i>, чтобы перейти в режим редактирования. После того, как вы внесете нужные изменения, нажмите <esc> и потом напишите ZZ, после чего нажмите ввод, чтобы сохранить изменения. Затем перезагрузите демон SSH следующей командой:
# /etc/init.d/SSH restart
2. Баннер MOTD.
Это баннер, который показывают пользователю после успешного логина по SSH. Чтобы задать его (по умолчанию он пустой), нужно отредактировать следующий файл через vi:
# vi /etc/motd
Также можно не лазить на хост VMware ESXi, а открыть vSphere Web Client, перейти в Manage->Settings и в разделе Advanced System Settings поискать по строчке "etc.". Там будет 2 параметра:
Config.Etc.issue - это текст для security banner
Config.Etc.motd - текст для баннера motd
То же самое можно сделать и в толстом клиенте vSphere Client:
Продолжаем вас знакомить с продуктами компании 5nine. Cloud Security 6 – первое и единственное безагентное решение, отвечающее требованиям регуляторов и созданное специально для Microsoft Cloud Platform и ВМ с гостевыми ОС Windows и Linux. Продукт обеспечивает комплексную защиту при помощи встроенного межсетевого экрана, безагентного антивируса и системы обнаружения вторжения. Работа над этим релизом велась по плану реализации требований регуляторов ИБ и дает возможность пользователям выполнить условия 152-ФЗ и приказов ФСТЭК в виртуальной среде Hyper-V.
Скоро компания Код Безопасности представит публичный коммерческий релиз решения vGate R2 версии 2.8, а пока вы можете посмотреть ролик о том, как именно данный продукт обеспечивает защиту виртуальных сред VMware vSphere и Microsoft Hyper-V. Ролик достаточно технический и наглядный - из него реально можно узнать, как работает продукт и отдельные его функции:
В ролике раскрываются следующие темы, касающиеся решения vGate R2:
Обзор архитектуры и функциональности продукта
Рабочий процесс при взаимодействии администраторов виртуальной инфраструктуры и администраторов информационной безопасности
Режимы работы (новое!) и централизованное управление
Усиленная аутентификация администраторов
Мандатный контроль доступа
Контроль целостности
Просмотр событий и работа с отчетами
Поддержка распределенных инфраструктур (vCenter Linked Mode) и выгрузка конфигурации
Как вы знаете, мы продолжаем сотрудничество с компанией Код Безопасности и в ближайших статьях будем знакомить вас с возможностями vGate R2 - главного продукта в сфере обеспечения безопасности инфраструктур VMware vSphere и Microsoft Hyper-V. Совсем недавно была анонсирована новая версия решения - vGate 2.8 для Hyper-V, которая стала еще более функциональной, надежной и удобной. Напомним также, что есть и vGate R2 для VMware vSphere.
Не так давно мы писали о том, что компания VMware выпустила бета-версию своего основного руководства по обеспечению информационной безопасности виртуальной инфраструктуры vSphere 6.0 Hardening Guide. На днях же вышла финальная версия этого документа. Надо отметить, что документ весьма сильно поменялся по структуре и содержанию:
Согласно записи в блоге VMware, в данной версии руководства были сделаны следующие позитивные изменения:
Сделан упор на автоматизацию воплощения рекомендаций через API, чтобы доставить меньше хлопот по ручному конфигурированию настроек. Приводятся конкретные команды PowerCLI и vCLI для исследования конфигураций и задания необходимых параметров.
В качестве рекомендуемого значения добавлен параметр "site-specific", что означает, что конкретная имплементация данной настройки зависит от особенностей инфраструктуры пользователя.
Появилась колонка с разносторонним обсуждением проблемы потенциальной уязвимости (с учетом предыдущего пункта).
Дается больше информации о потенциальных рисках - на что влияет данная настройка в итоге.
Кстати, вот полный список руководящих документов по обеспечению безопасности других продуктов компании VMware и прошлых версий VMware vSphere:
Ну и надо обязательно добавить, что VMware Configuration Manager теперь полностью поддерживает конфигурации из руководства vSphere 6 Hardening Guide. Более подробно об этом написано в блоге VMware Security.
Как вы знаете, мы уже много лет сотрудничаем с компанией Код Безопасности, которая выпускает лучший продукт для защиты виртуальных инфраструктур - vGate. Средство комплексного обеспечения безопасности виртуальной среды vGate позволяет защитить инфраструктуру VMware vSphere, а также инфраструктуру предприятия на базе гипервизора Microsoft Hyper-V.
Сертифицированные продукты семейства vGate обеспечивают безопасность виртуальной инфраструктуры, в которой ведется обработка персональных данных, конфиденциальной информации и сведений, относящихся к гостайне. Широкие функциональные возможности vGate предоставляют службе безопасности предприятия удобные инструменты контроля и противодействия злоупотреблениям в виртуальной среде с учетом особенностей ее использования.
vGate позволяет выполнить необходимые технические меры защиты информации и способствует приведению виртуальной инфраструктуры в соответствие нормам российского законодательства, отраслевым стандартам и лучшим мировым практикам.
