Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4250 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru | Ссылка дня: Сколько стоят артисты на пати VMworld?

Особенности размещения государственных информационных систем в облаке.


Это гостевой пост облачного сервис-провайдера ИТ-ГРАД. Для размещения в облаке информационной системы, участвующей в обработке, хранении или передаче персональных данных (ИСПДН), необходимо, чтобы инфраструктура IaaS-провайдера была защищена в соответствии с требованиям ФЗ-152 «О защите персональных данных». Помимо ИСПДН, это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними...


Таги: IT-Grad, Cloud, Cloud Computing, IaaS, Security

Вирус-вымогатель Petya: как избежать заражения и защитить собственные системы


Это гостевой пост компании ИТ-ГРАД. Во вторник, 27 июня Россия, Украина, Индия и ряд стран Евросоюза столкнулись с новой вирусной атакой, затронувшей сотни компьютеров различных предприятий. В России о заражении сообщили «Башнефть», «Роснефть», «Рязанская нефтеперерабатывающая компания», «Хоум Кредит» банк, металлургическая компания Evraz и другие.


Таги: IT-Grad, Security, VMachines

Особенности шифрования кластеров VMware vSAN при апгрейде с прошлых версий.


Как вы знаете, в новой версии решения организации отказоустойчивых кластеров VMware vSAN 6.6 появилась возможность шифрования хранилищ. В целях увеличения эффективности и скорости работы в этой технологии используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Очевидно, что это удобно и эффективно с точки зрения экономии дискового пространства, но несколько небезопасно, так как из кэша можно потенциально достать незашифрованные данные. Поэтому и существует технология VM Encryption, лишенная этого недостатка, но неэффективно расходующая диск.

Для работы шифрования vSAN нужно, чтобы в кластере была версия on-disk format 5 или выше, при этом пятая версия появилась только в vSAN 6.6. Здесь возможны 3 сценария использования шифрования vSAN:

  • Развертывание кластера с нуля на vSAN 6.6.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 со сменой on-disk format на версию 5.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 без изменения версии on-disk format.

В первом случае шифрование данных можно будет включить сразу же для нужного хранилища. Это добавит специальный тэг в метаданные тома, после чего все новые данные, передаваемые из кэша на диск, будут зашифрованы.

Во втором случае мастер миграции может выполнить процедуру DFC (disk format change), что поменяет on-disk format на версию 5. Далее также можно будет включить шифрование в любой момент, и с этого момента новые данные тома будут шифроваться. При этом не потребуется убирать виртуальные машины с хранилища

Ну а вот в третьем случае (когда в процессе апгрейда вы не прошли процедуру DFC), понадобится переместить все виртуальные машины с нужного тома, чтобы включить на нем шифрование. Это может вызвать некоторые неудобства, поэтому лучше всего воспользоваться вариантом один или два.


Таги: VMware, Encryption, vSAN, Security, Upgrade

Как проверить наличие хотфикса в VMware ВМ с помощью PowerCLI.


В свете последних событий, связанных с WannaCry ransomware, очень актуальным становится проверка наличия того или иного установленного патча (Patch/Hotfix/KB) внутри ОС виртуальных машин. Test-VMHotfix из моего PowerCLI Vi-Module модуля быстро и эффективно проверит все ваши ВМ. Пользоваться функцией проще простого, передайте в pipeline ВМ для проверки и шаблон названия патча в параметре -KB...
Таги: VMware, PowerCLI, Security, vSphere, VMachines

Как защитить свои системы от атаки WannaCry?


Первая волна атаки нового вируса WannaCry затронула уже более 320 тысяч компьютеров по всему миру и привела к сбоям в работе таких крупнейших мировых компаний, как Telefonica, KPMG, «Мегафон», Сбербанк, сеть больниц в Великобритании, МВД РФ и многих других. На смену первой волне атаки идут новые модифицированные вирусы, которые учитывают предпринятые пользователями меры борьбы с WannaCry и количество новых зараженных компьютеров пока не снижается...


