Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4340 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.

Автор: Александр Самойленко
Дата: 30/11/2015

Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.

Это лишь одна из новых функций нового vGate for Hyper-V, но она очень ожидаема пользователями. В следующей статье мы перечислим все возможности новой версии vGate for Hyper-V, которая действительно на поколение продвинулась от предыдущей, а пока лишь подробно остановимся на поддержке SC VMM и Failover Cluster Manager (FCM).

Поддержка средств администрирования виртуальной инфраструктуры Microsoft.

В новой версии vGate for Hyper-V появится возможность контролировать операции, выполняемые администратором с объектами виртуальной инфраструктуры с помощью System Center Virtual Machine Manager и Failover Cluster Manager. Это увеличивает степень интеграции vGate и инфраструктуры System Center, а значит позволяет защитить инвестиции в средства мониторинга и контроля состояния среды виртуализации.

В перечень защищаемых добавляются сервера System Center Virtual Machine Manager (SC VMM) и точки доступа отказоустойчивого кластера (интерфейсы администрирования кластера). При добавлении объектов в перечень защищаемых vGate автоматически определяет принадлежность сервера и устанавливает на него свой агент. Так как точки доступа отказоустойчивого кластера (access points) являются логическим объектом виртуальной инфраструктуры на них нет возможности установить агент vGate.

Вот так SC VMM выглядит в списке защищаемых серверов консоли vGate:

Как и для хостов на платформе Hyper-V, для серверов SC VMM и точек доступа отказоустойчивого кластера также создаются правила доступа. Кроме того, для них могут создаваться как стандартные правила доступа на базе шаблона (например, порт 8100 для управления SC VMM), так и кастомные правила, задаваемые администратором.

Вот пример задания стандартного правила:

Работа с Failover Cluster Manager

В рамках общей функциональности vGate, в качестве объектов доступа виртуальной инфраструктуры рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины
  • Хранилища данных
  • Виртуальные сети
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

То есть, это те объекты виртуальной инфраструктуры, на которые можно назначить метки конфиденциальности и с помощью них организовать мандатное разграничение доступа в виртуальной инфраструктуре. Подробнее об этом механизме вы можете прочитать здесь.

В новой версии vGate осуществляет контроль следующих основных операций с перечисленными объектами виртуальной инфраструктуры, осуществляемых в оснастке Failover Cluster Manager:

  • Добавление/исключение узла Hyper-V из кластера FC
  • Операции со статусом ВМ (включение, выключение, приостановка, изменение и другие)
  • Операции горячей миграции ВМ (Live Migration)
  • Операции с кластерными дисками CSV и некоторые прочие операции

Разберем это на примере плоского пространства меток (категорий конфиденциальности). Например, назначим отдельному пользователю категорию «желтый», а виртуальной машине с именем «VM_2_5» - категорию «красный».

Пользователь:

Виртуальная машина:

Попытаемся запустить VM_2_5 пользователем с желтой категорией конфиденциальности через оснастку Failover Cluster Manager:

Операция будет заблокирована vGate, так как машина принадлежит к красной категории (обратите внимание на информационное сообщение в правом нижнем углу):

Перейдем на вкладку аудит в Failover Cluster Manager. Там мы увидим следующее событие:

Попытка запуска роли виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Таким образом осуществляется контроль категорий и уровней конфиденциальности для объектов, работа с которыми происходит через оснастку FCM.

Помимо контроля операций мандатного доступа, vGate осуществляет контроль операций непосредственно с самим кластером (создание, изменение, удаление, смена IP-адреса, создание объектов кластера). Разрешение/запрещение этих операций выделено в отдельную привилегию пользователя, которой должен обладать администратор виртуальной инфраструктуры, имеющий полномочия по созданию и реконфигурации кластеров Hyper-V.

Вот как выглядит настройка этой привилегии (она задается на этапе создания пользователя):

Работа с System Center Virtual Machine Manager

vGate не контролирует операции с Citrix XenServer и VMware ESXi, управляемыми через SC VMM. Поэтому в гибридных инфраструктурах следует использовать соответствующую версию vGate for vSphere для контроля сегмента виртуальной инфраструктуры на платформе VMware. Для Citrix XenServer, ввиду практически нулевой распространенности платформы, отдельного решения не предоставляется.

