На проходящей сейчас конференции TechEd 2014 в Хьюстоне компания Microsoft сделала несколько интересных анонсов, касающихся публичного облака Microsoft Azure. Мы уже писали о выпуске превью-версии Azure RemoteApp, а ниже расскажем о других нововведениях Azure.

Во-первых, прояснилась ситуация с Microsoft Azure Site Recovery (так теперь называется решение Hyper-V Recovery Manager) - он будет доступен в виде превью в июне этого года. Это катастрофоустойчивое решение позволяет проводить прямое и обратное восстановление виртуальной инфраструктуры датацентров, находящихся под управлением Microsoft System Center 2012. При этом будет доступна возможность восстановления онпремизной инфраструктуры под управлением SC Virtual Machine Manager в публичное облако Microsoft Azure.

Процесс восстановления будет полностью оркестрируем на основе заданного сценария, в качестве интервала репликации можно будет использовать время 30 секунд, а также 5 или 15 минут. Можно будет иметь до 15 точек восстановления, консистентность будет обеспечиваться технологией VSS, а пользователь при необходимости сможет включать шифрование данных.

Плата за Microsoft Azure Site Recovery будет производиться на основе используемого инфраструктурой хранилища, так как в нормальном режиме репликации виртуальные машины на резервной площадке будут выключены. Если в качестве резервной площадки используется облако Azure, то виртуальные машины там будут приведены к стандартным инстансам - small, large, A6, A8, в зависимости от такого, какой ближе по конфигурации.

Также будут поддерживаться диски VHDX, но ВМ второго поколения (Generation 2 virtual machines) пока не поддерживаются. Более подробно о решении Microsoft Azure Site Recovery можно почитать тут.

Во-вторых, было анонсировано расширение Microsoft Azure Antimalware, предоставляющее сервисы защиты от вредоносного ПО в виртуальных машинах на платформе Azure.

Теперь в ВМ можно использовать расширения от различных вендоров, обеспечивающие ее защиту от вирусов и т.п.:

В-третьих, Microsoft анонсировала доступность решения Microsoft Azure ExpressRoute, которое представляет собой единое решение для организации межоблачных VPN, безопасных соединений VNET-to-VNET, управление выделенными IP, внутреннюю балансировку и интеграцию с такими провайдерами, как AT&T, Equinix, Verizon, BT и Level3.

Технические подробности о ExpressRoute доступны тут.

Также на TechEd было сделано еще несколько анонсов, касающихся облака Azure, таких как сервис импорта-экспорта виртуальных машин на дисках для больших объемов данных, новая служба SMB File Sharing Service и т.п. Обо всем этом можно почитать тут.

Представляем вам очередную статью компании ИТ-ГРАД на актуальную тему шифрования данных клиентов публичных облаков. В современном мире все больше компаний рассматривают процесс перехода в облако, и многих останавливает от выбора такого пути единственный вопрос – вопрос защищенности данных. Причем источником такого рода опасений являются...

Пару недель назад мы писали об уязвимости OpenSSL HeartBleed, которая коснулась виртуальной инфраструктуры VMware vSphere, а также других продуктов компании VMware. Напомним, что эта уязвимость позволяла злоумышленнику получить доступ к памяти сервера, где могут храниться логины/пароли и другая информация пользователей.

На прошлой неделе компания VMware выпустила фиксы для этого бага в виде обновлений VMware vSphere 5.5 Update 1a и VMware vSphere 5.5c, подробнее о которых написано в специальной статье KB 2076665.

Но тут, как часто бывает, вышла оказия. Нашелся еще один баг в VMware vSphere 5.5 Update 1 - оказывается, если для этого билда использовать NFS-хранилища, то они периодически отваливаются, то есть переходят в состояние APD (All paths down). Это касается и VSA-хранилищ. В логах при этом наблюдается что-то вроде такого:

2014-04-01T14:35:08.074Z: [APDCorrelator] 9413898746us: [vob.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:35:08.075Z: [APDCorrelator] 9414268686us: [esx.problem.storage.apd.start] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down state.
2014-04-01T14:36:55.274Z: No correlator for vob.vmfs.nfs.server.disconnect
2014-04-01T14:36:55.274Z: [vmfsCorrelator] 9521467867us: [esx.problem.vmfs.nfs.server.disconnect] 192.168.1.1/NFS-DS1 12345678-abcdefg0-0000-000000000000 NFS-DS1
2014-04-01T14:37:28.081Z: [APDCorrelator] 9553899639us: [vob.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.
2014-04-01T14:37:28.081Z: [APDCorrelator] 9554275221us: [esx.problem.storage.apd.timeout] Device or filesystem with identifier [12345678-abcdefg0] has entered the All Paths Down Timeout state after being in the All Paths Down state for 140 seconds. I/Os will now be fast failed.

Решения для этой проблемы пока нет, поэтому рекомендуется просто откатиться на VMware vSphere 5.5 (без Update 1), если вы используете NFS-хранилища или модуль VSA.

Так вот, поэтому vSphere 5.5 Update 1 и просто vSphere 5.5 надо обновлять разными патчами для устранения уязвимости OpenSSL HeartBleed (чтобы на 5.5 не накатилась проблема с APD):

VMware ESXi 5.5, Patch Release ESXi550-201404001
Это патч только для фикса хостов ESXi 5.5 Update 1

VMware ESXi 5.5, Patch Release ESXi550-201404020
А этот патч для фикса хостов разных версий 5.5 за исключением ESXi 5.5 Update 1, а именно:
ESXi 5.5.0 hosts
ESXi 5.5.0 hosts patched with ESXi550-201312101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201312401-BG bulletin
ESXi 5.5.0 hosts patched with ESXi550-201403101-SG bulletin
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131201001s-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20131204001-no-tools image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-standard image profile
ESXi 5.5.0 hosts patched with ESXi-5.5.0-20140301001s-no-tools image profile

Для серверов vCenter есть также соответствующие патчи:

• VMware vCenter Server 5.5 U1a
• VCVA 5.5 U1a
• VMware vCenter Server 5.5c
• VCVA 5.5c

VMware рекомендует сначала обновить серверы vCenter, а потом уже обновлять хосты ESXi. Сама процедура обновления описана в KB 2076692.

После обновления, на хостах ESXi надо перегенерить сертификаты и сменить пароли root. Делается это так:

cd /etc/vmware/ssl
/sbin/generate-certificates
chmod +t rui.crt
chmod +t rui.key
passwd root

Ну и надо отметить, что для всех остальных продуктов VMware также вышли фиксы уязвимости OpenSSL HeartBleed. Информация о них доступна по этой ссылке: http://www.vmware.com/security/advisories/VMSA-2014-0004.html.