Основные возможности vGate:
Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности
Защита средств управления виртуальной инфраструктурой от несанкционированного доступа (НСД)
Мандатное управление доступом
Защита серверов ESXi и Hyper-V от НСД
Поддержка распределенных инфраструктур
Контроль целостности конфигурации виртуальных машин и доверенная загрузка
Контроль доступа администраторов ВИ к файлам виртуальных машин
Разграничение доступа серверов ESXi и Hyper-V на запуск виртуальных машин
Контроль целостности и доверенная загрузка хост-серверов виртуализации
Контроль целостности и защита от НСД компонентов СЗИ
Регистрация событий, связанных с информационной безопасностью
Централизованное управление и мониторинг
В ближайшее время мы расскажем о новой версии продукта vGate для Hyper-V версии 2.8, где появилось множество новых и полезных для адимнистраторов возможностей. Не отключайтесь!
Многие из вас знают, что у VMware есть виртуальный модуль vCenter Server Appliance (vCSA), который можно использовать в качестве виртуального управляющего сервера для инфраструктуры vSphere. Для многих это просто "черный ящик", к которому можно подключиться с помощью vSphere Client или Web Client и рулить хостами и виртуальными машинами.
Давайте немного заглянем внутрь. Если мы откроем консоль vCSA, то увидим нечто подобное консоли VMware ESXi:
Не забывайте, что это не только сервер vCenter, но еще и Linux, в который можно залезть. Сделать это можно в локальной консоли, нажав комбинацию клавиш Alt+F1, но лучше нажать <F2> и включить доступ к vCSA по SSH. Также это можно сделать и в vSphere Web Client в следующем разделе:
System Configuration / Nodes / Manage / Settings / Access
Далее можно будет подключиться к хосту vCSA по SSH под аккаунтом root и смотреть, что там внутри:
Это оболочка виртуального модуля vCSA. Чтобы посмотреть API-функции, которые можно использовать для настройки модуля, введите команду:
help api list
Интерфейс vCSA содержит несколько стандартных плагинов (посмотреть их можно командой help pi list), реализующих стандартные средства, такие как ps, top или vimtop (это своего рода esxtop, но только для vCSA). Запустим, кстати, vimtop:
Здесь наглядно видно, какой сервис vCenter или самой ОС отъедает ресурсы. Более подробно об этом средстве написано вот тут.
Чтобы включить доступ к bash-консоли линукса нужно написать:
shell.set --enabled true
Далее просто запустите ее командой shell.
Кстати, тут есть хинт - по умолчанию для bash-консоли установлен таймаут 1 час, поэтому оттуда вас будет постоянно выбрасывать. Увеличить его можно следующей командой (отключить нельзя, поэтому указываем максимальное время в секундах на 68 лет - только учтите, что оно сохраняется после перезагрузки):
shell.set --enabled true --timeout 2147483647
Чтобы закинуть на vCSA какие-нибудь скрипты или другие файлы, воспользуемся утилитой WinSCP. Но при попытке соединения мы получим вот такой отлуп:
Все логично - WinSCP ожидает стандартный shell линукса, а не то, что показано на первом скрине. Поэтому надо сделать так: в настройках Win SCP выставить протокол SFTP (вместо SCP), а в Advanced Settings ввести "shell /usr/lib64/ssh/sftp-server" (без кавычек) для использования SFTP-сервера.
Также можно временно заменить дефолтный шел модуля на bash с помощью команды:
chsh -s /bin/bash
И потом можно просто соединяться через WinSCP в обычном режиме. Чтобы вернуть шел модуля, напечатайте:
chsh -s /bin/appliancesh
Также обратимся к настройке устаревания и сложности паролей. Многих эта тема волнует и бесит, когда заставляют создавать пароли, не соответствующие чьим-то мудацким правилам. Ну и, конечно же, по дефолту включено устаревание пароля в 90 дней.
Отключить все это можно через Web Client в разделе Administration / Single Sign-On / Configuration / Policies / Password Policy (не забудьте зайти под SSO админом):
Для отключения устаревания установите значение 0. Также это можно сделать командой:
chage -M -1 root
Для изменения политики сложности пароля вам нужно отредактировать следующий файл:
/etc/pam.d/common-password
Кстати, если вы все же решите оставить устаревание пароля, то с помощью следующей команды можно настроить отсылку предупреждения об устаревании пароля на электронную почту:
В новой версии VMware vSphere 6 для хостов ESXi было сделано следующее нововведение в плане безопасности - теперь после 10 неудачных попыток входа наступает блокировка учетной записи (account lockout), которая длится 2 минуты.
Этот эффект наблюдается теперь при логине через SSH, а также при доступе через vSphere Client (ну и в целом через vSphere Web Services SDK). При локальном доступе через DCUI (напрямую из консоли) такого нет.
Сделано это понятно зачем - чтобы никто не перебирал пароли рута брутфорсом.
Отрегулировать настройки блокировки можно в следующих параметрах Advanced Options хоста ESXi:
Security.AccountLockFailures - максимальное число попыток входа, после которого аккаунт блокируется. Если поставить 0, то функция локаута будет отключена.
Security.AccountUnlockTime - число секунд, на которое блокируется аккаунт.
Некоторое время назад мы писали про пятую версию средства обеспечения информационной безопасности виртуальной инфраструктуры Hyper-V - 5nine Cloud Security. В начале марта вышел апдейт этого решения - 5nine Cloud Security 5.1, о новых возможностях которого мы и расскажем в этой статье.
RSS
