Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4170 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.

Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.

Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.

Автор: 5nine
Дата: 19/01/2017

В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?

Виртуализация уже давно стала традиционной частью инфраструктурных решений. Безусловно, возможности гипервизоров существенно расширились, трансформируясь в частные и гибридные облака, вследствие чего инфраструктура клиентов стала более гибкой и динамичной, что соответствует современным условиям ведения бизнеса — нужно быстро создавать и обслуживать новые сервисы и виртуальных машины в их составе, поддерживать несколько кластеров или ЦОД с миграцией и балансировкой ВМ между ними.

Но, тем не менее, клиенты часто используют в виртуальной среде устаревшие технологии end-point security с установкой агентов в ВМ и изоляции при помощи VLAN. Эти технологии добавляют уязвимости, связанные с возможностью блокирования или удаления агента в ВМ, потребляет дефицитные ресурсы оборудования, усложняют администрирование виртуализированных ЦОД крупных компаний.
Что же предлагают для решения этих проблем Microsoft и его технологические партнеры?

Во-первых, для защиты от «эффекта Сноудена» в Windows Server 2016 появилась технология Shielded VM, которая позволяет шифровать диск ВМ из инфраструктуры гостевых операционных систем, защищая его от копирования и просмотра администратором хоста. Существенно увеличить безопасность инфраструктуры ЦОД поможет использование Nano Server, новой версии ОС, в которой отсутствует графический интерфейса GUI и существенно снижена площадь атаки путём минимизации набора ролей, как результат — в 3 раза меньше портов и в 10 раз меньше критических обновлений. Еще одно новшество – защита компонентов, отвечающих за целостность ядра ОС, паролей и других важных системных данных при помощи отдельного контейнера Hyper-V - Virtual Security Module (VSM). Все это существенно увеличивает защищённость новой ОС и инфраструктуры пользователя.

Но вместе с этим, ряд важных функций безопасности и соответствия законодательству в ней отсутствуют, т.к. они не являются характерными для серверной ОС и должны быть реализованы сторонними решениями. Microsoft существенно облегчил реализацию этих функций дав доступ нескольким технологическим партнерам к коммутатору Hyper-V. Расширяемый виртуальный коммутатор Hyper-V дает возможность изоляции пользователей ВМ, управления всем трафиком внутри виртуальной среды, защиты ВМ от вредоносных атак.

Благодаря встроенной поддержке драйверов-фильтров NDIS и драйверов внешнего вызова платформы фильтрации Windows, виртуальный коммутатор Hyper-V позволяет независимым разработчикам программных продуктов (ISV) создавать расширения виртуального коммутатора, которые увеличивают безопасность ВМ и сетей.

Компания 5nine Software является одним из ключевых вендоров, с которым Microsoft сотрудничает по разработке средств защиты и управления Hyper-V c 2009 года. Последняя версия программы 5nine Cloud Security была представлена на ежегодной конференции Ignite, одновременно с Windows Server 2016. 

5nine Cloud Security интегрирован в виртуальный коммутатор и является единственным безагентным решением для обеспечения безопасности Hyper-V Server. Он контролирует сетевой трафик между виртуальными машинами, изолирует отдельные ВМ и группы, обнаруживает вредоносные атаки на уровне приложений, осуществляет быстрое антивирусное сканирование и блокировку угроз, повышая безопасность виртуальной среды.

Основным отличием от других СЗИ является безагентная архитектура решения, позволяющая не устанавливать программное обеспечение в гостевую операционную систему, анализируя и управляя трафиком на уровне виртуального коммутатора.

Установка Cloud Security достаточно проста и может быть без проблем выполнена администратором Windows Server со знаниями, эквивалентными квалификации MCSA, в отличие от аналогичных решений других вендоров, значительно более сложных, дорогих и требующих гораздо больше усилий и квалификации.  

Для запуска приложения нужно установить три основных компонента:

  • Управляющая служба (Management Service) — устанавливается в гостевом или родительском разделе, которые будут определены как управляющие серверы для всей инфраструктуры Hyper-V. Возможна установка нескольких управляющих серверов, которые обеспечивают функцию аварийного восстановления,
  • Управляемая служба (HostManagementService) — устанавливается на каждом защищаемом сервере,
  • Консоль управления (ManagementConsole) — устанавливается на каждом рабочем месте, используемом для управления и контроля применения правил системы безопасности.