Таги: 5nine, Security, VMachines

Что такое безопасная загрузка (Secure Boot) в VMware ESXi 6.5, и как она работает.


Некоторые из вас помнят, что в VMware vSphere 6.5 одной из новых возможностей гипервизора ESXi 6.5 стала функция его безопасной загрузки (Secure Boot). Об этом мы уже упоминали в посте с видеороликами о новых возможностях vSphere 6.5:

Суть механизма безопасной загрузки в vSphere 6.5 заключается в том, что загрузка подписанного кода гипервизора ESXi контролируется со стороны UEFI firmware, а также не разрешается исполнение неподписанных пакетов.

UEFI (Unified Extensible Firmware Interface) - это замена традиционному BIOS в серверах и настольных ПК. Механизм Secure Boot - это один из "протоколов" UEFI, который предоставляет возможности контроля загрузки подписанного кода за счет хранения цифровых сертификатов, которые хранятся в микрокоде (firmware) компьютера (signature database). Это все позволяет убедиться в том, что некий root kit не будет присутствовать в составе загружаемых компонентов и не предоставит доступ злоумышленнику на самом низком уровне.

Большинство UEFI содержит набор сертификатов по умолчанию типа x509 Microsoft UEFI Public CA, а также позволяет устанавливать собственные сертификаты дополнительно. Надо отметить, что эти сертификаты поставляются производителем серверов и обновляются вместе с его микрокодом.

Для обеспечения безопасной загрузки используются следующие компоненты:

  • Загрузчик ESXi (boot loader) - он убеждается в том, что цифровая сигнатура кода не была изменена. Загрузчик подписан сертификатом Microsoft UEFI Public CA. Он также содержит VMware public key, с помощью которого проверяются компоненты VM Kernel, Secure Boot Verifier, а также пакеты VIB.
  • Ядро VM Kernel - это также подписанная часть кода. Первое, что делает VM Kernel, это запускает Secure Boot Verifier.
  • Secure Boot Verifier - он также хранит VMware public key и проверяет аутентичность всех VIB-пакетов, которые загружаются во время загрузки ESXi.
  • VIB-пакеты (vSphere Installation Bundles) - эти пакеты, помимо реализуемых ими сервисов, содержат файл XML descriptor и файл цифровой подписи (digital signature file). Во время загрузки ESXi в памяти создается "карта" содержимого каждого из VIB-пакетов, соответственно не требуется проверять каждый из его файлов, а достаточно проверить подпись пакета целиком (это быстрее работает).

Вот как выглядит процесс загрузки хоста ESXi с точки зрения Secure Boot:

  • Включение питания.
  • UEFI Firmware валидирует загрузчик ESXi Boot Loader на предмет соответствия сертификату Microsoft внутри микрокода UEFI.
  • ESXi Boot Loader валидирует компонент VM Kernel на предмет соответствия сертификату в Boot Loader.
  • VM Kernel запускает компонент Secure Boot Verifier.
  • Secure Boot Verifier валидирует каждый VIB-пакет на соответствие сертификату VMware, который находится в хранилище Secure Boot Verifier.
  • Запускаются необходимые сервисы управления (DCUI, hostd и т.п.).

При апгрейде VMware ESXi прошлых версий с помощью ESXCLI происходит обновление сигнатур VIB-пакетов, но Boot Loader остается прежним, поэтому когда вы включите Secure Boot - возникнет ошибка. Как следствие - нужно будет переустановить ESXi.

Если вы обновляете ESXi из ISO-образа, то для некоторых старых VIB-пакетов сигнатуры могут не обновиться (например, кастомные драйвера, которые вы устанавливали отдельно), что приведет к неудаче при безопасной загрузке. То есть для нормального обновления из ISO нужно, чтобы все VIB-пакеты в этом образе обновили все предыдущие VIB. Надо отметить, что VIB-пакеты уровня Community supported не поддерживаются для безопасной загрузки (так как они не подписаны).

