Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4150 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Возможности технического релиза vGate R2 с поддержкой vSphere 5: соответствие стандартам и лучшим практикам средствами политик.

Автор: Александр Самойленко
Дата: 18/01/2012

Напомним, что совсем недавно компания «Код Безопасности» выпустила технический релиз новой версии vGate R2 с поддержкой VMware 5. Сейчас она проходит инспекционный контроль во ФСТЭК для получения соответствующих сертфикатов, наличие которых позволит вашей организации пройти процедуру аттестации или проверки со стороны государственных органов. Сегодня мы более подробно расскажем о новых политиках настройки безопасной среды виртуализации.

Среди основных возможностей новой версии продукта:

  • Полная поддержка VMware vSphere 5
  • Новый интерфейс просмотра отчетов. Для построения отчетов больше не требуется наличие SQL-сервера, устанавливаемого ранее отдельно.
  • Поддержка новых стандартов и лучших практик в политиках и шаблонах (VMware Security Hardening 4.1, PCI DSS 2.0, CIS VMware ESX Server Benchmark 4).
  • Поддержка распределенного коммутатора (Distributed vSwitch) Cisco Nexus 1000v.
  • Поддержка 64-битных систем в качестве платформы для vGate Server.
  • Улучшение юзабилити, пользовательного интерфейса и масштабируемости.
  • Поддержка альтернативного метода лицензирования на базе платы за виртуальную машину за месяц (по модели SaaS).

Рассмотрим подробнее функционал новой версии в части политик и шаблонов.

Политики безопасности, реализованные в vGate R2, контролируют критичные для безопасности виртуальной среды настройки серверов ESX / ESXi и ВМ. На предмет соответствия самим политикам (то есть, настройкам безопасности) инфраструктуру виртуализации можно просканировать абсолютно бесплатно с помощью бесплатного средства vGate Compliance Checker с поддержкой vSphere 5. Ну а далее, с помощью vGate R2, эти политики можно уже централизованно контролировать.

То есть, смысл политик в vGate R2 - освободить администратора vSphere от рутинных операций за счет автоматизации настройки безопасности для хостов и виртуальных машин. Политика назначается метке безопасности (категория или уровень конфиденциальности данных ВМ или хост-сервера), после чего метка назначается серверам ESX/ESXi и виртуальным машинам (а также другим объектам), которы автоматически настраиваются с помощью агентов на хостах.

Алгоритм применения политик выглядит так:

  • На базе одного или нескольких шаблонов формируются наборы политик для вашей организации
  • Набор политик назначается для категории или уровня конфиденциальности
  • Объекту (хост ESX\ESXi, виртуальная машина, сетевой адаптер, виртуальная сеть или хранилище) назначается метка безопасности
  • Если необходимо запускается формирование отчета о соответствии инфраструктуры политикам безопасности

Для каждой из политик набора есть ее детальное описание и, что особенно круто, ссылка на конкретный пункт руководящего документа:

Новая версия  vGate R2 с поддержкой vSphere 5 теперь включает в себя более 10 встроенных шаблонов (разработанных аналитиками компании на основании регламентирующих документов и многолетнего опыта в области защиты информации) на соответствие рекомендациям и требованиям:

  • PCI DSS 2.0
  • CIS VMware ESX Server Benchmark 4
  • VMware Security Hardening 4.1
  • Автоматизированные системы класса 1Г
  • Автоматизированные системы класса 1В
  • Автоматизированные системы класса 1Б
  • Стандарт Банка России для ИСПДн-Д
  • Стандарт Банка России для ИСПДн-Б
  • Стандарт Банка России для ИСПДн-И
  • Стандарт Банка России для ИСПДн-С
  • Информационные системы обработки персональных данных класса К1
  • Информационные системы обработки персональных данных класса К2
  • Информационные системы обработки персональных данных класса К3

Из списка, кстати, видно, что если вы - банк, то vGate - это как раз то, что нужно, чтобы соответствовать требованиям Центробанка по защите вычислительной среды для виртуальной инфраструктуры.

Напомним, кстати, что согласно ФЗ-152 «О персональных данных», личные сведения сотрудников, такие как ФИО, дата и место рождения, адрес и другая информация, должны быть защищены от несанкционированного доступа. Поэтому, если в ваших виртуальных машинах обрабатываются такие данные (что очень часто бывает в медицинских и финансовых организациям), то без vGate R2 вам просто не обойтись, поскольку это единственное на рынке сертифицированное средство их защиты.

Каждый шаблон содержит большое количество политик и настроек которые приводят виртуальную инфраструктуру в соответствие необходимым требованиям безопасности. После принятия администратором ИБ шаблона, все действия администратора vSphere проходят через призму этого шаблона и не могут привести к наступлению несоответствия (он просто не сможет изменить настройки безопасности заданные администратором ИБ).

