Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4120 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Автор: Александр Самойленко
Дата: 30/11/2015

Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.

Это лишь одна из новых функций нового vGate for Hyper-V, но она очень ожидаема пользователями. В следующей статье мы перечислим все возможности новой версии vGate for Hyper-V, которая действительно на поколение продвинулась от предыдущей, а пока лишь подробно остановимся на поддержке SC VMM и Failover Cluster Manager (FCM).

Поддержка средств администрирования виртуальной инфраструктуры Microsoft.

В новой версии vGate for Hyper-V появится возможность контролировать операции, выполняемые администратором с объектами виртуальной инфраструктуры с помощью System Center Virtual Machine Manager и Failover Cluster Manager. Это увеличивает степень интеграции vGate и инфраструктуры System Center, а значит позволяет защитить инвестиции в средства мониторинга и контроля состояния среды виртуализации.

В перечень защищаемых добавляются сервера System Center Virtual Machine Manager (SC VMM) и точки доступа отказоустойчивого кластера (интерфейсы администрирования кластера). При добавлении объектов в перечень защищаемых vGate автоматически определяет принадлежность сервера и устанавливает на него свой агент. Так как точки доступа отказоустойчивого кластера (access points) являются логическим объектом виртуальной инфраструктуры на них нет возможности установить агент vGate.

Вот так SC VMM выглядит в списке защищаемых серверов консоли vGate:

Как и для хостов на платформе Hyper-V, для серверов SC VMM и точек доступа отказоустойчивого кластера также создаются правила доступа. Кроме того, для них могут создаваться как стандартные правила доступа на базе шаблона (например, порт 8100 для управления SC VMM), так и кастомные правила, задаваемые администратором.

Вот пример задания стандартного правила:

Работа с Failover Cluster Manager

В рамках общей функциональности vGate, в качестве объектов доступа виртуальной инфраструктуры рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины
  • Хранилища данных
  • Виртуальные сети
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

То есть, это те объекты виртуальной инфраструктуры, на которые можно назначить метки конфиденциальности и с помощью них организовать мандатное разграничение доступа в виртуальной инфраструктуре. Подробнее об этом механизме вы можете прочитать здесь.

В новой версии vGate осуществляет контроль следующих основных операций с перечисленными объектами виртуальной инфраструктуры, осуществляемых в оснастке Failover Cluster Manager:

  • Добавление/исключение узла Hyper-V из кластера FC
  • Операции со статусом ВМ (включение, выключение, приостановка, изменение и другие)
  • Операции горячей миграции ВМ (Live Migration)
  • Операции с кластерными дисками CSV и некоторые прочие операции

Разберем это на примере плоского пространства меток (категорий конфиденциальности). Например, назначим отдельному пользователю категорию «желтый», а виртуальной машине с именем «VM_2_5» - категорию «красный».

Пользователь:

Виртуальная машина:

Попытаемся запустить VM_2_5 пользователем с желтой категорией конфиденциальности через оснастку Failover Cluster Manager:

Операция будет заблокирована vGate, так как машина принадлежит к красной категории (обратите внимание на информационное сообщение в правом нижнем углу):

Перейдем на вкладку аудит в Failover Cluster Manager. Там мы увидим следующее событие:

Попытка запуска роли виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Таким образом осуществляется контроль категорий и уровней конфиденциальности для объектов, работа с которыми происходит через оснастку FCM.

Помимо контроля операций мандатного доступа, vGate осуществляет контроль операций непосредственно с самим кластером (создание, изменение, удаление, смена IP-адреса, создание объектов кластера). Разрешение/запрещение этих операций выделено в отдельную привилегию пользователя, которой должен обладать администратор виртуальной инфраструктуры, имеющий полномочия по созданию и реконфигурации кластеров Hyper-V.

Вот как выглядит настройка этой привилегии (она задается на этапе создания пользователя):

Работа с System Center Virtual Machine Manager

vGate не контролирует операции с Citrix XenServer и VMware ESXi, управляемыми через SC VMM. Поэтому в гибридных инфраструктурах следует использовать соответствующую версию vGate for vSphere для контроля сегмента виртуальной инфраструктуры на платформе VMware. Для Citrix XenServer, ввиду практически нулевой распространенности платформы, отдельного решения не предоставляется.