В составе VMware vSphere 6.5 есть специальный скрипт, который проверяет возможность безопасного апгрейда прошлой версии платформы.

Сначала надо проверить, что серверы поддерживают UEFI secure boot. Далее надо убедиться, что все ваши VIB-пакеты имеют хотя бы уровень Partner Supported, и у вас нет Community Supported пакетов.

Если вы обновили хост на ESXi 6.5, то можно выполнить следующий скрипт для проверки возможности включения Secure Boot:

/usr/lib/vmware/secureboot/bin/secureBoot.py -c

Результатом будет строчка "Secure Boot can be enabled" или "Secure boot CANNOT be enabled".

Если вы включите Secure Boot в микрокоде сервера, но у вас есть неподписанные пакеты, то при загрузке сервера вы увидите розовый экран и сообщение о том, что нельзя проверить подписи VIB-пакетов:

Чтобы выйти из этой ситуации, надо выключить безопасную загрузку, удалить неподписанные VIB-пакеты и снова включить ее.

Еще одна фишка включенной функции Secure Boot - это то, что вы не сможете установить неподписанные VIB-пакеты с опцией force подобным образом:

"esxcli install software –d /drive/badvib.zip –force –<b>no</b>-sig-check"

Если говорить о модуле TPM, то он тут не участвует, и мало того - TPM 2.0 вообще не поддерживается со стороны VMware vSphere 6.5.

Ну и последнее. Если вы хотите использовать Secure Boot вместе с механизмом vSphere Auto Deploy, то вы должны добавить сертификат VMware в список UEFI firmware whitelist (DB). Это требуется потому, что только ESXi Boot Loader подписан сертификатом Microsoft, а часть кода PXE-загрузчика, которая грузится до Boot Loader, подписана сертификатом VMware. Более подробно об этом написано в KB 2148532.


Таги: VMware, vSphere, Security, ESXi, Blogs

Как сбросить основной Single Sign-On пароль к vCenter в VMware vSphere 6.x.


Как знают все администраторы vSphere, в инфраструктуре виртуализации есть основной пароль компонента Single Sign-On (SSO), являющегося частью служб Platform Service Controller (PSC). SSO отвечает за предоставление токена авторизации пользователю, который соединяется с vCenter и использует остальные решения, которые с ним интегрированы.

Если вы забыли пароль SSO, то никак не сможете администрировать основные службы PSC и vCenter. Также вы не сможете никаким способом повысить одного из пользователей с любой ролью до администратора SSO.

Но есть способ восстановить/сбросить пароль Single Sign-On, если вы используете vCenter Server Appliance (vCSA). Для этого нужно зайти на vCSA под пользователем root (его же вы не забыли, правда?):

После чего ввести команду для доступа к шеллу:

shell.set --enabled true

После этого напишите shell и нажмите Enter:

Далее запустите VDC админ-тул, и вы увидите вот такой результат:

Нажмите клавишу <3>, после чего у вас попросят ввести аккаунт (Account UPN), для которого будет сгенерирован временный пароль. Введите administrator@vsphere.local:

После этого с данным паролем войдите в vCenter Single Sign-On:

Ну а там уже перейдите в Administration>Single Sign On > Users и выберите Edit для пользователя Administrator. Там можно сменить пароль:

Это, кстати, говорит о том, что пароль root для vCenter Server Appliance нужно хранить особенно внимательно и не забывать.


Таги: VMware, SSO, Security, vSphere, vCenter, Blogs, Обучение, vCSA

Вышла финальная версия VMware vSphere 6.5 Security Configuration Guide (бывший Hardening Guide).


На прошлой неделе мы писали о том, что компания VMware выпустила релиз-кандидат своего основного документа по обеспечению безопасности виртуальной инфраструктуры. Ну а на днях вышла окончательная версия VMware vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).