На днях ИТ-сообщество переполошилось из-за очень неприятного факта - уязвимости OpenSSL HeartBleed, которая была обнаружена в версии защищенного протокола OpenSSL 1.0.1 и 1.0.2-beta. Уязвимость получилась из-за того, что отсутствует необходимая проверка границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS.

Это позволяет злоумышленнику получить доступ к оперативной памяти сервера, где хранятся, в том числе, сами секретные ключи, имена и пароли пользователей, а также много чего еще. После того, как нехороший товарищ получил, что хотел, обнаружить факт его проникновения в систему невозможно. За один такт можно получить сегмент в 64 КБ памяти, но делать это такими кусочками можно сколь угодно долго, постоянно обновляя соединение.

Как пишет Хабр, 1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали Heartbleed. То есть, пару лет любой желающий мог вылавливать данные из памяти где-то 2/3 всех защищенных серверов мира. Эта версия OpenSSL используется в веб-серверах Nginx и Apache, в почтовых серверах, IM-системах, VPN, а также еще очень-очень много где. Сертификаты скомпрометированы, логины/пароли, возможно, утекли к посторонним людям. Кошмар, бардак, ядерная война.

Например, уязвимость есть вот в этих Linux-дистрибутивах:

• Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
• CentOS 6.5, OpenSSL 1.0.1e-15)
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
• FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Ну и, конечно же, серверы VMware ESXi 5.5 (build 1331820) и ESXi 5.5 Update 1 (build 1623387) также имеют эту уязвимость. Проверить это просто - выполняем команду:

# vmware -vl

VMware ESXi 5.5.0 build-1331820
VMware ESXi 5.5.0 GA

# openssl version -a

OpenSSL 1.0.1e 11 Feb 2013
built on: Tue Feb 26 16:34:26 PST 2013

Видим, что здесь версия 1.0.1e, которая подвержена уязвимости.

А вот для пользователей VMware ESXi 5.1 бонус - уязвимости тут нет, так как используется другой бранч OpenSSL (0.9.8y):

# vmware -vl

VMware ESXi 5.1.0 build-1612806
VMware ESXi 5.1.0 Update 2

# openssl version -a

OpenSSL 0.9.8y 5 Feb 2013
built on: Wed Mar 20 20:44:08 PDT 2013

Есть даже вот такая табличка с VMware Communities, где показано, какие компоненты и каких версий подвержены уязвимости (выделенные цветом - подвержены):

Фикса бага пока нет - но он ожидается в ближайшие дни (возможно, на момент прочтения вами этой заметки он уже выйдет). За развитием ситуации можно также следить тут.

Подробное описание уязвимости можно прочитать на специальном сайте: http://heartbleed.com/.

Проверить свой публичный сайт на наличие уязвимой версии протокола можно вот тут: http://filippo.io/Heartbleed/.

Те из вас, кто интересуется безопасностью виртуальной инфраструктуры VMware vSphere, наверняка знают такое нужное руководство, как "VMware vSphere Hardening Guide", которое предоставляет рекомендации и практичные советы по комплексной защите виртуальной инфраструктуры, включая хосты, виртуальные машины, сервер vCenter и т.п.

Однако этот документ - еще не все, что есть полезного на тему безопасности от VMware (кстати, централизованно все ресурсы находятся в VMware Security Center). Недавно обновился документ "Security of the VMware vSphere Hypervisor" (25 страниц), который описывает инфраструктуру безопасности непосредственно хоста ESXi на уровне ядра и интерфейсов.

Содержание документа:

• Secure Virtual Machine Isolation in Virtualization
  • Virtualization Extensions
  • Instruction Isolation
  • Memory Isolation
  • Memory Protection
  • Device Isolation
    • Device Access to Hardware
    • I/O Remapping
  • Resource Provisioning, Shares, and Limits
    • Provisioning
    • Shares
    • Limits
• Network Isolation
  • ESXi Networks
  • Virtual Machine Networks
  • Virtual Networking Layer
    • Virtual Switches
    • Virtual Switch VLANs
    • Virtual Ports
    • Virtual Network Adapters
    • Virtual Switch Isolation
    • Virtual Switch Correctness
• Virtualized Storage
  • Linked Clones
  • Raw Device Mapping
  • I/O Path
  • SAN Security
  • iSCSI Security
  • VMFS
  • NFS Security
• Secure Management
  • ESXi Is Not Linux
• Administrative Interfaces
• DCUI
• Host Agent
• VMware vSphere ESXi Shell
• Network Access to Administrative Interfaces
• SSL Certificates
• Management Interface Firewall
• Security of Management Protocols
• Administrative User Access
• Limit Root Access
• Lockdown Mode
• Platform Integrity Protection
  • Secure Software Packaging
  • Software Assurance and Integrity Protection
• VMware Secure Development Life Cycle

Документ отличает высокий технический уровень, который позволяет понять процессы, происходящие в недрах ESXi. Вот так, например, выглядит схема прохождения инструкций процессора на различных уровнях:

А вот так - использование физической и виртуальной памяти хостов виртуальными машинами:

Ну и вообще в документе немало интересного.

Недавно швейцарская компания Icomasoft обновила свое решение для диагностики виртуальной инфраструктуры - opvizor 2.2.

Решение opvizor представляет собой SaaS-продукт (то есть данные и правила их обработки хранятся в облаке), при помощи которого в инфраструктуре VMware vSphere и NetApp можно диагностировать и устранять проблемы, касающиеся производительности, безопасности и некорректной конфигурации виртуальной среды. Новые возможности opvizor 2.2:

• Вкладка Connected VMs на дэшборде
• Экспорт данных отчетов в формат CSV
• Возможность приоритизации проблем
• Возможность установки трэшхолдов для срабатывания триггеров по обнаруженной проблеме
• Функциональность распределенных агентов

Скачать Icomasoft opvizor 2.2 можно по этой ссылке. У продукта также есть бесплатное издание Community edition с ограниченной функциональностью.

Как многие из вас знают, в виртуальной инфраструктуре VMware vSphere некоторое количество программного обеспечения распространяется в виде виртуальных модулей (Virtual Appliances), представляющих собой готовые виртуальные машины с необходимыми сервисами внутри.

