Облачная безопасность VMware vCloud Networking and Security 5.1 - замена VMware vShield.
Когда мы рассказывали новом пакете продуктов VMware vCloud Suite, мы уже упоминали о том, что вместо линейкий продуков VMware vShield, которая поставлялась в дополнение к версии vSphere 5.0, компания VMware выпустила перепакованный продукт VMware vCloud Networking and Security 5.1, который позиционируется как универсальное решение по обеспечению безопасности для платформы vSphere 5.1 и облачной инфраструктуры под управлением vCloud Director. Таги: VMware, vCNS, Security, vSphere, vCloud, Director, Cloud, vShield, VMsafe, Update
Семейство продуктов VMware vShield - кому и для чего.
Мы уже писали о семействе продуктов VMware vShield, призванных обеспечивать безопасность виртуальной инфраструктуры на базе VMware vSphere, но многие до сих пор не понимают кому и для чего они нужны. Постараемся вкратце описать их. Massimo Re Ferrè опубликовал хорошую статью по vShield, где нарисовал понятную картинку:
Есть три разных продукта:
- vShield Endpoint - это мидлваре (то есть, само по себе для пользователя ничего не делающее ПО), которое построено поверх VMsafe API и позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere. Это, понятное дело, важнее всего для VDI-инсталляций на базе VMware View (поэтому, если у вас нет VDI - продукт вам не нужен). О том, как это работает, и почему это хорошо, мы уже здесь писали. vShield Endpoint идет в комплекте с VMware View Premier.
- vShield App - думайте об этом компоненте как о виртуальном распределенном коммутаторе (dvSwitch) с логикой фаервола с неограниченным количеством портов. То есть мы можем контролировать трафик на уровне гипервизора на хостах ESX (опять-таки, работает VMsafe) для различных уровней сетевого взаимодействия. Ну и дальше настраиваем правила, как виртуальные машины будут между собой общаться (порты, протоколы), и все это мониторим. Об этом продукте надо задуматься, когда у вас большая инфраструктура VMware vSphere и повышенные требования к безопасности. Но учтите - продукт этот подходит для внутренней защиты датацентра (т.е. внутренние взаимодействия ВМ).
- vShield Edge - это продукт для комплексной защиты периметра датацентра. Это уже более глобальный продукт, он включает в себя такие сервисы как Stateful firewall, VPN, DHCP, NAT, Web Load Balancing и другое. То есть, это такая большая бронированная дверь в ваш виртуальный датацентр, которая обладает возможностями по защите от внешнего мира и контроля взаимодействия с ним. Не всем такое нужно - многие используют свои собственные решения. Но что надо упомянуть, так это то, что vShield Edge интегрирован с продуктом VMware vCloud Director, который предназначен для управления облаками, которые создаются в частных организациях и у сервис-провайдеров. То есть vShiled Edge понимает объекты vCloud Director и защищает их в соответствии с настроенными политиками. То есть, для инсталляций где виртуальная инфраструктра не предоставляется как услуга и где нет внутреннего облака (а, соответственно, и vCloud Director) - продукт Edge особо не нужен.
Теперь еще два важных момента:
- Что такое vShield Manager? Это название консоли, которая управляет всеми этими продуктами.
- Куда делся vShiled Zones? Никуда он не делся, он так и есть в составе изданий vSphere, начиная с Advanced. Этот продукт является частью vShiled App, а поэтому обладает только некоторыми из его возможностей:
Ну а дальше - читайте статью, там много интересных вещей написано.
Кстати, недавно наши соотечественники из Лаборатории Касперского объявили о поддержке в своих антивирусах продукта vShield Endpoint:
Скачать продукты семейства vShield можно по этой ссылке. Таги: VMware, vShield, Security, Edge, Zones, VMsafe, vSphere, ESX, ESXi, Blogs, VMachines, vCloud Director, Cloud
Безопасность виртуализации VMware vSphere - антивирусы в виртуальных машинах.
Как вы знаете, начиная с VMware vSphere 4.1, компания VMware включила с свою платформу виртуализации API для обеспечения безопасности виртуальных сред под названием EPSec (End Point Security). Совместно с технологией VMware VMsafe этот API должен позволить по-новому обеспечивать антивирусную защиту в виртуальных машинах на VMware ESX / ESXi (см. нашу запись о Trend Micro и Reflex VMC).
Сейчас традиционные антивирусы работают в виртуальных машинах, создавая нагрузку на них. Для виртуальных серверов это не так важно, поскольку их плотность на хост-машинах достаточно невелика. Да и потом, современнные антивирусы типа Symantec или Trend Micro имеют имеют функции случайного запуска, чтобы равномерно распределить нагрузку. Но для виртуальных ПК (например, на базе VMware View) коэффициент консолидации может достигать 50 и даже 100 к одному - и вот тут нужно искать пути оптимизации использования аппаратных ресурсов.
И здесь на помощь приходит VMware VMsafe и EPSec API:
Суть технологии такова - зачем использовать отдельный антивирус в каждой виртуальной машине, если можно сделать сервисную виртуальную машину, содержащую в себе средства сканирования активности виртуальных машин на уровне гипервизора, и тратить ресурсы только на нее. Естественно этот виртуальный модуль (Virtual Appliance) имеет все необходимое для поддержки перемещаемых средствами vMotion/DRS машин.
