Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4340 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Режимы работы и эксплуатация vGate R2.

Режимы работы и эксплуатация vGate R2.

Режимы работы и эксплуатация vGate R2.

Автор: Александр Самойленко
Дата: 30/10/2015

Продолжаем серию статей о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. Сегодня мы поговорим о новой возможности vGate R2 версии 2.8 - режимах работы, которые позволяют обеспечивать развертывание решения, его эксплуатацию, а также обработку исключительных ситуаций.

Как мы уже писали ранее, новая версия vGate 2.8 предоставляет администраторам информационной безопасности (АИБ) три режима работы:

  • тестовый режим
  • штатный режим
  • аварийный режим

1. Начало эксплуатации vGate R2 - тестовый режим.

Когда вы закончили развертывание vGate R2 (про этот процесс мы писали вот тут), продукт переходит в тестовый режим, обеспечивающий фазу ввода решения в эксплуатацию. Обратите внимание на название режима в меню сверху и оранжевую полосу в верхней части консоли:

Данный режим обеспечивает доступ к серверам виртуальной инфраструктуры с рабочих мест администраторов vSphere и АИБ без предварительной настройки правил разграничения доступа и позволяет выполнить ввод в эксплуатацию или настройку конфигурации vGate, не ограничивая работу существующей сетевой инфраструктуры.

По-сути, этот режим создан, чтобы АИБ приступил с созданию правил разграничения доступа (ПРД) к различным компонентам виртуальной инфраструктуры vSphere или Hyper-V, после чего решение vGate можно было бы ввести в промышленную эксплуатацию.

Особенности работы vGate в тестовом режиме:

  • Для аутентифицированных пользователей vGate разрешены подключения ко всем серверам, размещенным внутри защищаемого периметра сети администрирования, с любого компьютера по всем протоколам и портам.
  • Для пользователей, не прошедших процедуру аутентификации в vGate, разрешен доступ ко всем серверам из защищаемого периметра по протоколу ICMP (команда ping).
  • При наличии правил разграничения доступа (ПРД) для серверов ESXi и Hyper-V, настроенных в консоли управления vGate, доступ пользователей vGate к защищаемым серверам обеспечивается в соответствии с этими правилами.
  • При наличии правил фильтрации для серверов vCenter и Hyper-V, настроенных с помощью утилиты drvmgr.exe, доступ обеспечивается в соответствии с этими правилами.
  • Доступ к выполнению операций с объектами виртуальной инфраструктуры контролируется в соответсвтвии с настроенными метками безопасности (механизм полномочного управления доступом действует, как в штатном режиме).
  • События установки соединений с серверами из защищаемого периметра регистрируются в журнале событий безопасности vGate.
  • Поддерживается доверенная загрузка ВМ (политика "Доверенная загрузка виртуальных машин" действует, как в штатном режиме).

Для просмотра и настройки действующих правил разграничения доступа в консоли vGate, нужно выбрать функцию "Защищаемые серверы". В области параметров появится список серверов и соответствующий каждому из них список правил доступа:

Для просмотра перечня ПРД, обеспечивающих работу vGate в тестовом режиме, можно воспользоваться утилитой drvmgr.exe, которую нужно запустить на сервере vCenter (если используется инфраструктура VMware) или на сервере Hyper-V (если у вас инфраструктура виртуализации от Microsoft):

  • > drvmgr 
    Вызов справки
  • > drvmgr i 0x031
    Просмотр текущих правил фильтрации (для Hyper-V)

Более подробно мы писали о настройке данных правил вот тут.

Если на vCenter или хост Hyper-V установлена операционная система Windows Server 2008 R2 или 2012 R2 и включен контроль учетных записей (UAC, UserAccount Control), то для настройки правил фильтрации соединений утилиту drvmgr.exe следует запускать от имени администратора.

После завершения редактирования списка защищаемых серверов, настройки правил разграничения доступа к защищаемым серверам и настройки уровней и категорий конфиденциальности, необходимо перевести vGate в штатный режим работы.