Решение также может быть интегрировано с System Center Virtual Machine Manager путём установки бесплатного плагина, позволяющего управлять инфраструктурой ЦОД и безопасностью виртуализации из единой консоли.

Расширение для Azure Pack дает возможность управления функциями Cloud Security из портала самообслуживания, что позволяет хостинговым компаниям развернуть новую услугу «Безопасность как сервис» (SECaaS).

В продукте реализована ролевая модель управления безопасностью. Доступны три роли: администратор информационной безопасности, ИТ-администратор и аудитор.

Из собственной консоли или SCVMM администратор может достаточно просто настроить политики безопасности виртуального межсетевого экрана, в т.ч. при помощи шаблонов. Поддерживаются виртуальные машины как под управлением Windows, так и Linux. Изолировать можно как отдельные ВМ, так и их группы, благодаря поддержке мультитенантности. Доступна функция защиты самого родительского раздела сервера Hyper-V, в том числе антивирусная.

С помощью функций межсетевого экрана можно реализовать следующую функциональность:

  • Фильтрация по MAC-адресу
  • Поддержка ARP
  • Фильтрация трафика с применением SPI (Stateful Packet Inspection) и DPI (Deep Packet Inspection)
  • Анализ аномалий сетевого трафика
  • Управление входящей и исходящей полосой пропускания для каждой виртуальной машины.
  • Фильтрация MAC-вещания
  • Журналирование отфильтрованных события безопасности (в т.ч. антивируса и IDS) с возможностью экспорта в форматы SYSLOG и SIEM SPLUNK
  • Поддержка технологии виртуализации сети NVGRE
  • Управление доступом к виртуальной машине по расписанию

Антивирусный сервис использует по выбору один из трех движков и баз сигнатур (Лаборатория Касперского, Bitdefender или Threat Track), однако механизм сканирования принципиально иной, чем у самих антивирусных вендоров. Благодаря функционированию на уровне гипервизора, антивирусное сканирование возможно без установки агента в ВМ, что повышает их защищённость, т.к. администратор гостевой операционной системы не может отключить антивирус.

Использование технологии инкрементального сканирования увеличивает его скорость до 70 раз, при этом нагрузка на хост падает до 30%. Эта технология в сочетании с настройкой количества сканируемых ВМ, позволяет гибко управлять ресурсами хостов и избегнуть «антивирусного шторма». Также доступно антивирусное сканирование сетевого трафика и опция активной защиты виртуальной машины, при котором сканируются не только диски, но и оперативная память гостевого раздела.

Базы сигнатур антивирусов и IDS могут обновляться централизованно для всей инфраструктуры Hyper-V через локальный прокси-сервер, позволяя изолировать хосты от публичных сетей с одновременным их размещением внутри ЦОД для минимизации уязвимости родительских разделов от внешней атаки. В интерфейсе антивирусного сервиса доступны настройки режимов сканирования, расписания и исключений для типов файлов, и папок.

Система обнаружения вторжений (IDS) анализирует весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort for Business для проверки аномалий пакетов, которые могут быть потенциальными атаками. В отличие от аналогичных решений других вендоров, возможно обнаружение атак не только in-out, но и внутри виртуальной среды с одной ВМ на другую.

Такой сценарий атаки стал все более распространён как в виртуализированных ЦОД хостинг-провайдеров, так и в крупных компаниях, где одна захваченная ВМ становится центром атаки внутри контура защиты. Для обнаружения атак используется не только сигнатурный, но и эвристический метод. СОВ определяет модель вашего нормального рабочего трафика в течение дня. Затем постоянно отслеживает его профиль и при наличии отклонений или аномалий, немедленно уведомляет о возможности нападения.

Для крупных компаний будет интересна возможность миграции политик безопасности в распределенных ЦОД. Если у вас есть несколько ЦОД или филиалов, которые не имеют прямых каналов связи, вы все равно можете синхронизировать настройки 5nine Cloud Security между ними, поддерживая миграцию ВМ, отказоустойчивость и безопасность бизнеса в случае аварий. Простая интеграция продукта в System Center VMM позволяет объединить в рамках единого решения управление ИТ инфраструктурой и информационной безопасностью предприятия.