К ним, например, относятся следующие вспомогательные модули от самой VMware:

• vCenter Server Virtual Appliance 5.5 (VCVA) - главный сервер управления виртуальной инфраструктурой vSphere на базе ОС SUSE Linux.
• vCenter Orchestrator 5.5 (vCOva) - средство автоматизации операций для виртуальных машин и хост-серверов.
• vCenter Operations Manager 5.7.1 (vCOPs) - средство комплексного мониторинга и анализа виртуальной среды.
• vCenter Infrastructure Navigator 2.0 (VIN) - решение для автоматического обнаружения и визуализации компонентов приложений и зависимостей инфраструктуры.
• vCloud Automation Center Virtual Appliance 6.0 (vCACva) -  средство управления облачной инфраструктурой предприятия (SaaS, PaaS, IaaS) за счет единого решения, построенного поверх VMware vCloud Director.
• vCenter Management Assistant (vMA) - вынесенная "сервисная консоль" за пределы хост-серверов ESXi в отдельный виртуальный модуль, с которого удобно выполнять консольные команды RCLI (например, мониторинга - resxtop), а также хранить и запускать различные скрипты. 
• VMware Log Insight - централизованное средство сбора и анализа логов, о нем мы уже писали тут.
• Horizon Workspace Manager 1.5 (наша статья тут) -  средство автоматизации инфраструктуры виртуальных и физических ПК.
• vCloud Connector 2.5.1 (vCC) - средство миграции виртуальных машин на платформе VMware vSphere из частного облака предприятия в публичное хостинг-провайдера и обратно.

Все эти модули (а также и модули от сторонних производителей), будучи неотъемлемыми компонентами виртуальной среды, нуждаются в защите. Чтобы облегчить эту задачу пользователям, компания VMware выпустила документ "Hardened Virtual Appliance Operations Guide", в котором на 16 страницах вкратце рассказывают о том, как нужно защищать эти виртуальные модули в следующих контекстах:

• Root password - поставить нормальный пароль (сменить дефолтный!).
• Password Expiry - поставить нормальную политику устаревания паролей.
• Выполнить скрипт повышенной безопасности для параноиков (Dodscript.sh - сделан для Минобороны США). Там же написано про то, как поменять Security Banner (то есть скрин логина в консоль ESXi, на котором вывешено предупреждение об ответственности за несанкционированный доступ).
• Secure Shell, Administrative Accounts, and Console Access - использовать защищенный доступ к консоли виртуальных модулей.
• Time Sourcing and Synchronization - применять синхронизацию времени с доверенным источником.
• Log Forwarding – Syslog-ng and Auditd - перенаправлять собираемые логи на отдельный защищенный сервер.
• Boot Loader (Grub) Password - поставить пароль на загрузчик, исключающий также загрузку в Single user mode.
• Отключить сервисы NFS и NIS.

Начинание это, безусловно, является хорошим шагом со стороны VMware в плане обеспечения безопасности виртуальных модулей и инфраструктуры в целом. Но как-то маловато 16 страниц, вы не находите?

В небольших инсталляциях виртуальной инфраструктуры VMware vSphere может оказаться оправданным сделать один из серверов VMware ESXi сервером NTP, чтобы с ним синхронизировали свое время другие хосты.

Интересно, что немногие знают о том, что NTP-клиент сервера VMware ESXi 5.x (NTP-демон /sbin/ntpd) работает по-умолчанию не только как клиент, но и отдает время по запросу другим серверам как NTP-сервер. Поэтому достаточно лишь указать адрес хоста ESXi в качестве целевого хоста для синхронизации времени - и все будет работать.

Загвоздка тут одна - по умолчанию фаервол сервера ESXi блокирует входящие NTP-запросы по протоколу UDP на порт 123. Чтобы это исправить, нужно добавить собственное правило в сетевой экран. К сожалению, в Firewall GUI этой возможности не предусмотрено, поэтому придется лезть в конфиг-файл.

Для начала выведем список всех активных правил фаервола ESXi командой:

esxcli network firewall ruleset list

Создаем файл ntpd.xml с конфигурацией сервиса NTP со следующим содержимым (подробнее о процессе - тут):

<!-- Firewall configuration information for NTP Daemon -->
<ConfigRoot>
  <service>
      <id>NTP Daemon</id>
      <rule id='0000'>
          <direction>inbound</direction>
          <protocol>udp</protocol>
          <porttype>dst</porttype>
          <port>123</port>
      </rule>
      <enabled>false</enabled>
      <required>false</required>
  </service>
</ConfigRoot>

Далее кладем этот файл в папку на хосте ESXi /etc/vmware/firewall/ntpd.xml и выполняем команду:

esxcli network firewall refresh

После этого мы увидим новое правило в конфигурации сетевого экрана ESXi (в командной строке его можно проверить командой list, приведенной выше):

Однако, к сожалению, пользовательская конфигурация фаервола ESXi не сохраняется при перезагрузке хоста, о чем написано в KB 2007381. Поэтому можно просто положить ntpd.xml на общее хранилище и добавить в /etc/rc.local команду по копированию ntpd.xml в нужную папку хоста и комнду рефреша правил фаервола. Однако это ненадежно, поскольку зависит от доступности общего хранилища.

Поэтому, все-таки, лучше сделать это правило постоянным с помощью процедуры, описанной у Андреаса, заметка которого и стала основой этой статьи. Для этого нужно будет создать и установить VIB-пакет (как сделать это для любого случая описано в той же KB 2007381).

Ну а используя готовый пакет от Андреаса, можно установить созданный им VIB для добавления правила в фаервол для NTP-сервера:

esxcli software acceptance set --level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib

Все это работает как для ESXi 5.0/5.1, так и для ESXi 5.5.

Не так давно мы уже писали про новые возможности vGate R2 версии 2.6 - продукта, предназначенного для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети.

В этом посте мы расскажем о том, как начать работу со средством vGate R2 2.6 для быстрого старта. Для более подробной информации обращайтесь к разделу документации о vGate 2.6 - благо, что она доступна на русском языке.

Напомним также, что демо-версия vGate 2.6 с поддержкой последней версии платформы VMware vSphere 5.5 доступна для скачивания по ссылке.

1. Итак, устанавливаем vGate 2.6 из дистрибутива:

2. Во время первого запуска консоли управления vGate на экране появится мастер
первоначальной настройки:

Укажите с помощью мастера параметры соединения с сервером виртуальной инфраструктуры, добавьте защищаемые серверы и создайте учетные записи для пользователей vGate.

3. По окончании работы мастера на экране появится окно консоли управления.

Если первоначальная настройка конфигурации не была выполнена с помощью мастера, выполните ее самостоятельно (пункты 4–6).

Читать статью далее ->>

Мы много пишем про продукт vGate R2, который предназначен для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа. Не так давно мы писали про то, что компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6.

А эта новость про то, что теперь vGate R2 можно купить онлайн в интернет-магазине Softline. Недавно компания «Код Безопасности» подписала соглашение о сотрудничестве с интернет-магазином Softline, в рамках которого он становится первым авторизованным центром онлайн-продаж продуктов российского разработчика.

