Компания VMware довольно оперативно выставила на всеобщее обсуждение бета-версию своего основного руководства по обеспечению информационной безопасности виртуальной инфраструктуры vSphere 6.0 Hardening Guide.
В этой Excel-табличке на данный момент общим списком собраны основные рекомендации (подчеркнем, что список неполный, и в релизной версии рекомендаций будет больше). Часть рекомендаций была удалена из руководства или перемещена в документацию - список этих пунктов приведен вот тут.
Основное, что ушло из руководства - это операционные рекомендации, то есть что следует делать правильно во время эксплуатации VMware vSphere. Это переместилось в соответствующие разделы документации по платформе. В итоге, осталась сухая выжимка из необходимых настроек безопасности, которые нужно правильно применять в своей инфраструктуре.
Гайдлайны сгруппированы в профили риска (Risk Profiles) - их всего три штуки (1, 2, 3), и они определяют степень критичности их применения. Уровень 1 - только для высокозащищенных систем, 2 - для окружений с чувствительными данными (например, персональными), 3 - для обычных производственных систем.
Также прибавились префиксы компонентов для рекомендаций:
Было: enable-ad-auth
Стало: ESXi.enable-ad-auth
Кстати, интересное видео о том, как нужно использовать Hardening Guide:
Компания VMware с радостью примет пожелания и замечания к руководству, которые можно оставить вот тут. Релиз финальной версии VMware vSphere 6.0 Hardening Guide ожидается во втором квартале 2015 года.
Компания ИТ-ГРАД, ведущий российский провайдер виртуальной инфраструктуры VMware в аренду, завершил сертификацию системы менеджмента информационной безопасности на соответствие международному стандарту ISO 27001:2013. Сертификат добавляет уверенности в том, что используемый подход к защите соответствует «лучшим практикам» и ожиданиям наших заказчиков.
Стандарт перекликается со своим более общим «коллегой» ISO 9001:2000 и в его основе лежит система управления рисками, связанными с информацией. Связь настолько тесная, что обязательные процедуры из ISO 9001 необходимы и для получения ISO 27001.
Претендующая на сертификацию организация проходит 3 стадии.
Аудит ключевых документов системы менеджмента информационной безопасности.
Глубокий аудит компании, включая детальное изучение документации и тестирование описанных там мер.
Периодический инспекционный аудит для подтверждения статуса организации.
В процессе сертификации нам необходимо было пройтись по множеству аспектов, да так, чтобы аудиторы остались довольны. Вот некоторые из «галочек»:
описаны риски и возможности в системе менеджмента ИБ;
реализована методика оценка рисков и определены их владельцы;
определены внешние и внутренние взаимодействия – как регулярные, так и аварийные;
настроена система мониторинга и оценки результатов.
ISO/IEC 27001 содержит мировой опыт в области управления информационной безопасностью и устанавливает ряд требований к менеджменту ИБ. Стандарт необходим, чтобы показать способность компании защитить свои информационные ресурсы. Немаловажен и момент доверия: компании, задавшиеся целью получить подобный сертификат, явно уделяют вопросам безопасности больше внимания, чем остальные игроки рынка. А доверие и уверенность в безопасности данных – ключевой момент при выборе облачного IaaS-провайдера.
Компания Microsoft на днях анонсировала новую линейку виртуальных машин G-series в облаке Azure. Эти машины предназначены для требовательных к производительности нагрузок, они включают в себя больше памяти и вычислительных мощностей, а также предоставляют SSD-хранилища увеличенной емкости. Максимальная конфигурация машины G-series имеет на борту 32 vCPU на базе последних процессоров семейства Intel Xeon E5 v3, 448 ГБ оперативной памяти и 6.59 ТБ дискового пространства на SSD-накопителях.
Эти машины подойдут для тяжелых нагрузок с высокой критичностью, таких как реляционные базы Oracle, SQL Server и MySQL, а также NoSQL СУБД MongoDB, Cloudera, Cassandra и т.п.
Данные машины доступны только в регионе West US, но в 2015 году их география будет расширяться. Цены:
Вторая интересная новость - теперь на Azure Marketplace доступен образ Ubuntu Server со встроенным средством виртуализации приложений Docker (раньше его нужно было развертывать вручную):
Более подробно о процедуре развертывания такой ВМ в облаке Azure написано вот тут.
Помимо вышеперечисленного, компания Microsoft выпустила превью сервиса Azure Key Vault, представляющего собой облачный сервис наподобие Hardware Security Module (HSM). Он позволяет надежно и защищенно хранить различные ключи и другие важные данные доступа в облачном хранилище с повышенным уровнем безопасности.
Хранилише Azure Key Vault предназначено для решения следующих задач:
Безопасное хранение криптоключей и других данных (например, пароли корпоративных приложений).
