Продолжаем вам рассказывать о средстве vGate от компании Код Безопасности, которое необходимо  для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур.

Кстати, обратите внимание, что продукт теперь называется не vGate 2, а vGate R2, и в него включена поддержка платформы VMware ESXi, на базе которой будет построена VMware vSphere 5.

На фоне грядущей ответственности за неисполнения норм ФЗ 152 продукт vGate R2 будет вам очень полезен, тем более, что он имеет сертификат ФСТЭК. Согласно сертификату ФСТЭК России №2308, программное средство защиты информации разработки компании «Код Безопасности» vGate R2 предназначено для защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, и может применяться в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

А сегодня - еще одна важная новость. В данное время продукт vGate R2 с поддержкой ESXi передан во ФСТЭК России для прохождения инспекционного контроля. Поступление сертифицированного продукта в продажу ожидается в августе 2011 года (т.е. ближе к релизу vSphere 5).

"При разработке новой версии vGate R2 мы постарались учесть все пожелания наших заказчиков. Теперь vGate R2 поддерживает ESXi-сервера, а также содержит новые встроенные наборы шаблонов для АС по требованиям ФСТЭК и для ИСПДН по требованиям СТО БР ИББС. Реализованные в новой версии vGate R2 функции значительно облегчат приведение виртуальных инфраструктур в соответствие законодательству, обеспечат непрерывность в соблюдении политик безопасности и позволят сократить затраты на обеспечение ИБ. На этом мы не останавливаемся и продолжаем дальше развивать vGate с учетом пожеланий наших заказчиков. Сегодня любой желающий может внести свой вклад в развитие vGate, предложив идею относительно развития функционала продукта на нашем сайте", - отметила Мария Сидорова, заместитель руководителя направления "Защита виртуальных инфраструктур" компании «Код Безопасности».

Свой вклад в развитие продукта vGate R2 можно внести, оставив комментарий вот в этой форме на сайте Кода Безопасности.

Скачать пробную версию vGate R2 можно по этой ссылке (вам выдадут лицензию на 60 или 90 дней). В ближайшее время мы подробно рассмотрим механизм защиты информации в виртуальной инфраструктуре VMware vSphere от несанкционированного доступа, а также расскажем о процессе установки vGate R2.

Как вы знаете, есть такой хороший продукт vGate 2, который производится нашим спонсором - компанией "Код Безопасности" (об основных его возможностях можно почитать в нашей статье). Нужен он для двух важных с точки зрения информационной безопасности вещей: защиты компонентов VMware vSphere от несанкционированного доступа (НСД) и автоматической настройки среды VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги, которые вы должны были бы потратить на консультантов, обучение своих специалистов и ручную настройку виртуальной среды).

Кстати, важная новость. Вышел vGate 2 с полной поддержкой VMware ESXi 4.1 (об этом мы писали тут, но продукт был еще в бете). Скачать vGate 2 для VMware ESXi можно тут.

Но сегодня мы поговорим о том, как было бы неплохо организовать безопасную инфраструктуру доступа системных администраторов VMware vSphere к различным компонентам среды виртуализации. Это нужно для того, чтобы понимать как правильно наладить контроль за серверами ESX / ESXi и виртуальными машинами со стороны vGate, а также разграничить доступ к этим объектам в рамках зон ответственности администраторов vSphere.

Логичной выглядит следующая схема построения локальной сети в контексте доступа к компонентам виртуальной инфраструктуры:

Немного опишем ее:

• Выделяем на уровне домена безопасности отдельно сеть администрирования инфраструктуры vSphere. Она содержит серверы ESX / ESXi, сервер vCenter, а также сервер авторизации vGate. Сам сервер авторизации имеет два сетевых адаптера - одним он смотрит в сети администрирования vSphere, а другим во внешнюю сеть предприятия, где находятся рабочие станции администраторов. Таким образом из последней сети в сеть управления можно попасть исключительно через сервер авторизации vGate (компоненты vGate выделены зеленым). На рабочих местах администраторов vSphere и администратора ИБ также установлены клиентские компоненты vGate.
• В отдельную подсеть нужно выделить сеть репликации ВМ (та, что для vMotion и Fault Tolerance).
• В отдельную подсеть выделяем сеть для IP-хранилищ (NFS/iSCSI).
• Ну и, само собой, сеть виртуальных машин тоже должна быть отдельной. Разделение сетей на хостах ESX / ESXi лучше делать на базе тегирования на уровне виртуального коммутатора (см. виды тэгирования).

