Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4280 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Новая версия vGate R2 2.8 - работа пользователя в защищенной среде.

Автор: Александр Самойленко
Дата: 26/09/2015

Недавно мы писали том, что компания Код Безопасности, производитель решений номер 1 для защиты виртуальных сред, выпустила обновление продукта vGate R2 версии 2.8. Эта версия прошла инспекционный контроль в ФСТЭК России и доступна для загрузки и покупки. В обновленную версию vGate R2 добавлены новые механизмы защиты и расширенные функции по администрированию системы. Сегодня мы расскажем о том, как в vGate R2 выглядит рабочий процесс для пользователей в защищенной среде.

Доступ к администраторов к виртуальной инфраструктуре

Для доступа к виртуальной инфраструктуре администратору инфраструктуры vSphere (назовем его администратор информационной безопасности, АВИ) необходимо создать учетную запись в среде vGate. Полномочия АВИ по работе с vSphere контролируются со стороны специального человека - администратора информационной безопасности (АИБ).

Для АИБ должен быть создан специальный аккаунт в среде vSphere, для которого ограничены полномочия по управлению виртуальной инфраструктурой - он должен только иметь возможность просмотра конфигураций. Ну и АИБ должен понимать основные принципы администрирования платформы vSphere.

Напомним, как выглядит референсная архитектура решения vGate:

Доступ на управление виртуальной инфраструктурой vSphere или Hyper-V получают только пользователи, прошедшие аутентификацию. В vGate предусмотрена процедура аутентификации пользователей (администраторов виртуальной инфраструктуры) и компьютеров. Аутентификация компьютеров выполняется автоматически.

Чтобы аутентифицировать в среде vGate, нужно выбрать "Программы -> Код Безопасности -> vGate -> Вход в систему":

Здесь основные параметры таковы:

  • Сервер авторизации - это имя или IP-адрес сервера авторизации vGate. Если в сети используется несколько серверов авторизации, то при подключении к защищенной среде пользователь может выбрать нужный сервер из списка (если параметры сервера были указаны заранее, например, при установке агента аутентификации) или указать его самостоятельно.
  • Способ аутентификации - для подключения к защищенной среде с использованием учетной записи vGate выберите вариант "Имя пользователя и пароль" (предлагается по умолчанию). Чтобы использовать учетные данные пользователя Windows, выберите из списка вариант "Данные текущей сессии Windows".
  • Домен - для учетной записи из Active Directory выберите из списка домен. При аутентификации пользователя vGate укажите имя реестра учетных записей vGate, указанное при установке сервера авторизации (например, "VGATE").
  • Пользователь - имя учетной записи администратора виртуальной инфраструктуры.
  • Пароль - пароль администратора виртуальной инфраструктуры.
  • Подключать автоматически - установите отметку в этом поле, чтобы последующие подключения пользователя к защищенной среде выполнялись без запроса пароля (установите эту галку для удобства).

Кстати, в верхней части окна аутентификации есть ссылка "Конфигурация" - там можно настроить язык интерфейса агента аутентификации vGate R2.

Для аутентификации пользователя можно использовать персональный идентификатор eToken. Если на рабочем месте АВИ установлена система Secret Net от компании Код Безопасности, то также возможно использование персонального идентификатора iButton.

В этом случае выберите нужный способ аутентификации в комбобоксе:

Введите учетные данные пользователя, при необходимости измените остальные параметры соединения и нажмите кнопку "Подключить". После успешной аутентификации будет выполнено подключение к виртуальной инфраструктуре. Подтверждением этому будет появление всплывающего сообщения к значку vGate на панели задач в области уведомлений:

В любой момент пользователь vGate R2 может сменить свой пароль путем выбора в контекстном меню меню иконки в трее пункта "Сменить пароль":

Само собой, для учетных записей из Active Directory изменение пароля при помощи vGate не поддерживается. Для этого нужно использовать оснастки администрирования Active Directory.

Обработка несанкционированных операций

После аутентификации пользователь vSphere может использовать обычный vSphere Client или vSphere Web Client для выполнения операций с виртуальной инфраструктурой. Права на управление правилами разграничения доступа к защищаемым vGate элементам управления виртуальной инфраструктурой закреплены за администратором безопасности (АИБ).

Поэтому если пользователю/администратору vSphere для выполнения своих задач требуются иные права, или он не может получить доступ к необходимым элементам управления, ему нужно обратиться к АИБ.

Права доступа аутентифицированного пользователя vGate R2 контролируются следующим образом:

  • В случае отсутствия у пользователя прав доступа к серверу виртуализации ESXi, при попытке авторизации в vSphere Client или при запуске vSphere Web Client рядом с областью уведомлений на панели задач отображается сообщение агента аутентификации vGate "Соединение заблокировано".
  • В случае отказа в выполнении операции по управлению виртуальной инфраструктурой соответствующее уведомление отображается в vSphere Client и vSphere Web Client с сообщением о том, что операция заблокирована vGate.

Работа с конфиденциальными ресурсами

Каждому пользователю назначается уровень конфиденциальности, позволяющий ему выполнять операции с ресурсами (ESXi-серверы, виртуальные машины, хранилища, виртуальные сети) определенного уровня конфиденциальности. При этом пользователь может выполнять операции с ресурсами, уровень конфиденциальности которых не выше его собственного уровня конфиденциальности, который был определен ему администратором безопасности. То есть, существует иерархия этих уровней, которая и определяет возможности доступа конкретного пользователя.