Более безопасное шифрование баз данных SQL Server в виртуальных машинах Azure.
Защита виртуальных машин Azure средствами технологии CloudLink SecureVM, используя мастер-ключи в вашем собственном хранилище Key Vault.
Более подробно о сервисе Azure Key Vault можно почитать здесь.
В прошлой статье мы рассказали об основах применения решения Symantec Data Center Security для защиты центров обработки данных. В этой статье пойдет речь о втором продукте из набора Data Center Security: Server Advanced. Ряд производителей безагентских антивирсуных решений для VMware, понимая ограничения возможностей API vShield Endpoint, - выпускают легкие агенты, которые позволяют лучше защищать виртуальные машины...
Мы начинаем рассказ о группе продуктов компании Symantec, входящей в семейство Data Center Security, как следует из названия -предназначенных для защиты центров обработки данных.
В этой статье пойдет речь о продукте Data Center Security: Server 6.0 который является безагентским антивирусом для сред VMware и использующий для управления платформу VMware NSX.
С точки зрения архитектуры все довольно традиционно: используется виртуальный аплайнс,содержащий в себе антивирусный движок, на каждом из хостов гипервизора и, используя VMware vShield Endpoint аплайнс получает доступ к файловой системе защищаемых виртуальных машин для их проверки, не используя агентов.
Естественно, продукту присущи все ограничения vShield Endpoint, такие как: поддерживаемые типы операционных систем (на данный момент только семейства Microsoft Windows), необходимость установки VMware Tools, невозможность защиты помяти в безагентском режиме и т.д. Так же новая версия vShield Endpoint, позволяет использовать использовать репутационные технологии при проверке файлов, что значительно снижает нагрузку на системы хранения.
Первое ключевое отличие от большинства безагентских решений в том, что развертывание виртуальных аплайнсов и назначение политик безопасности на группы производится через консоль VMware NSX. В консоли управления самого продукта политика только создается и, затем, публикуется на VMware NSX.
После регистрации продукта во вкладе Services вы получаете дополнительный сервис безопасности, который вы можете установить для определенных групп кластеров и датацентров, устаналивая виртуальные аплайнсы только для тех групп ипервизоров, которые вы указали.
VMware NSX предоставляет механизм создания групп безопасности, в которые могут быть включены виртуальные машины по определенным критериям. При этом группы могут быть статическими, где виртуальные машины в них добавляются вручную, так и динамические, когда в группы включаются виртуальные машины, соответствующие определенным криетериям, например тип операционных системи т.д. Самое интересное - это возможность изменять членство виртуальных машин в группах динамически, на основании тегов.
Один из примеров использования тэгов – перемещение виртуальных машин, на которых было обнаружено вредоносное ПО, в специальную карантинную группу. На группу карантина может быть назначена, например, отдельная политика межсетевого экрана (встроенного от VMware или стороннего), предотвращая распространение вредоносного ПО по сети до момента ее удаления. После удаления вредоносного ПО виртуальная машина будет возвращена в стандартную группу и продолжит функционирование.
Разумеется, теги на виртуальных машинах могут быть изменены, помимо вышеописанного решения, и с помощью продуктов сторонних компаний, например IPS систем от PaloAlto Networks, систем управления уязвимостями от Rapid7 и т.д. Таким образом можно не только назначать различные политики на группы виртуальных машин, но и интегрировать между собой различные решения от разных производителей.
В скором времени ожидается выход новой версии продукта DCS: Server 6.5, в котором будет добавлен функционал сетевого IPS.
В прошлых статьях мы рассказывали о продукте vGate R2 for Hyper-V, который позволяет проводить защищенную аутентификацию администраторов, разграничивать доступ к различным объектам инфраструктуры и проводить аудит событий безопасности. О возможностях этого продукта мы писали тут, о настройке - тут и тут, а сегодня мы поговорим о том, как выглядит повседневная эксплуатация решения со стороны администратора ИБ, который является также и администратором решения vGate.
Этот вебинар уже будет посвящен версии продукта номер 1 для обеспечения защиты виртуальной среды, но уже не VMware, а Microsoft Hyper-V.
Дата и время проведения вебинара: 25 декабря 2014 в 11:00
Проводит: Иван Колегов, системный аналитик компании "Код Безопасности".
Вебинар будет интересен руководителям ИБ-служб, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.
В ходе вебинара вы узнаете:
об архитектуре vGate и его компонентах;
о правилах лицензирования продукта;
о том, как быстро установить vGate и правильно его настроить;
о том, как с его помощью обеспечить безопасность средств управления платформ виртуализации и виртуальных машин.
Продолжительность вебинара – 60 минут.
По окончании вебинара вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демоверсии продукта и дополнительных материалов.