Если взглянуть на разделение сетей со стороны сетевых адаптеров хост-сервера ESX сервера авторизации vGate, мы получим такую картину:

После конфигурирования локальной сети обязательно следует настроить маршрутизацию между подсетями, а также убедиться в наличии доступа с рабочих мест администраторов vSphere к элементам управления виртуальной инфраструктурой (vCenter и хост-серверы).

Вот основные варианты настройки маршрутизации (АВИ - это администратор виртуальной инфраструктуры):

Вот собственно и основные правила.

Продолжаем вас знакомить с решением vGate 2 от компании Security Code, которая является нашим спонсором (вот тут описано решение, а вот тут - специальный раздел о продукте). Вкратце: vGate 2 позволяет защиту объектов VMware vSphere от несанкционированного доступа, а самое главное - позволяет автоматически настроить среду VMware vSphere (хосты ESX и виртуальные машины) в соответствии со стандартами и регламентами по обеспечению безопасности виртуальных инфраструктур (это экономит деньги). Кстати, недавно вышла версия vGate 2.3 с поддержкой VMware ESXi.

Сегодня мы поговорим о мониторинге и аудите событий информационной безопасности, происходящих в виртуальной инфраструктуре VMware vSphere. Надо сказать, что для тех компаний, которые заботятся о безопасности своих виртуальных серверов, анализировать стандартные логи, которые дает ESX и vCenter весьма муторно:

На хостах ESX структура логов (откуда мы и можем выделить события ИБ) такова:

• /var/log/vmware/hostd.log – ESX Service Log
• var/log/vmware/vpx/vpxa.log – vSphere Client Agent Logs
• /var/log/vmware/aam – VMware HA Logs
• /var/logvmkernel – VMKernel Messages
• /var/log/vmkwarning – VMKernel Warnings
• /var/log/messages – Service Console Log

На ESXi - это следующие логи:

• /var/log/vmware/hostd.log – ESXi Service Log
• var/log/vmware/vpx/vpxa.log – vCenter Agent Logs
• /var/log/messages – Syslog Log (это комбинация логов vmkernel и hostd)

Вручную разгребать и анализировать всю эту пачку весьма трудозатратно, поэтому vGate 2 дает вам возможность сделать это удобно из центральной консоли в едином Журнале событий. Но vGate 2 - это не обработчик логов на хостах VMware ESX / ESXi. За счет собственных агентов на хост-серверах он сам регистрирует все события, относящие к информационной безопасности инфраструктуры виртуализации. Это именно те события, аудит которых позволяет своевременно обнаружить и пресечь попытки несанкционированного доступа.

События безопасности регистрируются на всех серверах ESX, на которых установлены компоненты защиты vGate (агенты), а затем пересылаются на сервер авторизации для централизованного хранения. Регистрируются как события несанкционированного доступа к объектам vSphere, так и правомочные события.

Если открыть одно события из списка, мы увидим нечто подобное (доступно полное детальное описание - кто сделал, что, когда и с какого хоста):

События имеют следующие характеристики:

vGate 2 отслеживает те события, которые могут тем или иным образом повлиять на безопасность виртуальной инфраструктуры. Как примеры таких событий можно привести следующее:

• Копирование виртуальной машины
• Клонирование ВМ
• Выгрузка файлов ВМ на внешний носитель (см. "Как украсть виртуальную машину")

Также, помимо основных событий, vGate 2 регистрирует еще и события, связанные с нарушением контроля целостности (КЦ) в различных компонентах виртуальной инфраструктуры:

• На серверах ESX (папка /opt/vgate)
• На сервере авторизации (каталог установки vGate)
• На рабочей станции администратора VMware vSphere
• На рабочей станции администратора безопасности инфраструктуры vSphere

Кстати, на компьютерах внешнего периметра сети администрирования (то есть рабочих станциях с vSphere Client), на которых установлен агент аутентификации, сообщения хранятся локально в журнале при ложений Windows (Application Event Log). Для их просмотра (локально или удаленно) можно использовать Windows Event Viewer.