2. Штатный режим работы - эксплуация vGate.

После того, как вы настроили всю инфраструктуру vGate, можно переводить ее в производственный (штатный) режим, когда все правила и доступы начнут работать по-серьезному. Но предварительно нужно сделать 3 вещи:

  1. Обучить администраторов работе в защищенной среде (мы писали об этом вот тут). Кром того, они должны понимать, что такое иерархические и плоские метки безопасности в виртуальной среде, к каким ресурсам им разрешен доступ со стороны АИБ, и как выглядит сообщение в vSphere Client или Web Client (или клиенте Hyper-V) об отказе в выполнении операции по причине отстутствия доступа у администратора.
  2. Неплохо бы в каком-то виде задокументировать инфраструктуру vGate, включая правила доступа к защищенному периметру, а также принадлежность ресурсов (хосты, сети, хранилища, виртуальные машины) к уровням и категориям конфиденциальности. Например, в таком виде.
  3. Сделать резервную копию конфигурации сервера авторизации vGate, чтобы в случае чего откатиться к эталонным настройкам.

Резервное копирование базы данных конфигурации vGate производится с помощью вспомогательной утилиты db-util.exe. Утилита располагается на установочном диске vGate в папке .\vGate\Tools или в папке, в которую был установлен компонент "Сервер автори-
зации".

Для создания резервной копии базы данных конфигурации vGate:

  • На основном сервере авторизации создайте папку, в которую бдет записана копия конфигурации.
  • Откройте редактор командной строки и выполните следующую команду:

    db-util.exe -b c:\Backup

    где:
    db-util.exe — путь к исполняемому файлу утилиты
    c:\Backup — путь к созданной папке для хранения резервной копии конфигурации
  • Убедитесь в том, что указанная папка содержит копию конфигурации.

Для восстановления конфигурации vGate необходимо выполнить следующие действия:

  • Остановите все службы vGate (иначе восстановление не будет произведено). В случае если на компьютере установлено ПО сервера авторизации с резервированием, необходимо дополнительно остановить службу Slony-I Service.
  • Откройте редактор командной строки и выполните следующую команду:

    db-util.exe -r c:\Backup


    где:
    db-util.exe — путь к исполняемому файлу утилиты
    c:\Backup — путь к созданной папке для хранения резервной копии
    конфигурации.
    При необходимости вы также можете использовать следующие аргументы:
    -f [--force] – команда восстановления конфигурации -r [--restore] не будет запрашивать подтверждение на операцию
    -v [--verbose] – операции резервирования и восстановления будут иметь подробный вывод

    Пример: db-util.exe -v -r c:\Backup -f

  • Из каталога установки vGate\Kerberos удалите следующие файлы:
    - krb5kt
    - k5.VGATE, где VGATE — имя реестра учетных записей vGate.
  • Запустите остановленные службы vGate.

Когда вы сделали 3 перечисленных выше вещи, настало время ввода vGate в промышленную эксплуатацию. Для переключения vGate в штатный режим:

  1. В области главного меню консоли управления нажмите кнопку-ссылку "Тестовый режим" и выберите в раскрывающемся списке вариант "Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
  2. Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим работы vGate будет включен. Соответствующее сообщение появится в виде кнопки-ссылки в области главного меню консоли управления.

Как следствие, консоль приобретет сверху синий цвет и появится пункт меню "Штатный режим":

В процессе эксплуатации vGate в штатном режиме необходимо постоянно поддерживать инфраструктуру vGate в актуальном состоянии и каждое изменение конфигурации среды VMware vSphere или Microsoft Hyper-V должно отражаться в правилах разграничения доступа, а также метках конфиденциальности (напомним, что мы писали о них вот тут). Также, понятно дело, в актуальном виде необходимо поддерживать и документацию по конфигурации инфраструктуры vGate.