Данный вебинар будет интересен любому, кто когда-либо задумывался о защите виртуальной инфраструктуры VMware vSphere.
Вебинар пройдет: 24 декабря в 11:00 по московскому времени. Проводит: Иван Колегов, системный аналитик компании "Код Безопасности".
Мероприятие будет интересно руководителям ИБ-служб, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.
В ходе вебинара вы узнаете:
об архитектуре vGate и его компонентах;
о правилах лицензирования продукта;
о том, как быстро установить vGate и правильно его настроить;
о том, как с его помощью обеспечить безопасность средств управления платформ виртуализации и виртуальных машин.
Продолжительность вебинара – 60 минут.
По окончании вебинара вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демоверсии продукта и дополнительных материалов.
На прошедшей конференции VMworld Europe 2014 компания VMware объявила о скором выпуске решения VMware Horizon FLEX, представляющего собой платформу виртуализации для настольных ПК, позволяющую запускать виртуальные ПК локально (как на Mac, так и в Windows), без требования связи с датацентром компании.
Как вы знаете в прошлом у VMware были такие продукты, как VMware ACE и VMware View Local Mode, которые ушли в прошлое, а теперь на замену им приходит технология FLEX.
VMware Horizon FLEX - это не какой-то отдельный продукт, это комбинированная технология на базе трех решений:
Horizon FLEX Policy Server - это центральный сервер управления виртуальными ПК, он отвечает за назначение политик и управление ими.
Horizon FLEX Clients - это рабочие места пользователей с установленными на них Fusion Pro или Player Pro (то есть, уже знакомые вам продукты). Перед началом использования решения пользователь скачивает виртуальную машину целиком с сервера, после чего может работать с ней локально.
Mirage for Horizon FLEX - продукт для управления компонентами виртуального десктопа (система, приложения, данные).
На сервере FLEX Policy Server администратор датацентра назначает виртуальной машине политики, такие как срок использования этого ПК, доступность USB-устройств, средства обмена с хостовой ОС и другое. В этом смысле продукт похож на решение VMware ACE (если тут кто его еще помнит).
С этого сервера можно управлять виртуальными ПК пользователей, например, машину можно просто залочить в любой момент:
Интересный момент заключается в том, что несмотря на то, что решение называется Horizon FLEX, установка Horizon View или VMware vSphere вовсе не обязательна. Ну и поскольку все исполняется локально вам не нужно дополнительных хранилищ для хранения этих виртуальных ПК. При этом машину можно размещать как на диске ноутбука, так и на отдельной флешке.
Один из вариантов применения этого продукта - концепция BYOD, например, когда у человека собственный удобный Мак, на котором он хочет работать, а корпоративные стандарты предписывают иметь винду. Тогда он может использовать Windows-машину как рабочую с помощью решения FLEX.
Вот какие политики присутствуют в Horizon FLEX:
Устаревание всей ВМ (Time limit).
Время использования в офлайн-режиме (без соединения с сервером).
Частота обновления политик.
Доступ к USB-устройствам.
Состояние механизмов копирования данных (операции drag-and-drop, copy-and-paste).
Ограниченный доступ к настройкам виртуальной машины (чтобы пользователь не лазил куда-попало).
На данный момент для Horizon FLEX поддерживаются следующие хостовые ОС:
Windows XP SP3, Windows Vista, Windows 7, Windows 8 (помните, что Player Pro поддерживает только 64-битные ОС).
Mac OS X 10.8 или более поздняя, Mac OS X 10.9 или более поздняя, Mac OS X 10.10 или более поздняя.
Гостевые ОС те же, за исключением того, что можно использовать их 32-битные версии.
Типовая схема рабочего процесса администратора Horizon FLEX:
Типовая схема рабочего процесса пользователя VMware Horizon Flex:
Скачать VMware Horizon Flex можно по этой ссылке, а почитать интересные документы о продукте можно тут и тут.
Таги: VMware, VMachines, Security, VDI, Offline, Local Mode, Horizon, FLEX
Продолжаем вас знакомить с решением vGate R2 от компании Код Безопасности, предназначенным для защиты виртуальной инфраструктуры Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. В этой статье мы расскажем о том, как правильно настроить локальную сеть в соответствии с рефернсной архитектурой vGate, а также установить продукт с использованием различных конфигураций...
Компания 5nine Software, выпускающая самые лучшие средства для защиты и управления виртуальной инфраструктурой виртуализации на базе Hyper-V, обновила свое решение 5nine Cloud Security 5.0 for Hyper-V.