В качестве объектов доступа виртуальной инфраструктуры SC VMM рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины (в том числе шаблоны виртуальных машин)
  • Хранилища данных (в том числе библиотеки)
  • Виртуальные сети (в том числе логические сети и сети виртуальных машин SC VMM)
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

Для Hyper-V серверов, в рамках мандатного управления доступом, vGate контролирует следующие основные операции:

  • Добавление/удаление Hyper-V серверов в консоль управления SC VMM
  • Добавление/удаление Hyper-V серверов в кластер FC
  • Изменение настроек Hyper-V серверов
  • Включение и выключение Hyper-V серверов, а также прочие операции

Для виртуальных машин vGate контролирует следующие основные операции:

  • Возможность создания ВМ на данном сервере Hyper-V
  • Возможность хранения дисков ВМ на данном хранилище
  • Изменение настроек ВМ
  • Создание, удаление и изменение шаблонов ВМ
  • Операции с контрольными точками ВМ
  • Подключение ВМ к сетям ВМ
  • Миграция ВМ на другой сервер Hyper-V и/или хранилище (в том числе перемещение ВМ в библиотеку)
  • Запуск, останов, приостанов, перезагрузка ВМ и другие операции

Для хранилищ данных vGate контролирует следующие основные операции:

  • Создание и удаление дисков ВМ
  • Изменение дисков ВМ и другие операции
  • Операции с объектами библиотек VMM

В части виртуальной сетевой инфраструктуры vGate контролирует следующие основные операции:

  • Подключение/отключение ВМ к сетям виртуальных машин
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим сетям SC VMM
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим коммутаторам SC VMM
  • Подключение/отключение сетей виртуальных машин к логическим сетям
  • Создание/изменение логических сетей и сетей виртуальных машин, а также прочие операции

Разберем пример мандатного контроля доступа к объектам Virtual Machine Manager. Как и в прошлом примере, назначим пользователю метку конфиденциальности «желтый», а ВМ «VM_2_6» - категорию «красный».

В консоли Virtual Machine Manager выполним миграцию хранилищ для машины VM_2_6 (пункт "Выполнить миграцию хранилища"):

При попытке выполнения операции возникнет ошибка как уровне VMM, так и на уровне агента vGate (информационное сообщение в правом нижнем углу):

Как и в предыдущем примере, на вкладке «Аудит» в Консоли управления vGate мы увидим событие с сообщением:

Попытка изменения виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Надо отметить, что возможность создания и удаления группы узлов, а также операции изменения настроек групп определяются привилегией пользователя.

Для всех контролируемых операций с виртуальной инфраструктурой осуществляется регистрация событий безопасности, в которых содержится информация о субъекте и объекте доступа, дата и время события, результат выполнения операции и другая информация, которая поможет при расследовании инцидентов в виртуальной инфраструктуре. Все это можно увидеть в разделе "Аудит" консоли vGate.

На этом пока все. Как мы говорили в начале статьи, доступность новой версии vGate for Hyper-V ожидается до Нового года, а до этого времени мы постараемся рассказать вам обо всех новых возможностях решения.

Не отключайтесь! А пока вы можете скачать пробную версию vGate for Hyper-V и поизучать основной функционал продукта, такой как настройка безопасной виртуальной среды средствами политик безопасности, а также механизм защиты от НСД.

Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
StarWind VMware Microsoft IT-Grad VMFS RVTools Citrix PowerCLI Veeam 5nine VM Guru Oracle Red Hat Parallels Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI HP Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Horizon Client Host Client VMDK App Volumes vROPs VTL vCloud Update iSCSI Labs IaaS SDDC vCSA NSX Virtual Appliance Backup VSA Whitepaper PowerShell Fusion Appliance DRS VUM Manager VVols V2V Tools Workstation Cache VMworld SRM Support Обучение XenDesktop Web Client Mobile OpenStack Automation Replication Desktop Log Insight Fault Tolerance DR Photon Vanguard SaaS Connector HA SSO Event Free Datacenter SQL VSAN Workspace Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV Performance Award Network AWS USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно Nested vExpert Beta SAN Exchange MAP ONE DaaS Networking vNetwork Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Plugin Troubleshooting DPM Director Book Memory Upgrade API SIOC Flex Mac Bug Open Source SSH Air VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS CLI Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Сравнение Oracle VirtualBox и VMware Workstation.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6


Veeam Backup 8


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.