Заказчики компании «Код Безопасности» получают возможность сделать заказ на сайте интернет-магазина, оплатить его банковской картой или банковским платежом и в кротчайшие сроки получить поставку (ссылку на дистрибутив, лицензионный ключ и документы). Для заказа и покупки в интернет-магазине Softline доступна также вся линейка продуктов Кода Безопасности.

Эта штука будет полезна всем тем, кто находится в регионах и не имеет прямой возможности быстро купить продукты Кода Безопасности. Подробнее о решении vGate можно узнать на этой странице.

Не так давно мы уже писали про новые возможности технического релиза vGate R2 версии 2.6 - продукта, предназначенного для защиты виртуальных инфраструктур VMware. Там мы описали основные новые фичи решения, которое уже, кстати, доступно для загрузки в демо-версии, а в этой статье рассмотрим их подробнее, приведем несколько скриншотов и комментариев.

Не так давно мы писали про то, что компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6. Напомним, что vGate R2 предназначен для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети. vGate – это сертифицированное ФСТЭК средство защиты информации для виртуальной инфраструктуры на базе систем VMware.

В скором времени новая версия vGate R2 будет доступна для загрузки и покупки, а сейчас мы перечислим основные новые возможности продукта, появившиеся в версии 2.6:

• Поддержка новых версий продуктов VMware - теперь vGate поддерживает VMware vSphere 5.5, VMware View 5.1, VMware Horizon View 5.2.
• Новый режим развертывания - теперь есть возможность развертывать систему без реконфигурации топологии сети. В данном режиме фильтрация трафика к защищаемым серверам осуществляется имеющимся межсетевым экраном (маршрутизатором), а не сервером vGate.

• Интеграция с Active Directory - пользователи домена теперь могут авторизоваться в vGate.
• Улучшенный механизм контроля целостности виртуальных машин - добавлена поддержка ВМ VMware View и машин со снапшотами.

Кроме этого появились новые административные функции vGate R2 2.6:

• Возможность развертывания компонента защиты vCenter через терминальную сессию.
• Возможность администрирования из различных подсетей, что позволяет администраторам аутентифицироваться на сервере vGate, даже если их рабочие места находятся в разных подсетях.
• Возможность отправки почтовых уведомлений о событиях аудита по протоколу SMTP.
• Добавлена роль администратора информационной безопасности (АИБ) по управлению учетными записями.

Решение vGate 2.6 будет доступно уже совсем скоро, а в ближайшее время мы детальнее рассмотрим его новые возможности и функции в отдельной статье. Страница продукта vGate R2 находится здесь - http://www.securitycode.ru/products/vgate/.

Многие из вас уже знакомы с сертфицированным средством vGate R2, которое предназначено для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности для хост-серверов и виртуальных машин, а также средствами защиты от несанкционированного доступа.

Начиная с версии vGate R2 2.5 появилась поддержка защиты инфраструктур, где серверы vCenter объединены в режиме Linked Mode.

Если в компании эксплуатируются несколько серверов vCenter, объединенных при помощи режима VMware vCenter Linked Mode, то необходимо добавить один из серверов в список защищаемых объектов. После этого все связанные с ним серверы будут отображаться в списке доступных серверов виртуализации.

Если же все серверы vCenter в инфраструктуре работают в режиме Standalone, то для защиты периметра каждого vCenter необходимо развернуть отдельный сервер авторизации, соответствующим образом его настроить и добавить этот vCenter в список защищаемых серверов. То есть каждый периметр в этом случае потребуется защищать отдельно.

Кроме этого, независимо от того, используется Linked Mode или нет, необходимо на каждом сервере vCenter развернуть компонент защиты - vGate Agent for VMware vCenter.

Компонент защиты, установленный на vCenter будет учитывать соединения, необходимые для поддержания режима Linked Mode (порт 636).

Продолжаем вас знакомить с продуктом vGate R2, предназначенным для защиты виртуальных сред VMware vSphere. Напомним, что он позволяет производить автоматическую настройку конфигурации безопасности хост-серверов VMware ESX / ESXi средствами политик, защищать инфраструктуру от несанкционированного доступа, а также имеет все необходимые сертификаты ФСТЭК (включая сертификаты на vSphere 5.1).

Не так давно мы писали о том, что компания VMware обкатывает бета-версию своего руководства по обеспечению безопасности виртуальной среды, а вчера этот документ VMware vSphere 5.5 Hardening Guide был выпущен в окончательной редакции. Если говорить об изменениях по сравнению с бета-версией, то в основном были сделаны добавления в части vSphere Web Client.

Традиционно в документе, который представляет собой Excel-файл с несколькими вкладками, присутствуют следующие разделы:

• Virtual Machines
• ESXi hosts
• Virtual Network
• vCenter Server (а также различные БД и клиенты)
• vCenter Web Client
• vCenter SSO Server
• vCenter Virtual Appliance (VCSA) и различные аспекты его использования
• vCenter Update Manager
• vSphere Management Assistant (vMA)
• различные аддоны

По поводу большинства рекомендаций есть необходимые команды CLI или PowerCLI, которые приведут компоненты VMware vSphere в желаемое состояние. Рекомендуется обращать внимание на колонку Negative Functional Impact, которая описывает возможные негативные последствия для инфраструктуры.

Кроме того, некоторые параметры разделены по "профилям риска":

• Risk Profile 1 - для суперзащищенных систем (обработка гостайны, информация особой важности). Надо учитывать, что применение этих рекомендаций может повлечь за собой то, что некоторые функции платформы перестанут работать.
• Risk Profile 2 - рекомендации среднего уровня защиты, которые необходимо применять при работе с чувствительными данными.
• Risk Profile 3 - то, что должны (по-хорошему) применять все.

Также, по традиции, есть и лог изменений с предыдущей версии:

Некоторые вещи были изменены совсем недавно, поэтому многим будет интересно этот док посмотреть.

Скоро VMware vSphere 5.5 Hardening Guide появится вот на этой странице, где собираются все версии руководств Security Hardening Guides (там пока есть доки для vCloud Director и Configuration Manager).

Прямые ссылки на скачивание:

• HardeningGuide-vSphere5.5-GA-Released.xlsx (157.8 K)
• HardeningGuide-vSphere5.5-GA-Released-changelog.xlsx (17.0 К)

Также порекомендуем здесь комплексное средство для обеспечения безопасности виртуальной инфраструктуры vGate R2, которое (помимо всего прочего) позволит применить необходимые политики Security Hardening Guide и обеспечить защиту от НСД.

Мы уже представляли вам нашего спонсора компанию 5nine Software, которая начинает масштабно осваивать Россию со своим продуктом 5nine Security для Hyper-V (у компании есть еще решения для управления free/Core версией), который обеспечивает безопасность виртуальной инфраструктуры на базе гипервизора от Microsoft.