В этом документе вы найдете полное описание событий ИБ на хостах VMware ESX / ESXi, которые регистрирует vGate 2.

В заключение скажем, что vGate 2 имеет возможность интеграции с SIEM-системами, если таковые имеются на вашем предприятии. vGate позволяет настроить ведение журнала событий и поддерживает протокол SNMP, что позволит при необходимости перенаправить события из журнала событий vGate на удаленный сервер.

Как вы знаете, мы сотрудничаем с компанией "Код Безопасности", которая, в частности, занимается выпуском продукта vGate 2, который автоматизирует настройку виртуальной среды в соответствии с регламентами предприятия, а также руководящими документами и стандартами в этой сфере (см. тут).  Кроме того, он позволяет организовать инфраструктуру полномочного доступа к компонента виртуальной инфраструктуры VMware vSphere и защитить ее от несанкционированного доступа (см. тут).

Недавно стала доступна для скачивания бета-версия продукта vGate 2.3, который полностью поддерживает платформу VMware ESXi 4.1. А это очень важно, поскольку vSphere 5 будет построена только на базе ESXi, а ESX уйдет в прошлое (см. нашу серию статей тут). Само собой, к выходу vSphere 5 продукт vGate будет готов обеспечивать безопасность этой платформы.

Итак, прежде всего, ссылка на скачивание vGate 2.3 с поддержкой ESXi: http://www.securitycode.ru/products/demo/. В поле "Выберите продукт" выбираем "Бета-версия vGate 2 (с поддержкой ESXi)".

Для поддержки ESXi была проделана большая работа - представьте сколько всего нужно было переделать, чтобы доработать агента для хост-серверов и договориться с VMware о его сертификации для ESXi. Под "все" подразумевается настройка конфигурации хост-серверов ESXi для соответствия политикам безопасности VMware Security Hardening и другим.

Важно! Для серверов виртуализации VMware ESXi пока поддерживаются только следующие политики:

• Запрет клонирования виртуальных машин;
• Запрет создания снимков виртуальных машин;
• Список запрещенных устройств;
• Доверенная загрузка виртуальных машин;
• Запрет подключения USB-носителей к ESX-серверу;
• Очистка памяти виртуальных машин;
• Запрет доступа к консоли виртуальной машины;
• Запрет доступа к файлам виртуальных машин;
• Затирание остаточных данных на СХД при удалении ВМ;
• Запрет смешивания разных типов сетевого трафика.

Кстати, если у вас есть инфраструктура VMware View 4.5 - то vGate 2.3 ее поддерживает (в документации описано, что нужно сделать).

В продукте появилось еще несколько интересных возможностей:

• Поддержка стандартного Distributed vSwitch (dvSwitch)
• Новые политики безопасности:
  • Запрет Download файлов ВМ с привязкой к меткам
  • Запрет трафика vMotion (FT) и трафика vSphere Client
  • Затирание остаточных данных на СХД при удалении ВМ
  • Запрет доступа к консоли ВМ с привязкой к меткам
  • Соответствие стандарту PCI-DSS
• Обновлен установщик продукта, улучшено управление генерацией событий
• Сервер авторизации полностью поддерживается в ВМ
• Шаблоны настроек политик АС по ФСТЭК, ИСПДн по ФСТЭК, ИСПДн по СТО БР ИББС
• Новые отчеты по конфигурации и аудиту

Итак, скачиваем: http://www.securitycode.ru/products/demo/.