Кроме того, напоминаем, что вы можете создать свой индивидуальный шаблон безопасности на основании принятых в конкретно вашей компании регламентов информационной безопасности (то есть компиляция нужных вам настроек). И из огромного списка политик выбрать для шаблона своей компании только те, которые нужно. В последствии вы можете настроить отчетность о соответствии выбранному шаблону и получать по требованию или по расписанию, как вами удобно, красивые отчеты с логотипом своей компании о состоянии информационной безопасности вашей инфраструктуры.

Самих отдельных политик в vGate R2 очень много, например, для хостов ESX/ESXi они приведены в списке ниже:

  • Список разрешенных программ
  • Запрет локального входа на ESX-сервер
  • Запрет подключения USB-носителей к ESX/ESXi-серверу
  • Правила для межсетевого экрана
  • Аутентификация для однопользовательского режима
  • Установка и поддержка целостности файловой системы
  • Использование версии 2 протокола SSH
  • Ограничение входа в систему для root
  • Запрет подключения пользовательских съемных файловых систем
  • Запрет операций с буфером обмена
  • Ограничение на выполнение назначенных заданий
  • Ограничение прав на конфигурацию планировщика заданий
  • Установка ограничений для системных служб
  • Разделение сетей консоли управления и виртуальных машин
  • Использование протокола CHAP для iSCSI-устройств
  • Настройки логирования виртуальных машин на ESX/ESXi-сервере
  • Удаление ненужных устройств виртуальных машин
  • Политики паролей ESX-сервера
  • Проверка политики контроля доступа по сети
  • Полномочия на файлы жестких дисков виртуальных машин
  • Полномочия на файлы конфигурации виртуальных машин
  • Защита от нехватки места на корневой файловой системе ESX-сервера
  • Запрет подключения съемных устройств к ESX-серверу
  • Запрет vSphere Web Access
  • Предотвращение сжатия виртуальных дисков
  • Предотвращение шпионажа других пользователей на администраторских удаленных консолях
  • Запрет удаленных операций в гостевой системе
  • Запрещение отсылки информации о производительности ESX-сервера гостевым системам
  • Запрет коммуникаций между виртуальными машинами через VMCI интерфейс
  • Ограничение размера vmx-файла
  • Избегать использования несохраняющихся (nonpersistent) дисков
  • Контроль использования SSL-сертификатов
  • Запрет использования Managed Object Browser
  • Отключение приветственной страницы (Welcome Web Page) при подключении к интерфейсу управления ESX-сервера
  • Отключение неиспользуемого vSphere функционала
  • Контроль за доступом через VMsafe CPU/Mem API
  • Контроль за доступом через VMsafe Network API
  • Настройка постоянного журналирования на ESXi
  • Ограничение доступа к VMsafe Network API
  • Проверка настроек SNMP агента (только для ESXi)
  • Включить Lockdown Mode
  • Отключение Direct Console User Interface
  • Отключение Tech Support Mode
  • Установка тайм-аута для работы в Tech Support Mode
  • Запрет NFS и NIS клиентов
  • Установка прав на важные файлы и запускаемые утилиты
  • Контроль за использованием VMsafe API для защитного модуля
  • Проверка использования аутентификации через Active Directory
  • Проверка настроек https
  • Аудит модулей ядра гипервизора без цифровой подписи
  • Мониторинг использования хранилища
  • Отключить протокол IPv6
  • Защита от переполнения буфера
  • Минимизация списка служб
  • Установка пароля загрузчика ESX-сервера
  • Настройка параметров ядра ESX-сервера
  • Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин
  • Запрет отсылки сообщений ESX-серверу со стороны виртуальных машин
  • Полномочия на файлы системного журнала ESX-сервера
  • Настройка параметров логирования ESX-сервера
  • Текст приглашения для сетевого и локального доступа к ESX-серверу
  • Ограничение на подключение устройств к ESX-серверу
  • Синхронизация времени
  • Полномочия на доступ к файлам паролей пользователей
  • Полномочия на файлы конфигурации протокола SNMP
  • Настройка параметров безопасности для протокола SSH
  • Ограничение на возможность удаления файлов ESX-сервера
  • Ограничение на использование привилегий суперпользователя
  • Отсылка событий ESX-сервера на syslog-сервер
  • Отсутствие программ с setuid- или setgid-флагами
  • Ограничение права перезаписи файлов ESX-сервера
  • Отсутствие файлов без владельца на ESX-сервере
  • Очистка памяти виртуальных машин
  • Очистка памяти виртуальных машин (двукратная запись)
  • Настройки безопасности для виртуальных коммутаторов
  • Группы портов не настроены на значения VLAN из зарезервированных диапазонов
  • Имена всех виртуальных коммутаторов (vSwitches) соответствуют заданному требованию
  • Имена всех групп портов соответствуют заданному требованию
  • Группы портов не настроены на значения VLAN 4095 кроме как для Virtual Guest Tagging
  • Группы портов не настроены на значения native VLAN
  • Обратите внимание, что некоторые политики доступны либо только для хостов ESXi (например Lockdown Mode), а некоторые - только для ESX. Большая часть политик - общая для обоих типов гипервизора.