5nine Security для Hyper-V является первым и единственным безагентным решением для обеспечения безопасности, созданным специально для виртуальной платформы Microsoft Windows Server 2012/2012R2 с Hyper-V и Windows 8/8.1. Он контролирует сетевой трафик между виртуальными машинами, обнаруживает и блокирует вредоносные атаки, осуществляет быструю антивирусную проверку, обеспечивает управление безопасностью виртуальной среды, логирование, анализ событий и соответствие облака Microsoft Hyper-V стандартам безопасности, включая выполнение требований Федерального закона 152-ФЗ "О персональных данных" и прочее. В ближайшие дни ожидается релиз версии 4 продукта с поддержкой режима multitenant, разделением ролей Администратора IT /Администратора ИБ, выполнением положений Приказа №17 ФСТЭК .

Сегодня мы объявляем о том, что 5nine решила сделать сотрудничество с VM Guru долговременным и теперь у нас есть специальный раздел по решениям 5nine. Так что он будет обновляться время от времени.

Кроме того, не так давно мы писали про релиз продукта 5nine Manager for Hyper-V 3.6 для управления инфраструктурой на платформе Microsoft Hyper-V. На днях же это решение обновилось и вышел 5nine Manager for Hyper-V 3.7:

Новые возможности продукта 5nine Manager for Hyper-V 3.7:

• Поддержка виртуальных машин Generation 2, которые есть в Windows Server 2012 R2 и Hyper-V 3.0.
• Улучшенное средство управления дисками ВМ - Virtual disk manager.
• Возможность ограничения IOPS, что позволяет управлять потоком ввода-вывода отдельной виртуальной машины, ограничивая его по требованию.
• Новый мастер создания виртуальной машины.

Скачать 5nine Manager for Hyper-V 3.7 можно по этой ссылке. Стоимость продукта - $149 в год за управляемый физический сервер.

7 ноября 2013 года компания Код Безопасности проводит вебинар "Виртуализация: доступ к данным под контролем", посвященный угрозам, существующим в виртуальной инфраструктуре, и путям защиты виртуальных машин и инфраструктуры виртуализации.

Вебинар будет интересен всем специалистам, которые работают с виртуальными инфраструктурами или планируют перейти на их использование, а также специалистам по информационной безопасности, занимающимся обеспечением их защиты.

На мероприятии можно будет узнать об угрозах безопасности виртуализации и о том, какие компоненты виртуальной инфраструктуры требуют особого внимания. Также будет затронут вопрос выполнения требований законодательства  по защите конфиденциальной информации при использовании технологии виртуализации. На вебинаре вы сможете получить ответ, какие вопросы  защиты виртуальной среды можно решить, используя СЗИ vGate R2.

В конце вебинара в режиме чата участники получат ответы на вопросы, смогут оставить заявки на получение дополнительных материалов и демо-версии.

Зарегистрироваться.

Многие из вас знают, что компания Код Безопасности недавно анонсировала выпуск продукта vGate R2 версии 2.6 с поддержкой платформы VMware vSphere 5.5 (появится в четвертом квартале 2013). Кроме того, у Кода Безопасности есть совершенно бесплатная утилита vGate Compliance Checker, которая поддерживает не только хост-серверы ESXi 5.1, но и, что важно, серверы ESXi 5.0/4.x, которые сейчас все еще установлены у большого числа пользователей.

vGate Compliance Checker позволяет проверить инфраструктуру VMware vSphere 5.1/5.0/4.1 на предмет соответствия следующим стандартам и лучшим практикам:

• PCI DSS 2.0
• VMware Security Hardening Best Practices 4.1
• CIS VMware ESX Server Benchmarks 4

Для версии 4.0/3.x это следующие документы:

• PCI DSS 1.2
• VMware Security Hardening Best Practices 4
• CIS VMware ESX Server Benchmarks 3.5

Результатом проверки, которую специалисты смогут провести с помощью vGate Compliance Checker, станет структурированный отчет (возможно экспортировать в HTML), представляющий информацию о положениях стандартов и о соответствии протестированной системы этим положениям. Проверять систему можно выборочно на соответствие только интересующим стандартам и лучшим практикам.

Средняя скорость проверки соответствия систем, в которых присутствует до 3 серверов виртуализации, занимает около 1 минуты.

Скачать vGate Compliance Checker можно по этой ссылке.

Мы традиционно извещаем читателей о том, что компания VMware выпускает черновые и релизные версии своих руководств по обеспечению безопасности виртуальной среды VMware vSphere (последние тут и тут). На этот раз руководство вышло заметно быстрее - всего пару месяцев спустя после анонса vSphere 5.5 появилась и бета документа VMware vSphere 5.5 Hardening Guide.

Как обычно руководство представлено одним Excel-файлом и разделено на следующие секции:

• Virtual Machines
• ESXi hosts
• Virtual Network
• vCenter Server (а также различные БД и клиенты)
• vCenter Web Client
• vCenter SSO Server
• vCenter Virtual Appliance (VCSA) и различные аспекты его использования
• vCenter Update Manager

Традиционно присутствует и лог изменений Hardening Guide по сравнению с предыдущей версией:

Также теперь VMware объявляет даты выпуска предрелизной и релизной версий документа:

• Release Candidate (RC) - Available the week of Oct 14th
• General Availability (GA) - Available the week of Oct 21st

Не так давно компания «Код Безопасности» выпустила технический релиз продукта vGate R2 версии 2.6, предназначенного для защиты виртуальных инфраструктур VMware.

В новой версии vGate R2 реализована интеграция со службами Active Directory, что обеспечивает возможность аутентификации в системе vGate под доменной учетной записью.

Кроме того, новая версия vGate R2 позволяет развертывать систему без реконфигурации топологии сети. В данном режиме развертывания фильтрация трафика к защищаемым серверам осуществляется имеющимся межсетевым экраном (маршрутизатором), а не сервером vGate. Таким образом, для внедрения системы не требуется перестраивать топологию сети и устанавливать два сетевых адаптера на сервере vGate. 

В новой версии vGate R2 будет доступен контроль целостности виртуальных машин в среде VMware View.

Также новые возможности, реализованные в версии vGate 2.6, предоставляют администратору дополнительные инструменты для управления системой защиты. В новую версию vGate R2 добавлены следующие функции администрирования:

• возможность удаленного развертывания через терминальную сессию компонента защиты vCenter;
• возможность администрирования из различных подсетей, что позволяет администраторам аутентифицироваться на сервере vGate, даже если их рабочие места находятся в разных подсетях;
• возможность отправки почтовых уведомлений о событиях аудита по протоколу SMTP;
• добавлена роль администратора информационной безопасности (АИБ) по управлению учетными записями.

