Новости Статьи VMware Veeam StarWind NAKIVO Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4200 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Настройка решения vGate for Hyper-V от Кода Безопасности и примеры практического использования.

Автор: Александр Самойленко
Дата: 31/10/2014

Некоторое время назад мы писали о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры Microsoft Hyper-V. Там мы рассмотрели основные возможности продукта, а в этой статье пройдемся по основным моментам настройки и администрирования vGate R2 и рассмотрим, какие его функции помогут компаниям для обеспечения ИБ в реальных условиях.

Итак, после запуска средства vGate R2 появится мастер настройки окружения, где нужно ввести параметры доступа к защищаемому серверу Hyper-V:

Затем на сервере Hyper-V будет развернут компоненты защиты - агент vGate R2:

Первым делом необходимо настроить список пользователей vGate R2:

По умолчанию список пользователей уже содержит учетную запись главного администратора информационной безопасности (АИБ) - это и есть администратор решения vGate R2. Можно также добавить пользователей из Active Directory.

Далее можно приступать к работе с консолью vGate R2:

На вкладке "Конфигурация" можно задать основные настройки продукта. Можно задать параметры общей учетной записи, которая будет использоваться для доступа к серверам Hyper-V.

В разделе "Дополнительные настройки" можно настроить список защищаемых подсетей:

В разделе "Аудит" меню "Конфигурация" можно настроить список генерируемых системой событий, которые администратор может отслеживать:

Эти события вам помогут отследить различные действия злоумышленников. Например, в процессе анализа событий информационной безопасности мы видим, что пользователь склонировал виртуальную машину:

Это требует дальнейших разбирательств - когда и зачем он делал (может планировал забрать ее с собой на флэшке), особенно если данные внутри этой ВМ имеют важность и ценность. Уведомления о наступивших событиях могут быть посланы по SNMP и электронной почте.

Итак, когда основные настройки сделаны, надо приступить к регистрации защищаемых серверов Microsoft Hyper-V:

Добавленный сервер Hyper-V появится в списке защищаемых серверов. При успешном завершении установки агента защиты Hyper- V в разделе "Развертывание" консоли управления появится номер версии агента и сообщение о его статусе "Запущен".

Далее, если необходимо, на серверах нужно развернуть компоненты защиты. Развертывание компонентов защиты на сервере Hyper-V выполняется автоматически при добавлении сервера в список защищаемых серверов. При необходимости переустановки модуля защиты Hyper-V или временной приостановки контроля за операциями с виртуальной инфраструктурой воспользуйтесь функциями раздела "Развертывание" в консоли управления vGate.

Если вы не настроили в начале список пользователей vGate R2, то можно сделать это в разделе "Учетные записи":

Изначально управление учетными записями выполняется от имени учетной записи главного администратора vGate R2, которая создается при установке сервера авторизации vGate. В дальнейшем возможно предоставление прав на управление списком пользователей другой учетной записи администратора информационной безопасности (АИБ).

АИБ может зарегистрировать пользователей двух типов — администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). Если управлением vGate занимаются несколько АИБ, то для каждого АИБ следует настроить дополнительные учетные записи.

Для учетных записей неплохо бы задать политики паролей, которые используются в вашей организации:

Настройка доступа к ресурсам виртуальной инфраструктуры

После этого пора приступать к настройке меток безопасности в разделе "Метки безопасности":

Метка безопасности определяют принадлежность ресурса или пользователя к какой-либо категории (то есть, например, отдел - бухгалтерия, либо класс информации - например, секретно). Есть три типа меток конфиденциальности, которые "накладываются" на ресурсы и учетные записи пользователей:

  • Иерархическая метка - это метка, которая содержит уровень конфиденциальности. Уровень конфиденциальности - это сущность, которая строго иерархически (Неконфиденциально->Для Служебного пользования->Секретно->Совершенно Секретно) определяет возможность доступа пользователей к ресурсам и ресурсов друг к другу. То есть, пользователь с уровнем ДСП не сможет работать с секретными и совсекретными ресурсами, а секретные виртуальные машины не могут находиться на неконфиденциальных хранилищах. Наоборот же, например, на уровень ниже пользователь или ресурс сможет работать с ресурсами, но только если для него установлено соответствующее разрешение (например для хоста - "Может исполнять машины с меньшим уровнем"). Как становится понятным, этот вариант защиты от НСД больше всего востребован госструктурами (гостайна) или организациями, обрабатывающими персональные данные.
  • Неиерархическая метка - это "плоская" метка, которая содержит категорию конфиденциальности. В вашей инфраструктуре может быть сколько угодно категорий, при этом все они будут находиться на одном уровне иерархии. Поэтому механизм прост - если у ресурса есть такая метка (категория) - то пользователь из этой категории может его использовать. Понятное дело, что на одном ресурсе может быть несколько меток - это значит, что несколько категорий пользователей используют его совместно (например, финансисты и бухгалтерия). Здесь становится понятно, что данная модель защиты от НСД вполне подходит коммерческим компаниям. По умолчанию, у вас есть пять категорий, обозначенных цветом ("Синий", "Зеленый", "Желтый" и т. д.), его можно просто менять.
  • Составная метка - это метка, которая содержит одновременно один уровень конфиденциальности и одну или несколько категорий конфиденциальности. Например, они могут пригодиться для работы с совсекретными данными (уровень), но с которыми работают разные отделы (категория). Тут все понятно.