5nine Cloud Security для Hyper-V разработан совместно с компанией Microsoft как расширение Extensible Switch Hyper-V и является единственным на сегодня безагентным решением для обеспечения безопасности Windows Server 2012/2012R2, Microsoft Hyper-V и Windows 8. 5nine Cloud Security контролирует сетевой трафик между виртуальными машинами, обнаруживает и блокирует вредоносные атаки, осуществляет быструю антивирусную проверку и повышает безопасность виртуальной среды.
5nine Cloud Security сочетает в себе несколько модулей защиты, в том числе: антивирусный модуль, виртуальный межсетевой экран, систему обнаружения вторжений (IDS) и журнал логов в одном продукте.
Помимо всего прочего, в продукте учтены требования соответствия средств защиты стандартам безопасности различных регуляторов, а также последние изменения в российском и зарубежном законодательстве о защите персональных данных в виртуальной среде.
Напомним, что о продукте 5nine Cloud Security мы уже подробно писали вот тут.
Новые возможности 5nine Cloud Security 5.0 для Hyper-V:
Управление таблицей соединений ВМ
Централизованный просмотр информации о состоянии антивируса
Набор шаблонов правил межсетевого экрана
Возможность добавлять ВМ в несколько групп безопасности
Полное соответствие SCVMM Logical Switch
Расширенные возможности по поддержке правил broadcast
Надо сказать, что компания Код Безопасности обеспечивает исполнение этого приказа во всех аспектах, но нас больше интересует виртуальная среда. Итак, скачиваем вот этот документ с сайта Кода Безопасности.
Открываем его на первой вкладке и видим необходимые нам категории в столбце "vGate 2.5":
Очень удобно, что все требования разбиты по категориям, а также указано сразу какой уровень защищенности ПДн обеспечивает то или иное средство. Вот какие конкретно требования ФСТЭК по защите персональных данных позволяет выполнить vGate R2:
Идентификация и аутентификация пользователей, являющихся работниками оператора
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Управление идентификаторами, в том числе cоздание, присвоение, уничтожение идентификаторов
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Защита обратной связи при вводе аутентификационной информации
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки
Обеспечение доверенной загрузки средств вычислительной техники
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
Определение событий безопасности, подлежащих регистрации, и сроков их хранения
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
Защита информации о событиях безопасности
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
Контроль целостности персональных данных, содержащихся в базах данных информационной системы
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
Регистрация событий безопасности в виртуальной инфраструктуре
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Контроль целостности виртуальной инфраструктуры и ее конфигураций
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
Изоляция процессов (выполнение программ) в выделенной области памяти
Да да, все это умеет делать vGate R2. Для того, чтобы узнать о том, как именно он это делает, читайте наши статьи тут и тут.
Кстати, этот эксель-док очень интересен с точки зрения комплексной защиты персональных данных, обрабатываемых в ИТ-инфраструктуре. Посмотрите различные продукты, пощелкайте по вкладкам - там много интересного.
Демо-версию vGate для Hyper-V можно бесплатно скачать по этой ссылке, а для VMware vSphere - по этой.
Мы довольно часто пишем про продукт номер 1 для защиты виртуальных инфраструктур VMware и Microsoft - vGate R2. Напомним, что недавно мы рассказали о настройке решения vGate R2 для Hyper-V, которое вышло несколько месяцев назад, но уже обладает очень мощным функционалом.
Кроме того, не стоит забывать и о версии vGate R2 для защиты виртуальных инфраструктур на платформе VMware vSphere, которая выпускается уже много лет и была доступна еще для VMware ESX 3.x.
С тех пор очень многое изменилось, продукт используется во множестве крупных российских компаний для обеспечения защиты от несанкционированного доступа, а также приведения инфраструктуры в соответствие отраслевым стандартам и лучшим практикам средствами политик.
Поэтому для вашего удобства компания Код Безопасности сделала табличку со списком измнений vGate от версии к версии (информация актуальна для коммерческих релизов).
Например в vGate R2 релиз 2.7 появились следующие новые возможности:
Обеспечена поддержка работы vSphere 5.5 Web-client.
Добавлен шаблон настроек для нового стандарта VMware Security Hardening Guide 5.5.
Обеспечена поддержка сценария развертывания сервера авторизации в виртуальной машине.
Добавлены новые возможности в консоль управления, обеспечивающие:
- древовидное отображение списка виртуальных машин;
- более удобную настройку правил доступа;
- оптимизацию работы за счет возможности отключения контроля уровня сессий пользователей;
- установку компонента защиты vCenter из консоли управления vGate
Скачать пробную версию vGate R2 можно по этой ссылке, а за информацией о продукте заходите сюда. Продукт также можно купить онлайн здесь.
Многие пользователи в целях безопасности хотят отключить использование USB-портов на хостах VMware ESXi - а то кто-нибудь зайдет в серверную комнату и утащит данные на диске.