В качестве объектов доступа виртуальной инфраструктуры SC VMM рассматриваются:

  • Серверы виртуализации (Hyper-V серверы)
  • Виртуальные машины (в том числе шаблоны виртуальных машин)
  • Хранилища данных (в том числе библиотеки)
  • Виртуальные сети (в том числе логические сети и сети виртуальных машин SC VMM)
  • Виртуальные коммутаторы
  • Сетевые адаптеры серверов виртуализации

Для Hyper-V серверов, в рамках мандатного управления доступом, vGate контролирует следующие основные операции:

  • Добавление/удаление Hyper-V серверов в консоль управления SC VMM
  • Добавление/удаление Hyper-V серверов в кластер FC
  • Изменение настроек Hyper-V серверов
  • Включение и выключение Hyper-V серверов, а также прочие операции

Для виртуальных машин vGate контролирует следующие основные операции:

  • Возможность создания ВМ на данном сервере Hyper-V
  • Возможность хранения дисков ВМ на данном хранилище
  • Изменение настроек ВМ
  • Создание, удаление и изменение шаблонов ВМ
  • Операции с контрольными точками ВМ
  • Подключение ВМ к сетям ВМ
  • Миграция ВМ на другой сервер Hyper-V и/или хранилище (в том числе перемещение ВМ в библиотеку)
  • Запуск, останов, приостанов, перезагрузка ВМ и другие операции

Для хранилищ данных vGate контролирует следующие основные операции:

  • Создание и удаление дисков ВМ
  • Изменение дисков ВМ и другие операции
  • Операции с объектами библиотек VMM

В части виртуальной сетевой инфраструктуры vGate контролирует следующие основные операции:

  • Подключение/отключение ВМ к сетям виртуальных машин
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим сетям SC VMM
  • Подключение/отключение сетевых адаптеров Hyper-V серверов к логическим коммутаторам SC VMM
  • Подключение/отключение сетей виртуальных машин к логическим сетям
  • Создание/изменение логических сетей и сетей виртуальных машин, а также прочие операции

Разберем пример мандатного контроля доступа к объектам Virtual Machine Manager. Как и в прошлом примере, назначим пользователю метку конфиденциальности «желтый», а ВМ «VM_2_6» - категорию «красный».

В консоли Virtual Machine Manager выполним миграцию хранилищ для машины VM_2_6 (пункт "Выполнить миграцию хранилища"):

При попытке выполнения операции возникнет ошибка как уровне VMM, так и на уровне агента vGate (информационное сообщение в правом нижнем углу):

Как и в предыдущем примере, на вкладке «Аудит» в Консоли управления vGate мы увидим событие с сообщением:

Попытка изменения виртуальной машины была заблокирована vGate из-за несоответствия меток безопасности

Надо отметить, что возможность создания и удаления группы узлов, а также операции изменения настроек групп определяются привилегией пользователя.

Для всех контролируемых операций с виртуальной инфраструктурой осуществляется регистрация событий безопасности, в которых содержится информация о субъекте и объекте доступа, дата и время события, результат выполнения операции и другая информация, которая поможет при расследовании инцидентов в виртуальной инфраструктуре. Все это можно увидеть в разделе "Аудит" консоли vGate.

На этом пока все. Как мы говорили в начале статьи, доступность новой версии vGate for Hyper-V ожидается до Нового года, а до этого времени мы постараемся рассказать вам обо всех новых возможностях решения.

Не отключайтесь! А пока вы можете скачать пробную версию vGate for Hyper-V и поизучать основной функционал продукта, такой как настройка безопасной виртуальной среды средствами политик безопасности, а также механизм защиты от НСД.

Реклама





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

02/12/2017:  AZURE DAY 2017 (Минск)
06/03/2018:  ИТ-стратегия 2018
24/05/2018:  IT&SECURITY FORUM (Казань)

Быстрый переход:
VMware StarWind Veeam IT-Grad vGate Microsoft Cloud SDRS Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn Security Code 1cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VVols HA Tools Backup vSAN Book Photon vCloud VMworld Horizon vROPs Labs Fusion Cloud Computing vCSA SSD Client DRS OpenStack Comparison Workstation Blast SRM App Volumes Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO LSFS Workspace Host Client VMDK VTL Update iSCSI SDDC NSX Agent Virtual Appliance Whitepaper PowerShell Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Director Diagram Bug Troubleshooting Air API CLI Plugin DPM Memory Upgrade SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.