У компании Trend Micro уже есть продукт DeepSecurity 7.5, который поддерживает эту интересную технологию (Symantec и McAfee тоже скоро подтянутся). VMsafe-net API отвечает за единый фаервол, а EPsec API - за антивирусную деятельность.
Недавно Tolly group сделала его бенчмаркинг, показатели которого были впечатляющими: использование данной технологии позволяет сократить потребление ресурсов от 1.7 до 8.5 раза!
Кстати реализует упомянутые технологии продукт vShield Endpoint, входящий в состав VMware View Premier, о котором мы уже писали:
Посмотрите также вот эту презентацию. И да, вот эту. Таги: VMware, VMsafe, Security, EPSec, Trend Micro, Virtual Appliance, vSphere, ESX
Первые продукты, поддерживающие технологию VMsafe - безопасность VMware vSphere.
Уже относительно давно заявляенная компанией VMware технология VMsafe для обеспечения безопасности виртуальной инфраструктуры VMware vSphere идет в массы. За прошедший месяц сразу два вендора, Reflex Systems и Trend Micro, объявили о поддержке технологии VMsafe в своих продуктах.
Reflex VMC 2.0
О продукте VMC (Virtulization Management Center) мы уже писали. На прошедшей недавно конференции VMworld 2009 было объявлено о выходе второй версии продукта Reflex VMC. В версии Reflex VMC 2.0 появились следующие возможности:
- Новый движок для управления политиками безопасности vTrust, который сертифицирован на использование технологии VMware VMsafe.
- ПО работает без агентов.
- Поддерживается виртуальный коммутатор Cisco Nexus 1000V.
- Есть Cloud API для унификации процедур управления виртуальной инфраструктурой и ее безопасностью.
Trend Micro Core Protection for Virtual Machines
Этот продукт использует VMsafe API от компании VMware для обеспечения безопасности в виртуальной инфраструктуре VMware vSphere. Он изначально ориентирован на безопасность виртуальных машин под управлением VMware ESX / ESXi и имеет функциональность, учитывающую особенность виртуальных окружений. Trend Micro Core Protection for Virtual Machines разработан под набирающую обороты концепцию Cloud Computing (облачные вычисления) для предотвращения угроз на уровне облака еще до того, как они доходят до конечных пользователей.
У Trend Micro есть также технология Smart Protection Network (я подозреваю, что это фреймворк), которая использует именно VMsafe таким образом, что хранится централизованная база данных уязвимостей и сигнатур, и проверка идет еще до уровня виртуальной машины на уровне агента для сервера VMware ESX / ESXi (Scan VM - специальный Virtual Appliance, который, видимо, работет по принципу VMware vShield Zones).
Болле подробную информацию о продуктах Trend Micro вы можете узнать в блоге Михаила Козлова...
Таги: VMware, VMsafe, Reflex, VMC, Trend Micro
Анонсы VMworld 2009: Продукт VMware vShield Zones.
Компания VMware в прошлом году приобрела компанию Blue Lane Technologies, ориентированную на безопасность виртуальной инфраструктуры, вместе с продуктом Virtual Shield. В течении небольшого времени компания VMware провела его ребрэндинг и скоро выпустит под названием VMware vShield Zones.
vShield Zones представляет собой промежуточный слой между гипервизором ESX Server и виртуальными машинами с гостевыми ОС. По сути это сетевой экран, контролирующий сетевой трафик виртуальных машин, приходящий и уходящий с хостов ESX... Таги: VMware, Security, VMsafe, vShield, ESX, vSphere
Бесплатная утилита для защиты виртуальных машин VMware Virtual Infrastructure - Third Brigade VM Protection.
Защита виртуальной инфраструктуры требует несколько иного подхода, чем физическая. То что нам предлагают поставщики решений по виртуализации в контексте безопасности, например, Virtual Desktop Infrastructure, с одной стороны повышает уровень безопасности данных за счет централизации, с другой стороны, понижает его за счет единой точки возможного вторжения.
Типичный пример – развертываемые из одного шаблона виртуальные настольные ПК с использованием View Composer в инфраструктуре VMware View. С одной стороны, один образ защищать проще, чем 100 компьютеров, с другой – заражение одного образа ночью приведет к тому, что все 100 виртуальных машин будут заражены уже утром, когда сотрудники придут на работу. Нужно учитывать также тот момент, что если скомпрометирован хост-сервер виртуализации (а точнее гипервизор) – все виртуальные машины этого хоста также будут под угрозой. А если брать в расчет механизмы горячей миграции VMotion и балансировки нагрузки – вообще интересная вещь получается…
Таги: VMware, Security, ESX, VMsafe
VMware VMsafe – мини-революция в построении инфраструктуры безопасности виртуализации.
Компания VMware уже больше года назад анонсировала технологию VMsafe, которая позволит вывести на новый уровень безопасность в виртуальных окружениях VMware. Автором идеи и ее активистом является Мендель Розенблюм, один из основателей VMware, который не так давно покинул компанию в связи с увольнением его жены Дианы (бывшая глава VMware и ее основатель). Но дело Менделя, как известно, живет. Ниже расскажем несколько подробностей технологии, которая появится в 2009 году, в не так давно анонсированной на VMworld 2008 «виртуальной» операционной системе для датацентра VMware Datacenter OS (VDS-OS). Таги: VMware, ESX, Security, VDC-OS, VMsafe
|