К сожалению, на текущих версиях платформы VMware vSphere сделать этого нельзя. Можно, конечно, отключить USB Arbitrator service следующей командой (как написано вот тут):
/etc/init.d/usbarbitrator stop
Но это лишь отключит проброс USB-устройств в виртуальные машины, при этом само устройство (например, /dev/usb0101) отключено не будет. Поэтому, тут остается два решения:
Отключить USB-устройства в BIOS - но это поддерживают не все производители железа.
Мониторить использование локальных USB-устройств и слать алерты менеджеру по ИБ.
Второй вариант можно реализовать с помощью продукта VMware vRealize Log Insight, который позволяет мониторить логи хостов ESXi и слать по ним алерты при их появлении и повторении. Вот, например, в выводе этого лога мы видим, что кто-то подключал USB-девайс к хосту:
Сопоставив время этих событий и время посещения конкретными людьми датацентра, мы поймем, кто пытался или сделал что-то нехорошее. Решение, конечно, не ахти, но какое уж есть.
С удовольствием представляем вам нашего нового спонсора - компанию SafeNet, которая производит замечательный продукт ProtectV - первое решение в индустрии, защищающее ваши данные в физических, виртуальных и облачных инфраструктурах.
С ProtectV вы можете:
Изолировать виртуальные машины и хранилище, как в частной, так и в публичной облачной инфраструктуре
Авторизовать запуск виртуальных машин с программой StartGuard
Проследить за ключевым доступом ко всем копиям ваших данных
Аннулировать ключевой доступ после атаки
Если данные хранятся в виртуальном центре обработки данных, например, VMware vCenter, в общедоступной облачной среде, например, Amazon Web Services EC2/SB3, или в частной облачной среде, например, Amazon VPC, ProtectV Manager может быть легко развернут с помощью готового образа.
ProtectV предоставляет пользователям удобный GUI-интерфейс для управления политиками, пользователями и ролями, выполнения системного мониторинга и управления событиями. Кроме того, он предлагает API-интерфейсы для автоматизации и интеграции с системами подготовки виртуальных серверов к работе и CLI-интерфейсы для создания сценариев и пакетных операций с целью улучшения быстродействия и повышения скорости подготовки к работе.
Основные функции продукта:
Полное шифрование данных виртуальных машин и хранилища
Гранулярный контроль доступа на уровне данных (защищены даже данные, расположенные в разделе ОС)
Управление внутренними аппаратными ключами
Запуск защищенной виртуальной машины возможен только для авторизованных пользователей, прошедших аутентификацию
Незаконные/скрытые копии данных становятся недействительными
Достоверные контрольные журналы для регистрации событий осуществления доступа
Надежный «абонентский ящик» гарантирует полную защиту данных на протяжении всего жизненного цикла
Аутентификация перед запуском с функцией защиты от несанкционированного доступа
ProtectV позволяет вам безопасно перенести уязвимые данные в недоверенные или облачные среды (что особенно актуально в условиях российской действительности).
С развитием ИТ инфраструктуры организации нередко приходят к идее перевода физических рабочих станций в виртуальную среду VDI (Virtual Desktop Infrastructure), т.к. это позволяет более эффективно и гибко использовать имеющиеся ресурсы, а так же быстро реагировать на возникающие потребности. При этом приходится решать ряд вопросов, на которые ранее обращалось мало внимания. Большинство из них связано с нагрузками, возникающими при одновременном выполнении действий на большом количестве виртуальных машин. Но есть и вопросы, связанные со способом создания и управления жизненным циклом машин...
Некоторое время назад мы писали о решении
vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры Microsoft Hyper-V. Там мы рассмотрели основные возможности продукта, а в этой статье пройдемся по основным моментам настройки и администрирования vGate R2 и рассмотрим, какие его функции помогут компаниям для обеспечения ИБ в реальных условиях.
Таги: vGate, Security Code, Security, Hyper-V, Microsoft, Обучение
30 октября компания Код Безопасности проводит бесплатный вебинар "Виртуализация: доступ к данным под контролем", посвященный особенностям защиты виртуальных инфраструктур в соответствии с требованиями регуляторов и новым возможностям продукта vGate R2. Вебинар проведет Яков Хамаганов, эксперт по технологиям защиты информации компании "Код Безопасности".
Вебинар пройдет 30 октября 11-00 по московскому времени. Продолжительность вебинара - 60 минут.
о том, как сертифицированный vGate поможет выполнить требования приказов №17 и №21 ФСТЭК России по защите персональных данных.
Вебинар будет интересен руководителям служб безопасности и ИТ-директорам, а также специалистам, обеспечивающим безопасность дата-центров и защиту виртуальных инфраструктур.
По окончании вебинара Вы сможете задать докладчику вопросы в режиме чата и оставить заявки на получение демо-версии продукта и дополнительных материалов.