Вы все уже давно поняли, что нужно думать о безопасности виртуальной инфраструктуры VMware vSphere. Лучше всего думать о ней таким способом: попробовать продукт vGate, который автоматизирует настройку виртуальной среды в соответствии с регламентами предприятия, а также руководящими документами и стандартами в этой сфере. Сегодня мы рассмотрим безопасность инфраструктуры виртуализации с экономической точки зрения: попробуем ROI-калькулятор для решения vGate.

Как вы знаете, есть такой продукт vGate 2 от российского разработчика "Код Безопасности", который нужен для защиты информации от несанкционированного доступа и контроля выполнения политик безопасности для виртуальной инфраструктуры на базе платформ VMware Infrastructure 3 и VMware vSphere 4. Также он облегчает приведение виртуальной инфраструктуры в соответствие законодательству и отраслевым стандартам информационной безопасности (и также имеет сертификат ФСТЭК).

Мы уже описывали основные возможности и архитектуру vGate 2 для VMware vSphere, а сегодня поговорим более детально о важной функциональной составляющей продукта - настройке политик безопасности и имеющихся встроенных политиках.

Политики безопасности, реализованные в vGate, контролируют критичные для безопасности виртуальной среды настройки серверов ESX и ВМ. Помните те самые политики, на предмет соответствия которым вы сканировали инфраструктуру виртуализации с помощью бесплатного средства vGate Compliance Checker? Так вот теперь их можно задать для хостов VMware ESX, а также виртуальных машин. И, соответственно, привести их в соответствие с этими политиками.

Основная идея таких политик - облегчить жизнь администратору виртуальной инфраструктуры VMware vSphere при работе с серверами VMware ESX / ESXi в ситуации, когда есть необходимость защиты данных виртуальных машин. Поскольку виртуализация, зачастую, полностью меняет подход к управлению виртуальной инфраструктурой, список требований к безопасности существенно увеличивается (см., например, как украсть виртуальную машину или наши записи с тэгом Security).

Так вот, когда у вас в компании есть администратор информационной безопасности, продукт vGate 2 - это лучший способ настроить виртуальную инфраструктуру с помощью политик так, чтобы он не мог прикопаться к администратору vSphere, поскольку все будет сконфигурировано в соответствии с отраслевыми стандартами, а значит потенциальные дырки будут закрыты.

То есть, сакральный смысл политик в vGate 2 - освободить администратора vSphere от геморроя по удовлетворению требований безопасников за счет автоматизации настройки безопасности для хостов и виртуальных машин. Все просто и нужно.

Политики безопасности vGate 2 объединены в наборы (они же шаблоны). Эти шаблонов целых пять штук:

Позырим на самый простенький шаблон политик с одноименным названием vGate, который обеспечивает базовую настройку безопасности на хостах ESX и ВМ.

Для ESX:

• Список разрешенных программ - на ESX-сервере хранится список разрешенных по умолчанию программ. Безопасник или админ может добавить или удалить из этого списка нужные программы.
• Запрет локального входа на ESX-сервер - указываем пользователей для входа в консоль.
• Запрет подключения USB-носителей - после применения надо перезагрузиться.
• Правила для межсетевого экрана - содержит правила фильтрации трафика для межсетевого экрана netfilter, поступающего на ESX-сервер(по умолчанию политика запрещает административный доступ по портам TCP 443/22 для всех объектов из за-
  щищаемого периметра за исключением сервера авторизации и vCenter - админы ходят клиентом через сервер авторизации).

Для виртуальных машин:

• Список запрещенных устройств - всякую фигню не подключишь.
• Запрет клонирования виртуальных машин - не склонируешь и не украдешь.
• Запрет создания снимков виртуальных машин - снапшоты это вообще плохо (не только в плане безопасности).
• Проверка целостности виртуальных машин - контроль целостности и доверенной загрузки ВМ перед стартом.
• Очистка памяти виртуальной машины - после завершения ее работы (нужна перезагрузка ВМ).

Ну а дальше идут шаблоны, отвечающие различным общепринятым стандартам (там очень много пунктов, полный список здесь). Самый разумный из них - VMware Security Hardening Best Practice, там есть реально нужные в жизни вещи.

