Многим из вас известно средство номер 1 для защиты виртуальных инфраструктур VMware vSphere - продукт vGate R2 от компании Код Безопасности. У него две основных сферы применения - автоматическая настройка виртуальной среды в соответствии с лучшими практиками и отраслевыми стандартами на базе политик, а также создание инфраструктуры защиты от несанкционированного доступа.

Обратите внимание, vGate R2 полностью российская разработка, он сертифицирован ФСТЭК, поддерживает ESXi и может использоваться даже там, где охраняют гостайну. Кстати, сходите на вебинар о ФЗ 152 по этому поводу в сентябре.

Мы уже много писали о возможностях, развертывании и других аспектах функционирования средства vGate R2, а в этом посте мы постараемся собрать некоторые ответы на часто задаваемые вопросы о продукте со стороны интересующихся безопасностью в своей инфраструктуре VMware vSphere 5.

Итак:

Q: У VMware есть средство vShield для защиты виртуальной инфраструктуры vSphere, зачем нам vGate R2?

A: Если вы заглянете в эту заметку, вы поймете, что vShield 4.x - это просто средство межсетевого экранирования различных типов, а vGate R2 - это комплексное средство для защиты виртуальной среды vSphere: мы можем настроить всю инфраструктуру в соответствии с требованиями и рекламентами безопасности в организации + обеспечить защиту от НСД. Да, в vShield 5 появились некоторые шаблоны нормативных требований (политик), но они применимы только к зарубежным организациям, а vGate R2 - имеет встроенные шаблоны с учетом российской специфики (ну и сертификат ФСТЭК для многих тоже важен). Ну и надо учитывать, что vGate R2 уже зрелый продукт, в то время как vShield 5 - это первая версия, где появились политики.

Q: В нашей компании уже есть средства защиты информации (средство защиты от НСД, межсетевой экран, антивирус и т.д.). Зачем нам дополнительно приобретать vGate для защиты виртуальной инфраструктуры?

A: Ответ прост - с приходом виртуализации появляется множество компонентов, которые нужно защищать дополнительно: это и хост-серверы, и сервер управления vCenter, и виртуальные хранилища, и сущности виртуальная машина, виртуальная сеть и т.п. Все это требует защиты с помощью специализированных средств. vGate R2 - это и есть такое средство. Он сделан в России и для российских компаний.

Q: Не повлияет ли установка vGate на производительность виртуальной платформы?

A: Нет. С точки зрения сети: vGate функционирует в сети, настроенной согласно рекомендациям VMware, то есть, например, сеть виртуальных машин отделена от сети администрирования. При этом компоненты vGate устанавливаются и функционируют только в сети администрирования виртуальной инфраструктуры, а, значит, никакого влияния на траффик в сети виртуальных машин, где работатют пользователи, они не оказывают. С точки зрения вычислительных мощностей хост-серверов: там устанавливается весьма легкий агент, который гарантирует неизменность конфигурации и контроль целостности виртуальных машин.

Q: Обеспечит ли vGate защиту от несанкционированного доступа к данным внутри виртуальной машины со стороны администраторов vSphere?

A: Да, vGate позволяет обеспечить защиту от НСД к данным внутри виртуальной машины со стороны администратора ВИ. Благодаря функции разделение ролей, администратор ВИ имеет только те привилегии, которые ему необходимы для администрирования ВИ, без доступа к ВМ и данным внутри них.

Q: Какие механизмы разграничения доступа применяются в vGate? Есть ли возможность предоставить доступ только для какого-то определенного администратора vSphere только к определенным виртуальным ресурсам?

A: Для разграничения доступа к виртуальной инфраструктуре применяются механизмы дискреционного и полномочного управления доступом. В первом случае определяются правила доступа администратора vSphere к конкретному хосту по определенным протоколам и портам. Во втором - на базе меток безопасности предоставляется доступ только для какого-то определенного администратора только к определенным виртуальным ресурсам в соответствии с уровнем доступа или бизнес-категорией.

Q: Существует ли возможность оперативно получить сведения о том, что делал конкретный администратор ВИ за последние X дней, или что он делает прямо сейчас?

A: Да, такая возможность существует благодаря функциям расширенного мониторинга событий и отчетности. В журнале vGate регистрируются все события, относящиеся к безопасности инфраструктуры.

Q: Что будет если сломается сервер авторизации vGate R2?

A: В этом случае администраторы vSphere не получат доступ к управлению инфраструктурой. Тут два варианта решения. Первый - вы развертываете резервный сервер авторизации, который на лету перехватывает функции отказавшего сервера. Ну и второй - восстановить за несколько минут резервную копию конфиугурации сервера авторизации.

Q: Насколько сложен vGate в использовании? Не усложнит ли внедрение vGate администрирование vSphere?

A: Для администраторов ВИ работа vGate практически незаметна. Единственное отличие заключается в необходимости ввода учетных данных (логин и пароль), настроенных в vGate. Для администратора ИБ (то есть, vGate) придется освоить работу с парой вкладок в консоли администрирования (полчаса времени).

Q: Сколько лицензий необходимо приобрести для двух двухпроцессорных серверов виртуализации?

A: vGate R2 лицензируется по процессорам. Поэтому вам нужно 4 лицензии «Право на использование vGate для защиты ESX-хостов» + одна лицензия на экземпляр для сервера авторизации. Если нужен резервный сервер авторизации - покупаем еще одну лицензию на экземпляр для всей инфраструктуры.

Q: Существуют ли учебные курсы по vGate?

A: Да, по развертыванию и администрированию продукта можно пройти курс дистанционного обучения. Все вопросы по учебному курсу Вы можете задать по e-mail sdo@securitycode.ru.

Теперь дальше вы. Задавайте вопросы.