Четыре с половиной года назад мы писали про то, что у технологии Transparent Page Sharing (TPS), которая по-умолчанию используется в VMware vSphere, нет будущего. Напомним, что TPS - это механизм поиска и удаления дубликатов страниц памяти в целях экономии физического пространства RAM (вместо самой дублирующейся страницы хранится ссылка на нее).
Технолония потеряла актуальность, когда вовсю стали применяться большие страницы памяти (Large Memory Pages), для которых размер страницы равен 2 МБ, а значит вероятность появления двух полностью одинаковых страниц очень низка.
Более подробно о проблемах с TPS написано вот в этой статье на блогах VMware.
Если же вы хотите отключить этот механизм уже прямо сейчас, то нужно сделать следующее:
Залогиниться на ESX\ESXi или vCenter Server через vSphere Client.
Выбрать нужный хост и зайти на вкладку Configuration, затем перейти в Advanced Settings в секции Software.
Выбираем раздел Mem и в нем устанавливаем значение параметра Mem.ShareScanGHz в 0.
После патча и обновлений ESXi механизм TPS можно будет включить следующим образом (Advanced Settings в секции Software):
Параметр Mem.ShareForceSalting (включение TPS на уровне всего хоста ESXi). Если значение стоит 0 - то значит TPS по-прежнему работает на хосте, если 1 - механизм отключен.
Параметр sched.mem.pshare.salt (ставится на уровне ВМ) позволяет включать/отключать TPS для отдельных виртуальных машин (например, старые Windows или линуксы - для них можно было бы включить). Когда параметр ShareForceSalting установлен в значение 1, то для нуждающихся в TPS машин в их Advanced Configuration нужно установить одинаковые значения "соли". Без этого TPS не работает - соответственно, он отключен.
Мы довольно часто пишем про продукт номер 1 для защиты виртуальных инфраструктур VMware и Microsoft - vGate R2. Напомним, что недавно мы рассказали о новых возможностях решения vGate R2 для Hyper-V, которое вышло несколько месяцев назад, но уже обладает очень мощным функционалом.
Решение vGate R2 предназначено для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети. Продукт имеет все необходимые сертификаты ФСТЭК и позволяет пройти проверку на обеспечение защиты персональных данных в контролирующих органах.
В этой заметке мы хотели рассказать про калькулятор стоимости vGate R2. От таких вендоров, как VMware или Citrix не дождешься конечной цены продукта для пользователя, а вот компания Код Безопасности дает честный расчет стоимости своего решения, да еще и в рублях (что особенно приятно с учетом текущей ситуации с курсами валют).
Итак, заходим в калькулятор, вводим такие параметры как:
Издание продукта (обычный vGate или vGate-S для защиты гостайны, об отличиях мы писали тут)
Количество процессоров (сокетов) защищаемых хост-серверов
Наличие резервного сервера vGate
Вид годового технического обслуживания
После этого получаем расчет в рублях (кликните на картинку для увеличения):
Некоторое время назад мы писали о том, что компания Код Безопасности, известная многим по решению vGate R2 для защиты инфраструктуры VMware vSphere, выпустила версию vGate R2 для инфраструктур Microsoft Hyper-V. Это решение позволяет проводить защищенную аутентификацию администраторов, разграничивать доступ к различным объектам инфраструктуры и проводить аудит событий безопасности.
Продукт vGate for Hyper-V обеспечивает защиту информации от несанкционированного доступа за счет контроля действий администраторов при управлении виртуальной инфраструктурой. vGate for Hyper-V выполняет функции:
усиленная аутентификация администраторов виртуальной инфраструктуры (АВИ) и администраторов информационной безопасности (АИБ);
контроль доступа к объектам виртуальной инфраструктуры по дискреционному и мандатному принципам;
аудит и мониторинг событий информационной безопасности;
резервирование собственной конфигурации.
Новая редакция СЗИ от НСД vGate for Hyper-V также обеспечивает реализацию большинства мер защиты среды виртуализации, определенных в приказах ФСТЭК России от 11.02.2013 № 17 и от 18.02.2013 № 21, что позволяет обеспечить необходимый уровень защищенности информационных систем персональных данных и класс защищенности государственных информационных систем.
Новая версия vGate R2 успешно прошла инспекционный контроль в ФСТЭК России в подтверждение выданного ранее сертификата соответствия от 28.03.2011 № 2308.
Скачать пробную версию vGate for Hyper-V можно по этой ссылке.
Таги: Security Code, vGate, Security, Hyper-V, Microsoft
Как вы знаете, Symantec - признанный эксперт в области обеспечения информационной безопасности корпоративной инфраструктуры. Это мировой лидер по разработке и продаже продукции, помогающей пользователям и предприятиям обеспечивать безопасность, доступность и целостность своих информационных ресурсов.