Это упрощает и удешевляет стоимость владения Microsoft Cloud в собственном ЦОД и позволяет контролировать и управлять безопасностью инфраструктуры в облаке хостинг-провайдера, построенном на технологии Cloud OS. Сейчас такие облака предоставляют все ведущие провайдеры в России и в мире: ActiveCloud, Dataline, Ростелеком и т.д.

Наличие всех систем защиты: межсетевого экрана, антивируса, IDS, логирования событий безопасности и ролевой модели доступа позволяет пользователям экосистемы Windows Server выполнить требования регуляторов: 152-ФЗ «О персональных данных», приказов №17 и №21 ФСТЭК, стандарта PCI-DSS и других.

5nine Cloud Security – легко устанавливаемое средство защиты виртуальной среды Hyper-V, которое просто интегрируется в средства управления Microsoft. Настройка занимает немного времени и интуитивно понятна. Основное преимущество – высокий уровень защиты на уровне гипервизора при низкой нагрузке на ресурсы хостов. Тестирование производительности системы при всех включённых сервисах 5nine Cloud Security, показывает дополнительную нагрузку в пределах 3-4%.

Подобные продукты других вендоров при тестировании показывают деградацию такого параметра, как ширина пропуска виртуальной сети до 50%. Кроме того, при тестировании этих продуктов выясняется, что в случае падения управляющего сервиса на базе ВМ, пропадают важные сетевые настройки и сеть становится практически не работоспособна. При отключении ВМ с управляющим сервисом 5nine, все настройки сохраняются и Cloud Security продолжает осуществлять бесперебойную защиту виртуальной инфраструктуры.

Для крупных компаний с ответственными ИС предусмотрен отказоустойчивый режим работы защиты с кластеризованным управляющим сервисом и Recovery Action для перезапуска при падении.

Функция Распределенных серверов управления позволяет оптимизировать производительность управляющих сервисов 5nine Cloud Security для крупных проектов и повысить их масштабируемость. Новая технология обеспечивает одновременную работу нескольких управляющих сервисов, применение и изменение правил и настроек безопасности ЦОД. Это также увеличивает отказоустойчивость и высокую доступность сервисов 5nine, обеспечивающих комплексную безопасность виртуальной инфраструктуры со сложной топологией, в том числе территориально распределенной.

Администраторы, исходя из архитектуры ЦОД, смогут запускать несколько серверов управления в непосредственной близости от управляемых ресурсов для ускорения распространения новых настроек безопасности и изменения существующих. Эти настройки распределены и синхронизированы между всеми управляющими сервисами для гибкости конфигурации. Если сервис управления становится недоступными, группа хостов переключается на ближайший работоспособный. Администратор может назначить каждой группе хостов определенный управляющий сервис из имеющихся в списке. После настройки хосты будут обмениваться данными с назначенным сервисом для получения уведомлений, конфигураций и логов.

Все эти функции 5nine Cloud Security позволяют клиентам надежно защитить виртуальную инфраструктуру Windows Server любого размера и сложности без потери производительности и простоты управления, а также выполнить жесткие требования законодательства РФ и международных стандартов ИБ.

Более чем для 100 тысяч клиентов по всему миру уже выбрали решения 5nine Software для защиты и управления облаками Microsoft. За свои уникальные возможности 5nine Cloud Security выбран изданием Cyber Defense Magazine лучшим решением 2016 года в категории Data Center Security.

Протестировать 5nine Cloud Security можно установив версию с сайта или в виртуальной лаборатории.

Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

06/06/2017:  Мир ЦОД 2017

Быстрый переход:
HP VMware Veeam 5nine IT-Grad StarWind VeeamON Microsoft VMFS RVTools Citrix PowerCLI VM Guru Oracle Red Hat Parallels Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Backup vSAN vCloud VSA vNetwork SSO DRS Horizon LSFS Workspace Client Host Client VMDK App Volumes vROPs VTL Update iSCSI Labs IaaS SDDC vCSA NSX Agent Virtual Appliance Whitepaper PowerShell Fusion Appliance VUM Manager VVols V2V Tools Workstation Cache VMworld SRM Support Обучение XenDesktop Web Client Mobile OpenStack Automation Replication Desktop Log Insight Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Performance Award Network AWS USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно Nested vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint CLI Plugin Troubleshooting DPM Director Book Memory Upgrade API SIOC Flex Mac Bug Open Source SSH Air VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Сравнение Oracle VirtualBox и VMware Workstation.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6


Veeam Backup 8


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.