Уровни конфиденциальности:

Допустим мы задали вот такую конфигурацию уровней конфиденциальности (иерархические метки):

В этом примере сервер Hyper-V используется как для обработки неконфиденциальной информации, так и для обработки сведений, составляющих служебную тайну (ДСП). Поэтому серверу Hyper-V присвоен уровень конфиденциальности "ДСП" и задан дополнительный параметр "Разрешено исполнять ВМ с меньшим уровнем". Пользователи с уровнем конфиденциальности "ДСП" будет иметь доступ ко всем ВМ на хосте, а пользователь с уровнем "неконфиденциально" (НК) - только к одной виртуальной машине.

При назначении иерархическихметок (уровней конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задать уровень конфиденциальности для каждой учетной записи АВИ в
соответствии с уровнем допуска пользователя к конфиденциальным
ресурсам.

2. Задать уровень конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с уровнем конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper-V планируется обрабатывать информацию разного уровня конфиденциальности, то:

  • отметить поле "Разрешено исполнять ВМ с меньшим уровнем";
  • установить уровень конфиденциальности сервера Hyper- V, равный максимальному уровню конфиденциальности обрабатываемой на нем информации.

3. Задать уровни конфиденциальности для всех существующих ВМ. Уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности сервера Hyper- V, на котором она выполняется (если отмечено поле "Разрешено исполнять ВМ с меньшим уровнем"), или равен уровню сервера Hyper-V (если поле не отмечено). Если ВМ планируется перемещать на другой сервер Hyper-V, то уровень конфиденциальности ВМ должен быть не выше уровня конфиденциальности этого сервера Hyper-V.

В процессе дальнейшего функционирования виртуальной инфраструктуры администратор информационной безопасности должен своевременно назначать уровни конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру (серверам Hyper-V), а также новым учетным записям пользователей.

Категории конфиденциальности:

Посмотрим на пример с категориями конфиденциальности:

В этом примере сервер Hyper-V используется одновременно для обработки информации категорий "Синий" и "Красный" (допустим, это два разных отдела).

Серверу Hyper-V назначены категории "Синий" и "Красный". Виртуальным машинам назначены категории конфиденциальности в соответствии с категорией информации, которая на них находится ("Синий" и "Красный", соответственно). Таким образом, пользователи категории "Синий" будут работать только с одной виртуальной машиной, а пользователи с меткой "Красный" - с двумя ВМ.

При назначении неиерархических меток (категорий конфиденциальности) для объектов виртуальной инфраструктуры следует придерживаться следующей последовательности действий и правил.

1. Задать категории конфиденциальности для каждой учетной записи администратора виртуальной инфраструктуры в соответствии с допуском пользователя к определенным категориям ресурсов. Каждый пользователь может быть допущен к одной или нескольким категориям ресурсов.

2. Задать одну или несколько категорий конфиденциальности каждому из защищаемых серверов Hyper- V в соответствии с категорией конфиденциальности информации, которая будет обрабатываться на нем. Если на сервере Hyper- V будет обрабатываться информация разных категорий, то нужно задать список из этих категорий.

В случае назначения категорий конфиденциальности для объектов новой виртуальной инфраструктуры процедура окончена. Новые ВМ получат метки конфиденциальности автоматически при их создании. При этом ВМ назначается категория из списка категорий хранилища, совпадающая с категорией из списка категорий пользователя, создающего ВМ. Если таковых несколько, то ВМ назначается список категорий. В случае назначения категорий конфиденциальности для объектов существующей виртуальной инфраструктуры необходимо перейти к шагу 3.

3. Задать категории конфиденциальности для всех существующих ВМ. Список категорий ВМ должен иметь хотя бы одну общую категорию со списком категорий сервера Hyper-V, на котором она выполняется.

В процессе дальнейшего функционирования виртуальной инфраструктуры администратор vGate R2 должен своевременно назначать категории конфиденциальности новым объектам, вводимым в виртуальную инфраструктуру.

Более подробно об уровнях и категориях конфиденциальности в vGate R2 мы рассказывали вот тут.