    Для виртуальных машин есть такие политики (они независимы от типа хост-сервера):

    • Список запрещенных устройств
    • Запрет клонирования виртуальных машин
    • Запрет создания снимков виртуальных машин
    • Доверенная загрузка виртуальных машин
    • Запрет доступа к консоли виртуальной машины
    • Запрет доступа к файлам виртуальных машин
    • Затирание остаточных данных на СХД при удалении ВМ
    • Затирание остаточных данных на СХД при удалении ВМ (двукратная запись)
    • Отменить контроль за использованием VMsafe API для защитного модуля

    Для более подробной информации о политиках безопасности и о том, как в целом работает vGate R2, рекомендую к прочтению интересную и свежую презентацию «Построение комплексной системы обеспечения информационной безопасности в виртуальной среде»:

    Если у вас остались вопросы по продукту, вы можете написать все, что думаете о vGate R2 вот в этой форме http://www.securitycode.ru/products/sn_vmware/otzyv/

    Технический релиз vGate R2 с поддержкой vSphere 5 можно скачать по этой ссылке - http://www.securitycode.ru/products/demo/

    Реклама

    Advertisement

    Зал Славы Рекламодателя
    Ближайшие события в области виртуализации:

    04/05/2017:  Визуализация мониторинга. Делаем правильные дашборды на vRealize Operations
    16/05/2017:  VeeamON 2017 New Orleans
    16/05/2017:  Основы программно-определяемой системы хранения данных VMware vSAN

    Быстрый переход:
    VMware StarWind VeeamON IT-Grad Microsoft VMFS RVTools Citrix PowerCLI Veeam 5nine VM Guru Oracle Red Hat Parallels Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI HP Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VSA vNetwork vSAN SSO DRS Horizon LSFS Workspace Client Host Client VMDK App Volumes vROPs VTL vCloud Update iSCSI Labs IaaS SDDC vCSA NSX Virtual Appliance Backup Whitepaper PowerShell Fusion Appliance VUM Manager VVols V2V Tools Workstation Cache VMworld SRM Support Обучение XenDesktop Web Client Mobile OpenStack Automation Replication Desktop Log Insight Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Performance Award Network AWS USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно Nested vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Plugin Troubleshooting DPM Director Book Memory Upgrade API SIOC Flex Mac Bug Open Source SSH Air VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS CLI Bugs Composer
    Интересные плакаты:

    Постер VMware vSphere PowerCLI 6.3:

    Постер VMware ESXi 5.1:

    Постер VMware Hands-on Labs 2015:

    Постер VMware Platform Services Controller 6.0:

    Постер VMware vCloud Networking:

    Постер VMware NSX (референсный):

    Постер VMware vCloud SDK:

    Постер VMware vCloud Suite:

    Постер VMware vCenter Server Appliance:

    Порты и соединения VMware vSphere 6:

    Порты и соединения VMware Horizon 7:

    Порты и соединения VMware NSX:

    Управление памятью в VMware vSphere 5:

    Как работает кластер VMware High Availability:

    Постер VMware vSphere 5.5 ESXTOP (обзорный):

    Постер Veeam Backup & Replication v8 for VMware:

    Постер Microsoft Windows Server 2012 Hyper-V R2:

     

    Популярные статьи:
    Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

    Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

    Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

    Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

    Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

    Инфраструктура виртуальных десктопов VMware View 3 (VDI)

    Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

    Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

    Проектирование инфраструктуры виртуализации VMware vSphere 4.

    Как поднять программный iSCSI Target на Windows 2003 Server для ESX

    Сравнение Oracle VirtualBox и VMware Workstation.

    Как использовать возможности VMware vSphere Management Assistant (vMA).

    Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

    Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

    Новые возможности VMware vSphere 5.0 - официально.

    Все ресурсы о виртуализации:
    Интервью:

    Alessandro Perilli
    virtualization.info
    Основатель

    Ратмир Тимашев
    Veeam Software
    Президент


    Купить:

    VMware vSphere 6


    Veeam Backup 8


    Полезные ресурсы:


    Видео компании VMware

    Видео про Citrix Xen

    Видео о виртуализации Microsoft

    Утилиты для виртуальных машин Microsoft.

    Книги на английском языке

    Блоги на английском языке

    Блоги на русском языке

    Агрегация статей в твиттере VMC:


    Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.