На основании этого правила и осуществляется управление доступом к выполнению таких операций, как запуск и остановка ВМ, редактирование параметров ВМ (в том числе и сетевых), доступ к хранилищу ВМ, перемещение ВМ и т. д.

Каждый сеанс работы пользователя при подключении к защищенной среде получает уровень сессии, равный уровню конфиденциальности, который назначен пользователю. При этом пользователь может выполнять операции с ресурсами того же или меньшего уровня конфиденциальности.

Пользователям может быть предоставлена возможность контроля уровня сессии. В этом случае при подключении к защищенной среде уровень сессии также равен уровню конфиденциальности пользователя, но пользователь может выполнять операции только с ресурсами такого же уровня.

Для доступа к ресурсам другого уровня конфиденциальности пользователь может в процессе работы изменить уровень сессии, но, понятное дело, не выше имеющегося у него уровня конфиденциальности. Однако возможность изменения уровня сессии в агенте аутентификации vGate контролируется администратором информационной безопасности. По умолчанию возможность отключена.

Если же пользователям предоставлена возможность изменять уровень сессии, и, если его текущий уровень - ДСП (для служебного пользования), он может принимать одно из следующих значений (указаны в порядке возрастания):

  • неконфиденциально
  • для служебного пользования

Таким образом, выбирая необходимый уровень сессии, пользователь сможет выполнять операции с ресурсами разного уровня конфиденциальности (от уровня "неконфиденциально" до максимально доступного для данного пользователя уровня - ДСП).

Например, администратор vSphere может запускать ВМ 1 или ВМ 2, выбрав уровень сессии, соответствующий уровню конфиденциальности одной из этих ВМ:

 

Для выбора уровня сессии нужно просто дважды щелкнуть на значок в трее:

Выберите нужный уровень сессии:

Также можно сменить текущий уровень сессии через контекстное меню значка в трее:

Добавление/удаление ресурсов виртуальной инфраструктуры

Если вы администратор vSphere или Hyper-V и работаете в защищенной среде vGate, то при вводе в эксплуатацию нового оборудования в качестве хоста ESXi или Hyper-V или списания старых серверов нужно проинформировать об этом администратора безопасности, чтобы он соответствующим образом настроил окружение и доступ к конфиденциальным ресурсам. Аналогичным образом нужно поступать и для виртуальных машин. При добавлении новой ВМ АИБ должен определить уровень ее конфиденциальности.

А вот для безопасного вывода ВМ из эксплуатации, т. е. удаления ВМ без возможности последующего восстановления, настоятельно рекомендуется перед удалением машины выполнить очистку ее дисков.

Если для удаляемой ВМ задана соответствующая политика безопасности, очистка дисков виртуальных машин выполняется автоматически. Если политика не задана, для этого может использоваться специальная утилита командной строки vmdktool.exe, входящая в состав vGate.

Формат ее использования таков:

>vmdktool.exe –s [arg] --port [arg] –u [arg] -p [arg] -v [arg] –d [arg] –t [arg]

Значениея параметров:

  • -s [arg] - сетевое имя или IP-адрес ESX-сервера
  • --port [arg] - номер порта ESX-сервера. Значение по умолчанию: 902
  • -u [arg] - имя учетной записи администратора ESXi-сервера
  • -p [arg] - пароль администратора ESXi-сервера
  • -v [arg] - полный путь к файлу конфигурации ВМ (*.vmx)
  • -d [arg] - полный путь к диску ВМ (*.vmdk)
  • -t [arg] - число, указывающее на код байта, которым заполняется диск ВМ. Значение аргумента: от 0 до 255. Значение по умолчанию: 255

Например, команда на безопасное удаление виртуальной машины может быть такой:

>vmdktool.exe -s esx5.esx.local -u root -p P@ssw0rd -v "[storage1] vm4/vm4.vmx" -d "[storage1] vm4/vm4.vmdk" -t 55

Завершение работы пользователя в защищенной среде

Тут все просто. Вызовите контекстное меню для значка в трее и в контекстном меню выберите команду "Отключить". Примечание. Если же вы выберете пункт "Выход" - это закроет программу и агент аутентификации vGate нужно будет запускать снова.

Более подробно о продукте vGate R2 рассказано на этой странице. Демо-версии vGate для Hyper-V или VMware vSphere можно бесплатно скачать по этой ссылке.

Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

22/09/2017:  Red Hat Forum Russia 2017
26/10/2017:  VeeamON Forum Russia 2017
09/11/2017:  CNews FORUM 2017

Быстрый переход:
VMware IT-Grad Veeam StarWind Microsoft Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Client DRS VMworld OpenStack Comparison Fusion Workstation Blast Backup Horizon SRM App Volumes Performance Manager Labs Nested vCloud AWS Log Insight XenDesktop VSA vNetwork SSO LSFS Workspace Host Client VMDK vROPs VTL Update iSCSI SDDC vCSA NSX Agent Virtual Appliance Whitepaper PowerShell Appliance VUM VVols V2V Tools Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Air API CLI Plugin DPM Director Book Memory Upgrade SIOC Flex Mac Bug Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.