Новая версия vGate R2 передана на инспекционный контроль в ФСТЭК России для подтверждения выданных ранее сертификатов соответствия.

Среди анонсов VMworld 2013, о которых мы писали вот тут, помимо обновленной платформы виртуализации VMware vSphere 5.5, было также объявлено о выпуске средства единой аутентификации в виртуальной инфраструктуре - VMware vCenter Single Sign-On 5.5 (SSO).

На самом деле это всего лишь версия 2.0 компонента SSO, но она уже была полностью переписана по сравнению с первой версией, у которой наблюдались серьезные проблемы, а именно:

• Ограниченная интеграция с Active Directory
• Сложность управления инфраструктурой SSL-сертификатов
• Отсутствие четких инструкций и рекомендаций по развертыванию продукта
• Сложность развертывания решения, особенно для администраторов небольшой инфраструктуры

Надо отметить, что SSO версии 1.0 компания VMware оеэмила у сторонних разработчиков, но ввиду его неудобства решила написать его для себя с нуля.

Теперь Single Sign-On 5.5 лишен перечисленных проблем, архитектурно он стал проще - нет нужды в сторонней базе данных, все построено на базе внутренней модели хранения LDAP. Мастер установки стал очень простым и позволяет без труда развернуть SSO не несколько узлов vCenter 5.5:

Теперь архитектура построена на модели multi-master, что предполагает наличие идентичной конфигурации на каждом узле, между которыми происходит встроенная в решение репликация. Теперь можно создавать логические группировки зарегистрированных ресурсов, например, по географическому признаку.

Обновилась и утилита vCenter Certificate Automation tool, которая теперь позволяет простым образом обновлять сертификаты компонентов средств управления виртуальной инфраструктурой vCenter Server 5.5.

Помимо прочего, теперь нет и заморочек с master password, которые вводили в недоумение многих пользователей.

VMware рекомендует устанавливать SSO вместе с сервером vCenter, а один экземпляр SSO может работать в инфраструктуре до 1000 хостов ESXi и 10 000 виртуальных машин.

Из остальных функций Single Sign-On 5.5 можно отметить следующие:

• Поддержка односторонних и двусторонних AD-трастов
• Поддержка нескольких лесов
• Можно использовать локальную аутентификацию без домена, если это необходимо
• Появилось множество средств для траблшутинга и диагностики решения

VMware vCenter Single Sign-On 5.5 можно будет скачать в составе инфраструктуры VMware vSphere.

На прошедшей конференции VMworld 2013 компания VMware представила свое виденье концепции ЦОД будущего - Software-Defined Datacenter, то есть датацентр, определяемый и направляемый программно, в котором слой оборудования полностью отделен от слоя программного обеспечения, а последний и реализует все необходимые сервисы пользователей и функции управления. То есть, оборудование - это просто подложка, элементы которой можно будет заменять, а все необходимые функции управления будут находиться на стороне программного обеспечения.

Выглядит это так:

В рамках этой концепции было объявлено о работе VMware в четырех направлениях:

• Расширение применения технологии виртуализации на все приложения (например, кластеры Hadoop).
• Трансформация хранилищ в абстрагированные и агрегированные дисковые ресурсы серверов (Virtual SAN) на базе разработок компании Virsto (с русскими корнями, кстати).
• Создание программно-определяемых сетей в датацентре на базе продукта VMware NSX, полученного после покупке компании Nicira.
• Повышение автоматизации датацентра и создание комплексных средств управления (таких как, например, решение VMware vCloud Automation Center (vCAC)).

Сегодня мы поговорим о третьем пункте - решении для построения виртуальной инфраструктуры сетей - VMware NSX, которое было анонсировано на VMworld как один из ключевых компонентов стратегии VMware в рамках концепции Software-defined networking (SDN).

VMware NSX - это решение полученное на основе двух продуктов: купленного Nicira NVP и собственного VMware vCloud Networking and Security (vCNS). Последний предназначен для комплексной защиты виртуального датацентра и построен на базе семейства продуктов VMware vShield. Решение VMware NSX предназначено для крупных компаний, которые планируют повысить степень гибкости сетевой среды датацентра, который связан с другими ЦОД компании, и где требуется переносить виртуальные машины между ними или поддерживать распределенную архитектуру кластеров.

Чтобы понять концепцию NSX можно провести аналогию с серверной виртуализацией, отмапив инфраструктуру VMware vSphere на инфраструктуру "гипервизора" NSX:

Такая архитектура, конечно же, требует интеграции с агентами в физическом оборудовании, которые уже есть в сетевых устройствах Arista, Brocade, Cumulus, Dell, HP и Juniper.

Сама же платформа VMware NSX включает в себя следующие компоненты:

• Controller Cluster - это система, состоящая из виртуальных или физических машин (как минимум 3), предназначенная для развертывания виртуальных сетей во всем датацентре. Эти машины работают в кластере высокой доступности и готовы принимать управляющие команды от различных средств через API, например, VMware vCloud или OpenStack. Кластер осуществляет управление объектами vSwitches и Gateways, которые реализуют функции виртуальных сетей. Он определяет топологию сети, анализирует поток трафика и принимает решения о конфигурации сетевых компонентов.
• Hypervisor vSwitches (NSX Virtual Switches)  - это виртуальные коммутаторы уровня ядра ESXi с программируемым стеком L2-L4 и конфигурационной базой. Они отвечают за работу с трафиком виртуальных машин, обеспечение туннелей VXLAN и получают команды от Controller Cluster.
• Gateways - это компоненты, предназначенные для сопряжения виртуальных и физических сетей. Они предоставляют сервисы IP routing, MPLS, NAT, Firewall, VPN, Load Balancing и многое другое.
• Ecosystem partners - партнеры могут интегрировать собственные виртуальные модули (Virtual Appliances) в инфраструктуру NSX на уровнях L4-L7. Подробнее об этом написано здесь.
• NSX Manager - это централизованное средство управления виртуальными сетями датацентра (с веб-консолью), которое взаимодействует с Controller Cluster.

Посмотрим на высокоуровневую архитектуру решения:

Как мы видим, NSX оперирует собственными виртуальными сетями, которые инкапсулируют в себе физические сети средствами протоколов STT, VXLAN и GRE (как это делается мы уже писали вот тут). А компонент NSX Gateway выполняет функции моста для коммутации на уровне L2 и маршрутизации на уровне L3.

В качестве серверных гипервизоров в инфраструктуре NSX могут быть использованы решения VMware vSphere, KVM или Xen.