Настройка политик безопасности

Политики безопасности содержат настройки для серверов Hyper-V и ВМ, позволяющие обеспечить определенную степень защиты данных и соответствие требованиям некоторых стандартов безопасности.

В текущей версии vGate R2 пока присутствует только один набор политик - "vGate for Hyper-V ". Это специально разработанный для vGate набор политик, позволяющий задать более безопасный режим работы серверов Hyper-V и виртуальных машин.

В этом шаблоне находятся следующие политики:

Назначение политики объекту осуществляется следующим образом:

  • на базе шаблона формируется набор политик
  • набор политик назначается для категории или уровня конфиденциальности
  • объекту (серверу Hyper-V или ВМ) назначается метка безопасности

То есть политика действует на уровне меток безопасности, а не отдельных объектов.

Пример настройки политик на основе стандартного шаблона:

Для назначения набора политик в консоли управления выберите функцию "Метки безопасности". В области параметров будут отображены значения параметров меток безопасности. Выберите категорию или уровень конфиденциальности, которым необходимо назначить политики, и нажмите кнопку "Назначить политики".

На экране появится список настроенных администратором наборов политик:

Укажите нужный набор политик и нажмите кнопку "Назначить".

Управление доступом к серверам Hyper-V

Перед настройкой доступа к серверам Hyper-V должны быть выполнены следующие процедуры:

  • зарегистрированы пользователи vGate (см. начало статьи)
  • установлены агенты аутентификации на компьютеры сервисных служб, которым требуются входящие соединения в защищаемый периметр для организации санкционированного доступа служб и сервисов компьютеров к защищаемым серверам Hyper-V и другим узлам защищаемой сети.

В консоли управления выбираем функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:

Выберите нужный сервер в таблице "Список защищаемых серверов". В нижней таблице отобразится список действующих правил:

Правила доступа можно создавать на основе шаблона, каждый из которых предназначен для соответствующего варианта использования:

Можно также создавать собственные правила доступа:

Контроль целостности

В vGate средства контроля целостности используются для защиты объектов на сервере авторизации, серверах Hyper-V и рабочих местах администраторов виртуальной инфраструктуры и администратора vGate.

Аудит событий безопасности

События безопасности регистрируются на всех защищаемых серверах, на которых установлены компоненты защиты vGate, а затем пересылаются на сервер авторизации для централизованного хранения.

На компьютерах внешнего периметра сети администрирования, на которых установлен агент аутентификации, сообщения хранятся локально в журнале приложений Windows (Application Event Log). Для их просмотра (локально или удаленно) необходимо использовать Windows Event Viewer.

Для просмотра журнала событий безопасности в окне консоли управления выберите функцию "Аудит". В области просмотра параметров появится таблица со списком событий, а над ней — группа параметров для формирования условий отбора записей.

На самом деле, это очень полезный инструмент для просмотра подозрительных активностей и обнаружения инцидентов информационной безопасности в виртуальной инфраструктуре Hyper-V.

Например, можно узнать, что кто-то пытался подобрать пароль:

Можно увидеть нарушение целостности ВМ (то есть отклонения от эталонной конфигурации), которое явилось следствием изменения конфигурационного файла ВМ (администратор увеличил память):

Посмотрев свойства события, мы видим кто и когда это сделал с нашей машиной:

Можно также увидеть события нарушения доступности ВМ (кто-то остановил или удалил машину):

Также в разделе "Отчеты" есть множество полезных вещей, например, «Наиболее частые события ИБ»:

Здесь мы видим, что кто-то постоянно пытается получить доступ к защищенному объекту виртуальной инфраструктуры, что является основанием для начала расследования инцидента.

На этом наш обзор основной настройки решения vGate R2 для Hyper-V закончен. Вы можете больше узнать о vGate R2 для Hyper-V по этой ссылке, а бесплатно загрузить пробную версию продукта можно вот тут.

Реклама





Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware IaaS Veeam IT-Grad Citrix 5nine HP StarWind VeeamON Microsoft VMFS RVTools PowerCLI VM Guru Oracle Red Hat Parallels Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vCloud AWS Horizon Log Insight Backup vSAN XenDesktop Labs VSA vNetwork SSO DRS LSFS Workspace Client Host Client VMDK App Volumes vROPs VTL Update iSCSI SDDC vCSA NSX Agent Virtual Appliance Whitepaper PowerShell Fusion Appliance VUM Manager VVols V2V Tools Workstation Cache VMworld SRM Support Обучение Web Client Mobile OpenStack Automation Replication Desktop Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Performance Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно Nested vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Air API CLI Plugin Troubleshooting DPM Director Book Memory Upgrade SIOC Flex Mac Bug Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Сравнение Oracle VirtualBox и VMware Workstation.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.