Кстати, делается это все за счет агентов, работающих на серверах ESX и устанавливаемых туда с сервера авторизации (см. статью).

Назначение политики делается так:

• Делаем из шаблонов набор политик (можно комбинировать шаблоны и отдельные политики):
  
• Назначаем для категории или уровня конфиденциальности (метки безопасности) этот набор:
  
• Далее объекту (ESX-серверу или ВМ) назначаем эту метку безопасности.

Потом проходит некоторое время (его можно настраивать, по дефолту - 10 минут) и политики применяются. Работает - само.

Теперь, что еще нужно сказать о vGate 2. Во-первых, просили зафигачить ссылку на вот это видео (http://www.sltv.ru/comments/clip-1812/) - там вам пафосным голосом расскажут о продукте. Во-вторых, вы можете написать все, что думаете о vGate 2 вот в этой форме, а также в комментариях здесь. Сотрудники Кода Безопасности ответят на ваши вопросы.

Дорогие читатели. Как вы знаете, мы сотрудничаем с компанией "Код Безопасности", которая является разработчиком сертифицированных средств для обеспечения безопасности ИТ-инфраструктуры. В частности, они делают продукт vGate 2 for VMware, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware  в соответствие законодательству и отраслевым стандартам.

Это очень важно для многих тех из вас, которые видят перед собой призрак закона ФЗ 152 о персональных данных. Ну и для тех из вас, конечно, кто хочет эти данные в виртуальной инфраструктуре vSphere защитить. Тем более, что виртуализация открывает множество новых источников угроз.

Надежность vGate подтверждает и сертификат ФСТЭК России №2308.

Пришло время узнать о vGate 2 поподробнее. Для этого у вас есть отличная возможность 13 мая (пятница, между прочим) утречком в 11, перед обедом. Хорошая девушка Маша, с приятным и мелодичным голосом, расскажет вам все о vGate 2 на вебинаре "Автоматизация работы администраторов по конфигурированию и эксплуатации системы безопасности виртуальной инфраструктуры".

Тыкаем на ссылку и регистрируемся. Не каждый день девушки вам рассказывают о безопасности виртуальной ИТ-инфраструктуры VMware vSphere.

Ну и описание вебинара по vGate 2:

На вебинаре «Автоматизация работы администраторов по конфигурированию и эксплуатации системы безопасности виртуальной инфраструктуры» будут рассмотрены возможности разделения объектов инфраструктуры на логические группы и сферы администрирования, автоматического приведения виртуальной инфраструктуры в соответствие положениям законодательства и отраслевых стандартов, а так же контроля над изменениями на основе заданных корпоративных политик.

На вебинаре будет представлено решение для защиты виртуальных инфраструктур компании «Код Безопасности» - vGate 2. В конце вебинара будет проведена демонстрация  его работы.

Вебинар будет интересен всем специалистам, которые работают с виртуальными инфраструктурами или планируют перейти на их использование, а также специалистам по информационной безопасности  занимающимся обеспечением их защиты.

Докладчик:
Сидорова Мария, заместитель руководителя направления «Защита виртуальных инфраструктур», компания «Код Безопасности»

http://session.webinar.ru/vGate

Как вы знаете, в рамках партнерства с компанией Код Безопасности мы будем вас знакомить с продуктом vGate 2, который позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также облегчает приведение виртуальной инфраструктуры на платформах компании VMware  в соответствие законодательству и отраслевым стандартам.

Мы уже много писали о таком документе как VMware vSphere Security Hardening (есть также и версия для VMware View), который описывает основные принципы и приемы обеспечения информационной безопасности VMware vSphere и виртуальных машин (без учета гостевых ОС).

Так вот, недавно компания VMware выпустила бесплатный продукт "VMware Compliance Checker for vSphere", который и проверяет вашу виртуальную инфраструктуру VMware vSphere на соответствие требованиям данного документа.