Кроме того, также нужно регулярно делать резервные копии конфигурации vGate (как мы описали выше), чтобы не проводить весь массив операций по настройке в следующий раз (где, к тому же, не исключена вероятность ошибки при повторной настройке). Резервные копии создавайте по расписанию и храните их все за соответствующие даты (они занимают немного места, а в случае чего будут очень полезны).

При необходимости (например, для смягчения контроля доступа к серверам в защищаемом периметре в случае реорганизации виртуальной инфраструктуры) vGate может быть вновь переведен в тестовый режим работы.

3. Аварийный режим - обработка исключительных ситуаций.

Аварийный режим предназначен для приостановки защиты в случае выхода из строя элементов ИТ-инфраструктуры (например, сегмента сети ввиду отказа Edge-коммутаторов). Данный режим позволяет администратору обойти ограничения доступа к администрированию виртуальной среды на время восстановления работоспособности инфраструктуры.

Для переключения vGate в аварийный режим:

  • В служебной области консоли управления нажмите кнопку-ссылку с названием текущего режима работы (в обычном случае — "Штатный режим") и выберите в раскрывающемся списке вариант "Аварийный режим". На экране появится предупреждение о переключении vGate в аварийный режим.
  • Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Аварийный режим будет включен. Область главного меню консоли управления будет окрашена в красный цвет. Ссылка с названием текущего режима работы vGate изменит название на "Аварийный режим".

В аварийном режиме приостанавливается:

  • работа компонентов защиты серверов виртуализации и серверов управления виртуальной инфраструктурой (ESX-серверов и vCenter)
  • действие политик безопасности
  • действие правил разграничения доступа к защищаемым серверам и правил фильтрации сетевых подключений к vCenter
  • проверка меток безопасности

Особо надо обратить внимание, что в аварийном режиме не выполняется аудит событий безопасности для компонентов защиты ESXi-серверов и vCenter. Это значит, что в данном режиме vGate не будет регистрировать события информационной безопасности, а следовательно работа в таком режиме может быть только кратковременной. Не стоит оставлять этот режим на несколько дней, например, при реорганизации сетевой инфраструктуры. Как альтернативу можно использовать на это время общие средства логирования и аналитики платформы виртуализации (например, Log Insight от VMware).

Помните, что в процессе восстановления работоспособности инфраструктуры могут произойти изменения в конфигурации защищаемых серверов или средств администрирования виртуальной инфраструктуры. Перед переключением vGate в штатный режим необходимо проверить корректность конфигурации vGate в соответствии с планом настройки конфигурации (и, конечно же, создать бэкап).

Для переключения vGate в штатный режим:

  • В служебной области консоли управления нажмите кнопку-ссылку "Аварийный режим" и выберите в раскрывающемся списке вариант
    "Штатный режим". На экране появится предупреждение о переключении vGate в штатный режим.
  • Нажмите кнопку-ссылку "Продолжить" в окне предупреждения. Штатный режим будет включен. Область главного меню консоли управления будет окрашена в синий цвет. Ссылка с названием текущего режима работы vGate изменит название на "Штатный режим".

Вкратце это все об основных режимах работы средства защиты виртуальных инфраструктур vGate R2. Загрузить пробную версию решения для VMware vSphere или Microsoft Hyper-V вы можете бесплатно по этой ссылке.

Реклама





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

02/12/2017:  AZURE DAY 2017 (Минск)
06/03/2018:  ИТ-стратегия 2018
24/05/2018:  IT&SECURITY FORUM (Казань)

Быстрый переход:
VMware StarWind Veeam IT-Grad vGate Microsoft Cloud SDRS Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn Security Code 1cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VVols HA Tools Backup vSAN Book Photon vCloud VMworld Horizon vROPs Labs Fusion Cloud Computing vCSA SSD Client DRS OpenStack Comparison Workstation Blast SRM App Volumes Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO LSFS Workspace Host Client VMDK VTL Update iSCSI SDDC NSX Agent Virtual Appliance Whitepaper PowerShell Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Director Diagram Bug Troubleshooting Air API CLI Plugin DPM Memory Upgrade SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.