Корпорация имеет представительства в более чем 40 странах мира. Решения Symantec построены на основе открытых стандартов и поддерживают все основные СУБД и корпоративные приложения, операционные системы и аппаратные средства для хранения данных. Они включают в себя решения для защиты данных (резервное копирование и восстановление после сбоев), для обеспечения высокой доступности приложений (кластерные системы и репликация), для повышения производительность приложений (оптимальная настройка СУБД Oracle, DB2 и Sybase), а также средства автоматизации хранения данных, управления серверами и сервисами (администрирование и управление гетерогенными средами).
Symantec Endpoint Protection 12.1 представляет из себя корпоративное решение по защите конечных точек от различных угроз: вирусов, сетевых атак и атак нулевого дня. В состав технологий защиты входят антивирус, сетевой экран, система предотвращения вторжений, контроль устройств и контроль приложений. Одной из ключевых особенностей решения является...
Те из вас, кто читает нас уже достаточно давно, знают, что мы несколько лет успешно сотрудничаем с компанией Код Безопасности и успели очень много интересного написать о продукте vGate R2 - лучшем cертифицированном средстве защиты информации для платформ VMware vSphere и Microsoft Hyper-V.
Решение vGate R2 предназначено для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети. Продукт имеет все необходимые сертификаты ФСТЭК и позволяет пройти проверку на обеспечение защиты персональных данных в контролирующих органах.
Внимательный читатель тут заметит, что раньше vGate умел защищать только инфраструктуру VMware, а сейчас это средство позволяет организовать защищенную инфраструктуру и на базе серверов Microsoft Hyper-V (подробнее об этом - вот тут).
Вот какие функции выполняет vGate R2 для инфраструктуры Hyper-V:
усиленная аутентификация администраторов виртуальной инфраструктуры (АВИ) и администраторов информационной безопасности (АИБ);
контроль доступа к объектам виртуальной инфраструктуры по дискреционному и мандатному принципам;
аудит и мониторинг событий информационной безопасности;
резервирование собственной конфигурации.
Именно об этом мы подробно расскажем в ближайшее время, поэтому просим всех администраторов Hyper-V не отключаться и ознакомиться с продуктом.
С тех пор, как мы последний раз писали о vGate, в нем появилось несколько интересных возможностей, он также стал более симпатичным и продуманным. Скачать его пробную версию можно по этой ссылке, документация доступна тут. Также продукт vGate R2 можно купить онлайн.
Если вы хотите, чтобы никто не делал vMotion конкретной виртуальной машины с конкретного сервера VMware ESXi, то нужно просто разослать письмо администраторам vSphere с просьбой этого не делать. Но есть еще один способ, который поведал нам Frank Denneman - хотя он тоже имеет ограниченные условия применения. Ну и не забываем, что есть способ путем задания правил механизма балансировки VMware DRS (однако, не у всех по лицензии DRS есть).
В этом способе есть один существенный минус - в то время, как он не позволяет пользователю двинуть виртуальную машину через vMotion вручную, смигрировать машину можно будет через перевод хоста ESXi в Maintenance mode, так как делается это не под аккаунтом пользователя, а под системной учетной записью (System). Но режим обслуживания используется редко, и хотя бы для ручных операций это можно будет сделать. Ну и имейте в виду, что механизм VMware HA также может перезапустить машину на другом хосте в случае сбоя, наплевав на все.
Итак, чтобы отключить vMotion для конкретной виртуальной машины, нужно создать новую роль (No-vMotion), для которой необходимо отключить привилегию по vMotion машины, назначатить эту роль администраторам и добавить пермиссию для виртуальной машины, указав юзеров с этой ролью (как работает этот механизм читайте здесь).
Итак, добавляем роль No-vMotion в vSphere Web Client:
1. Заходим в vCenter как administrator.
2.
Идем на домашний экран и переходим в Roles на экране Administration.
3. Выбираем действие создать роль (зеленый плюс).
4. Выбираем "All Priveleges", скроллимся до категории "Resource" и отчекиваем следующие привилегии,
Migrate powered off virtual machine
Migrate powered on virtual machine
Query vMotion
Далее добавляем пермиссию для виртуальной машины для нужного администратора/группы:
1. Выбираем "Host and Clusters" и находим нужную ВМ на вкладке Manage.
2. Выбираем пункт "Permissions" и кликаем на добавление пермиссии (зеленый плюс).
3. Нажимаем "Add" и выбираем пользователя или группу, которым мы хотим запретить vMotion этой виртуальной машины.
4. В правой части экрана выбираем роль "No-vMotion" и нажимаем "Ok".