Основные возможности VMware Compliance Checker for vSphere:

• Проверка соответствия нескольких серверов VMware ESX / ESXi в рамках одной сессии (поддерживается только соединение с vCenter).
• Сканируются не только хост-серверы, но и vmx-параметры виртуальных машин.
• Основан на VMware vSphere Security Hardening.
• После того как обследование запущено, можно посмотреть пункты по виртуальным машинам и по типу категории обследования
• Результаты можно сохранить и распечатать.
• Поддержка до 5 хост-серверов VMware ESX / ESXi

Кроме того, как мы уже писали, есть такой продукт как VMware Compliance Checker for PCI, который проверяет соответствие инфраструктуры vSphere требованиям стандартов PCI DSS 1.2.

Ну а теперь самое главное - у российской компании "Код Безопасности" есть бесплатный продукт vGate Compliance Checker, который не только объединяет в себе возможности сканирования виртуальной инфраструктуры на соответствие обоим видам требований по безопасности (Security Hardening и PCI DSS), но и поддерживает сканирование по различным версиям этих стандартов и руководящих документов. То есть, он круче, чем VMware Compliance Checker for vSphere.

Кроме того, vGate Compliance Checker выводит все данные на русском языке с детальной расшифровкой по каждому пункту регламента. Читайте наш обзор бесплатного vGate Compliance Checker.

Как вы знаете, мы начали стратегическое сотрудничество с компанией "Код Безопасности", которая выпускает такой нужный для российского рынка продукт как vGate 2. Он нужен, чтобы автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности, а также привести виртуальную инфраструктуру на платформах VMware  в соответствие законодательству и отраслевым стандартам. Он имеет сертификат ФСТЭК, что очень нужно при наведении порядка в организации, которая хочет соответствовать нормам ФЗ 152.

Но у компании "Код Безопасности" есть и бесплатный продукт, с которого лучшего всего начать приобщение к продуктовой линейке по обеспечению безопасности VMware vSphere. Это утилита vGate Compliance Checker.

vGate Compliance Checker позволяет проверить соответствие виртуальных инфраструктур на платформах компании VMware требованиям таких стандартов, как PCI DSS и рекомендаций CIS VMware ESX Server Benchmarks и VMware Security Hardening Best Practices. Результатом проверки, которую ИТ-специалисты смогут провести с помощью vGate Compliance Checker, является структурированный отчет (можно экспортировать в HTML), представляющий информацию о положениях стандартов и о соответствии протестированной системы этим положениям. Проверять систему можно произвольно на соответствие только интересующим стандартам и рекомендациям.

Добавим в vGate Compliance Checker сервер VMware ESX (кнопка "Добавить") и запустим проверку безопасности VMware vSphere (кнопка "Запустить").

Начнется сканирование хоста VMware ESX:

После чего, ваш хост ESX конечно не будет соответствовать основным политикам безопасности. Поэтому чтобы узнать, каким именно - нажимаем кнопку "Детали":

Чтобы получить полный отчет в формате html, нужно нажать на кнопку "Сохранить". Отчет vGate Compliance Checker удобно разбит по категориям, соответствующим нормам безопасности виртуальной инфраструктуры VMware vSphere:

Давайте раскроем политику VMware и посмотрим что там внутри:

Как видите, для каждого несоответствия vGate Compliance Checker рассказывает о том, какие именно рекомендации и стандарты нарушены с точки зрения безопасности сервера VMware ESX, а также суть необходимой политики, которую нужно применить в целях повышения уровня безопасности.

Как устранить эти дырки и привести свои серверы ESX в соответствие нормам и стандартам? Ну, во-первых, вы можете воспользоваться материалами нашего сайта, где по тэгу Security можно найти решения для некоторых требований безопасности (например, вот про политики паролей).

Но лучше всего, в целях настоящей безопасности, установить, попробовать, а потом и купить продукт vGate 2, который позволяет держать под контролем безопасность виртуальной инфраструктуры vSphere. Это уже более серьезный уровень, и, если вы озабочены тем, как сделать все правильно с точки зрения Security - не отключайтесь, на следующей неделе мы поговорим про vGate 2 подробнее.