Надо отметить, что есть два варианта развертывания решения:

• Окружение, состоящее только из хостов vSphere: в этом случае NSX опирается на инфраструктуру vSphere Distributed Switch (VDS) при взаимодействии с компонентами решения. А компонент NSX Gateway опирается на решение NSX Edge, которое было выделено из подпродукта vCNS Edge (бывший vShield Edge).
• Гибридное окружение с несколькими гипервизорами: тут NSX уже использует Open vSwitch для KVM и Xen, а также собственный виртуальный коммутатор NSX vSwitch, работающий на уровне ядра ESXi. С точки зрения шлюза тут уже NSX может использовать различные физические модули.

Вот так выглядит детальная архитектура решения VMware NSX с учетом развертывания в среде только с VMware vSphere (обратите внимание, что NSX может работать только с одним сервером vCenter - это ограничение архитектуры):

Тут видно, что на уровне гипервизора работают 4 компонента, так или иначе используемых NSX:

• Security - средства безопасности уровня ядра.
• Виртуальные сети VXLAN.
• Distributed Router (DR) - распределенный маршрутизатор.
• Distributed Firewall - распределенный сетевой экран, который мы упоминали вот тут.

А вот так выглядит решение NSX в гибридной среде с несколькими гипервизорами:

С точки зрения логических функций NSX выполняет следующее:

• Logical Switching - NSX использует комбинацию Stateless Transport Tunneling (STT), Generic Routing Encapsulation (GRE) и VXLAN для гибридных окружений или только VXLAN для окружений vSphere, чтобы предоставлять коммутацию уровня L2 вне зависимости от нижележащей топологии сети. Теперь все происходит на уровне эмулируемой структуры виртуальных сетей, не затрагивающей IP-адреса и не привязанной к физическому расположению, что значит, что виртуальную машину можно перемещать между датацентрами без изменения конфигурации сетей.

• Поддержка аппаратных туннелей - VXLAN Tunnel Endpoints (VTEPs), которые позволяют поддерживать технологию виртуальных сетей на аппаратном уровне и не создавать задержек в сети.
• Logical Routing - теперь L3-маршрутизация возможна на логическом уровне, вне зависимости от нижележащего оборудования и за счет наличия distributed routing (DR) module в VMware ESXi с поддержкой протоколов динамической маршрутизации BGP и OSPF.
• Logical Firewalling - эти возможности пришли из продукта  vCNS App (vShield App), они позволяют обеспечить комплексную защиту датацентра средствами модулей распределенного сетевого экрана (distributed firewall, DFW).
• Logical Load Balancing and VPN - эти функции были также взяты из vCNS и поддерживаются только для окружений vSphere. В этом случае компонент NSX Edge осуществляет балансировку соединений на уровне L7 с поддержкой различных алгоритмов, а также позволяет организовать надежный VPN-туннель к инфраструктуре на базе IPsec и SSL.

Более подробно о решении VMware NSX можно узнать на этой странице.

Компания Код Безопасности приглашает посетить свой стенд на мероприятии номер 1 в сфере информационной безопасности в России - конференции InfoSecurity Russia 2013.

Там вы сможете узнать о решении vGate для защиты виртуальной инфраструктуры VMware vSphere. vGate – это сертифицированное средство защиты информации для виртуальной инфраструктуры на базе систем VMware vSphere 4, 5, 5.1.

Функции vGate R2:

• Позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности.
• Способствует противодействию ошибкам и злоупотреблениям при управлении виртуальной инфраструктурой.
• Позволяет привести виртуальную инфраструктуру в соответствие законодательству, отраслевым стандартам и лучшим мировым практикам.

На стенде также можно будет узнать о новой версии АПКШ «Континент» 3.7, комплексного решения для организации защиты сетевого периметра и обеспечения конфиденциальности данных при передаче по общедоступным каналам связи. В состав АПКШ «Континент» 3.7 вошла система обнаружения вторжений (СОВ), соответствующая требованиям ФСТЭК России к СОВ 3-го класса.

Более подробно об участии компании Код Безопасности в конференции InfoSecurity Russia - здесь.

Мы продолжаем сотрудничество с компанией Код Безопасности, которая выпускает продукт vGate R2, предназначенный для защиты виртуальных инфраструктур средствами политик, а также от несанкционированного доступа к элементам инфраструктуры, таким как виртуальные машины, хранилища и сети.

vGate R2 – это сертифицированное средство защиты информации от несанкционированного доступа и контроля выполнения ИБ-политик для виртуальной инфраструктуры на базе платформ VMware vSphere 4 и vSphere 5. vGate R2 облегчает приведение виртуальной инфраструктуры в соответствие законодательству, отраслевым стандартам и лучшим мировым практикам.

Основные возможности vGate R2:

• Защита информации от утечек через специфические каналы среды виртуализации.
• Разделение объектов инфраструктуры на логические группы и сферы администрирования через мандатное и ролевое управление доступом.
• Усиленная аутентификация, разделение ролей и делегирование полномочий.
• Управление и контроль над конфигурацией системы безопасности.
• Автоматическое приведение инфраструктуры в соответствие требованиям и постоянный контроль соответствия.

Решение vGate R2 имеет все необходимые сертификаты ФСТЭК, так необходимые в государственных организациях, а также в компаниях, оперирующих с персональными данными. Сертификат ФСТЭК России по уровню СВТ 5 и НДВ 4 дает возможность использовать продукт для защиты автоматизированных систем (АС) до класса 1Г включительно и информационных систем персональных данных (ИСПДн) до класса К1 включительно.

Более подробную информацию о продукте vGate R2 можно получить на этой странице.

В ближайшее время мы расскажем о следующих интересных моментах, касающихся vGate R2:

• Встроенные средства защиты в сертифицированную (теперь) платформу VMware vSphere и продукт vGate 2.5 (VMware выполняет не все требования).
• Новые возможности продукта vGate 2.6.
• Развертывание vGate без реконфигурации топологии сети.
• Функции администрирования нового vGate.

Не отключайтесь!

Новость уже несвежая, но поскольку мы все-таки стараемся следить за новостями на перекрестке ИБ и виртуализации, то об этом надо бы обязательно упомянуть, да и вдруг кто не знает. Еще в июне 2013 года продукты VMware vSphere 5.1 и VMware View 5.1 прошли сертификацию ФСТЭК.

Компания «Сертифицированные информационные системы», получила сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программное обеспечение для виртуализации центра обработки данных — VMware vSphere 5.1 и программное обеспечение для виртуализации рабочих мест – VMware View 5.1. Российским заказчикам стали доступны преимущества использования сертифицированных версий решений для организации и управления виртуальной инфраструктурой.

Сертификат соответствия ФСТЭК России № 2900 от 13 июня 2013 года удостоверяет, что программный комплекс VMware vSphere 5.1, в редакции «Standard», «Enterprise», «Enterprise Plus», «VMware View 5.1» в редакциях «Premier», «Enterprise», разработанный компанией VMware и производимый ООО «Сертифицированные информационные системы», является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну.