Убеждаемся, что роль применена для данного пользователя к данному объекту (на остальные пермиссии это не повлияет):
Попробуем смигрировать эту виртуальную машину пользователем FrankD - видим, что опция "Migrate" загреена:
Но вот возможность перевода в Maintenance mode, к сожалению, по-прежнему активна:
Однако создавать пользователя без пароля - моветон. Поэтому следующей командой в скрипте можно задать ему нужный пароль:
# echo testpass | passwd steve --stdin
Вот так элегантно и просто вбиваем юзеру steve пароль "testpass". Конечно же, это все не поддерживается со стороны VMware, поэтому все это вы делаете на свой страх и риск.
На прошедшей неделе компания VMware вплотную занялась патчингом и фиксингом своих продуктов, закрывая те проблемные места, которые накопились за прошедшие пару-тройку месяцев. Прежде всего, было выпущено обновление ESXi550-201406401-SG, которое решает сразу две проблемы на VMware vSphere 5.5 Update 1.
Во-первых, мы уже писали о том, что в VMware vSphere 5.5 Update 1 был баг - если использовать NFS-хранилища, то они периодически отваливаются, переходя в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:
2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
В выпущенном обновлении эта ошибка была исправлена.
Во-вторых, была также исправлена ошибка безопасности в OpenSSL, которая может оказаться даже серьезнее, чем исправленный ранее баг OpenSSL Heartbleed. В ESXi существует вероятность атаки типа MiM (Man in the Middle), о которой подробнее рассказано вот тут. Этот баг в приведенном выше обновлении был также зафикшен. Кстати, в своем блоге компания VMware объявила о том, что ее команда безопасности расследует новые возможные уязвимости OpenSSL, и вот тут приведены результаты ее работы.
Чтобы скачать патч, идем на VMware Patch Portal, выбираем там продукт "ESXi Embedded & Installable", версию релиза 5.5.0 и дату - 10 июня. Получаем ссылку на патч:
Применить этот патч можно и не скачивая его с сайта VMware, а просто с помощью следующей последовательности команд:
# открываем фаервол для http
esxcli network firewall ruleset set -e true -r httpClient
# устанавливаем образ ESXi-5.5.0-20140604001-standard из хранилища VMware Online depot
Оба этих исправления прежде всего несут в себе фиксы в плане безопасности протокола OpenSSL, однако там есть и другие мелкие улучшения. Рекомендуется их установить.
Надо отметить, что VMware vCenter Server Appliance не подвержен багу OpenSSL, поэтому и исправлений для него нет.
Таги: VMware, vSphere, Security, Bug, Bugs, ESXi, vCenter, vCloud, Director
Спустя полгода с момента выпуска прошлой версии основного руководства по обеспечению безопасности виртуальной инфраструктуры, компания VMware обновила версию этого документа до vSphere Hardening Guide 5.5 Update 1. Надо отметить, что руководство по безопасности вышло аж через 3 месяца после выпуска самой vSphere 5.5 Update 1, что как бы не очень хорошо, так как многие пользователи уже используют U1 в производственной среде, и руководство им пригодилось бы раньше. Ну да ладно, бывало нужно было ждать и дольше.
Доступен также лог изменений с момента прошлого документа:
В новой версии руководства есть следующие важные изменения:
enable-VGA-Only-Mode - эта рекомендация должна быть применена для виртуальных серверов, которым не нужен графический режим (обычно он используется для VDI-инфраструктуры). То есть для веб-серверов, серверов Windows Core и т.п. нужно этот режим включить, чтобы уменьшить поверхность возможной атаки.
disable-non-essential-3D-features - аналогично, отключаем 3D-графику для виртуальных машин, которым это не нужно.
use-unique-roles - если у вас несколько сервисных аккаунтов, то им не нужно назначать одну роль на всех, а нужно создавать для каждого отдельную с необходимым набором привилегий для решения нужной задачи.
change-sso-admin-password - это рекомендация сменить пароль для аккаунта administrator@vsphere.local, когда вы используете виртуальный модуль VMware vCSA (готовая ВМ с vCenter). Для обычного vCenter этот пароль просят сменить при установке. Удивительно, но этой рекомендации раньше не было.
Ну и кроме всего прочего, было пофикшены различные ошибки (например, значения в некоторых ячейках были обрезаны), а некоторые рекомендации переместились в другие категории.
Компания 5nine Software проводит большую работу по адаптации лучших мировых практик защиты информации в виртуальной среде к требованиям локальных рынков, в том числе и российского. Российский рынок для компании является одним из ключевых, поэтому, совместно с компанией Microsoft, 5nine Software сертифицирует свой 5nine Cloud Security 4 во ФСТЭК и закончила работу по встраиванию антивирусного движка «Лаборатории Касперского» в свой продукт.
RSS