Смущает тут одно - "Программный комплекс VMware vSphere 5.1...производимый ООО «Сертифицированные информационные системы»". Это что еще такое? Я почему-то думал, что VMware vSphere производит сама компания VMware :) Ну да ладно.

Полученный решениями vSphere и View сертификат ФСТЭК позволяет использовать VMware vSphere 5.1 и VMware View 5.1 в информационных системах для обеспечения 4-го уровня защищенности ПДн и 3-го уровня при использовании дополнительных средств в ИСПДн-С, ИСПДн-Б, ИСПДн-О, ИСПДн-И с актуальными угрозами 3-го типа. При использовании сертифицированных СЗИ от партнеров VMware ПО виртуализации можно использовать в АС с более высокими требованиями к защите информации.

Относительно получения сертификата просьба обращаться к VMware:

Мурашов Максим
консультант по решениям
mmurashov@vmware.com
+7 495 212 2950

P.S. Те из вас, кто сертификат уже получил - киньте, пожалуйста, линк в каменты.

Давно у нас не появлялось новых спонсоров, поэтому сегодня я особенно рад представить вам компанию 5nine Software, которая начинает масштабно осваивать Россию со своим продуктом Security Manager для Hyper-V, который обеспечивает безопасность виртуальной инфраструктуры на базе гипервизора от Microsoft.

Сама компания имеет русские корни и ваши коллеги постараются ответить на вопросы на страницах нашего сайта. Напомним также, что о компании 5nine и ее продуктах мы уже рассказывали тут, тут, тут и тут.

Сегодня мы приведем небольшой обзор продукта Security Manager для Hyper-V.

5nine Security Manager для Hyper-V является первым и единственным безагентным решением для обеспечения безопасности, созданным специально для  виртуальной платформы Microsoft Windows Server 2012 Hyper-V и Windows 8. Он контролирует сетевой трафик между виртуальными машинами, обнаруживает и блокирует вредоносные атаки, осуществляет быструю антивирусную проверку, обеспечивает управление безопасностью виртуальной среды, логирование, анализ событий и соответствие облака Microsoft Hyper-V  стандартам безопасности, включая выполнение  требований  Федерального  закона 152-ФЗ "О персональных данных" и др.

5nine Security Manager сочетает в себе несколько модулей защиты в одном  централизованно управляемом программном продукте: 

• Антивирусный модуль
• Программируемый виртуальный Firewall
• Система обнаружения вторжений (IDS) и защиты Web приложений
• Журнал логов

5nine Security Manager  разрабатывался в тесной кооперации с разработчиками Microsoft Windows Server 2012 и является расширением Windows Filtering Platform (WFP), использует новую архитектуру Hyper-V Extensible Switch и API-интерфейсы Microsoft. Приложение вызывается  из Virtual Switch Server 2012 и может быть установлено на виртуальной инфраструктуре Hyper-V при помощи специального плагина для Microsoft System Center.

5nine Security Manager создан по техническому заданию клиентов – крупных ЦОД и хостинг-провайдеров. При помощи этого продукта администратор ЦОД может:

• Защитить свою виртуальную инфраструктуру от вирусной активности, вредоносных вторжений и сетевых атак.
• Увеличить  производительность виртуальной инфраструктуры, плотность виртуальных машин и окупаемость проекта за счет безагентной технологии и использования архитектуры самого Hyper-V VirtualSwitch.
• Можно использовать любые гостевые ОС для Hyper-V.
• Предотвратить «антивирусные штормы» за счет управления работой антивируса с хоста.
• Сигнатуры антивируса хранятся на хосте, что увеличивает ресурс ВМ.
• Высокая скорость антивирусного сканирования. До 50 раз быстрее любого другого антивируса за счет инновационного инкрементального механизма сканирования.
• Объединить управление политиками, правилами, фильтрами и журналами антивируса, firewall и IDS в одной простой консоли.
• Выполнить требования Федерального закона 152-ФЗ "О персональных данных" для виртуальной инфраструктуры в соответствии с Microsoft Best Practice.
• Иметь возможность регистрации событий для осуществления ИТ-аудита и обеспечения соответствия нормам.
• Обеспечить низкую цену построения системы безопасности ЦОД.

Информация для заказа продуктов и поддержки:

• http://www.5NINE.ru
• e-mail: info@5NINE.ru
• телефон: +7 (495) 777-32-82

Еще немного информации о компании 5nine можно почерпнуть по этой ссылке.

При внедрении средств виртуализации в некоторых государственных структурах иногда требуются сертификаты соответствия ФСТЭК на различные продукты и компоненты, чтобы ИТ-система могла пройти процедуру аттестации или проверки со стороны контролирующих государственных органов. Процедуры эти, в основном, глупые и бессмысленные, так как ИТ-система - это понятие комплексное, и ее нельзя точно подвести под постоянно устаревающие стандарты информационной безопасности.

Особенно все возбуждаются, когда дело касается персональных данных и их защиты в соответствии со всякими там ФЗ. Начинаются поиски бумажек ФСТЭК и прочих фейковых доказательств того, что инфраструктура надежно защищена, хотя дядя Ваня за соседним столом может легко назвать свой CVV по телефону "банковскому работнику", а рядом с продакшеном стоит три года не обновляемый unmanaged-сервер имеющий доступ ко всему и вся.

Но для тех, кому эти бумажки все-таки нужны, выкладываем сертификаты ФСТЭК на самую распространенную платформу для создания инфраструктуры виртуальных ПК - Citrix XenDesktop. Как всегда, парни из ФСТЭК и их коллеги из "Газинформсервиса" оказываются весьма оперативными - в начале этого года провели испытания и сертифицировали решение Citrix XenDesktop 4 Feature Pack 2, анонсированное всего 3 года назад.

Когда на дворе уже почти Citrix XenDesktop 7 представляем вашему вниманию сертификаты ФСТЭК на продукт трехлетней давности - Citrix XenDesktop 4 Feature Pack 2 (о новых возможностях четверки мы писали в свое время тут, тут и тут). Поздравляю вас, коллеги из ФСТЭК - вы проделали по-настоящему нужную работу!

Сертификат ФСТЭК на Citrix XenDesktop 4 Feature Pack 2 Platinum Edition:

Сертификат ФСТЭК на Citrix XenDesktop 4 Feature Pack 2 Enterprise Edition:

Сертификат ФСТЭК на Citrix XenDesktop 4 Feature Pack 2 VDI Edition:

Сертификацию пятой версии, я думаю, стоит ждать в 2015 году, как раз, когда объявят о выпуске десятой.