В прошлом посте мы рассказывали о том, что 65% настроек, приведенных в документе, либо задаются администратором, либо уже сделаны VMware по умолчанию, и администратору лишь нужно регулярно проверять, что ничего не изменилось. Поэтому здесь мы подробнее остановимся на том, что было удалено из документа и добавлено в него, чтобы понимать, как у VMware построен процесс работы с аудитом основного руководства по безопасности.

Удаленные настройки

С каждым релизом vSphere команда инженеров VMware проводит аудит каждой настройки и сверяет ее актуальность в отношении текущего функционала vSphere. Например, были удалены рекомендации относительно настройки VM.disable-VMTools-autoinstall, которая подразумевала, что можно примонтировать некорректную исошку с тулзами, автоинстал которой поселит вредоносное ПО в вашу госетвую ОС. Но в vSphere 6.5 монтируются только подписанные исошки с VMware Tools, а значит эта опасность ушла. Ну и к тому же, дефолтная политика обновления ESXi подразумевает ручное обновление тулзов, а значит указанная настройка не вполне актуальна.

Второй пример - это настройка vCenter.verify-nfc-ssl, которая была удалена, поскольку VMware больше не поддерживает "толстый" C#-клиент. Ранее этот клиент не использовал SSL для транзакций копирования файлов (Network File Copy), хотя отдельной настройкой шифрование можно было включить. Сейчас это стало неактуально.

Ну а вот полный список удаленных настроек:

  • VM.disable-VMtools-autoinstall
  • VM.disable-unexposed-features-biosbbs
  • VM.disable-unexposed-features-getcreds
  • VM.disable-unexposed-features-toporequest
  • VM.disable-unexposed-features-trashfolderstate
  • VM.disable-vix-messages
  • VM.prevent-device-interaction-connect
  • VM.prevent-device-interaction-edit
  • vCenter.verify-nfc-ssl

Каждая из этих настроек была удалена по той причине, что либо она потеряла актуальность из-за того, что фичи больше нет, либо изменился рабочий процесс, касающийся этой настройки, либо изменилось дефолтное состояние настройки.

Добавленные настройки

Во-первых, в документ были добавлены новые колонки. Это DISA STIG ID (ссылка на соответствующие гайдлайны правительства США), а также "Hardening" и "Site Specific Setting". Колонка Hardening указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации, а Site Specific Setting говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.

Также была добавлена колонка "Audit Setting", которая говорит о том, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено администратором необоснованно. В то же время, они могут быть изменены осознанно в соответствии с корпоративными политиками, и в этом нет ничего плохого (например, настройка *timeout).

Например, настройка, которая была добавлена - это ESXi.Audit-SSH-Disable. По умолчанию доступ по SSH отключен для хостов ESXi, но иногда администраторы могут включать его для решения своих задач. Поэтому эта настройка и помечена как "Audit Setting".

Также появились настройки VM.Enable-VGA-Only-Mode и VM.disable-non-essential-3d-features. Первая отключает функциональность SVGA для виртуальной машины. Эта настройка помечена как Site Specific, то есть администратор с параноидальным уровнем отношения к безопасности может отключить SVGA-драйвер для консольных гостевых ОС, но эта настройка, конечно же, не помечена как Hardening, чтобы все повально не стали отключать SVGA-драйверы, а потом писали письма в поддержку с вопросом о том, чего это не работает гостевая ОС.

Настройка disable 3D по умолчанию отключена, но помечена как "Audit Setting", чтобы время от времени просматривать, не включил ли ее зачем-то администратор.

Отметим, что никаких значительных изменений с момента релиз-кандидата документа не произошло. Скачать финальную версию VMware vSphere 6.5 Security Configuration Guide можно по этой ссылке (там же находятся и остальные руководства по безопасности от VMware).


Таги: VMware, vSphere, Security, Hardening, Whitepaper

Вышел vSphere 6.5 Security Configuration Guide (бывший Hardening Guide) - Release Candidate.


Компания VMware на днях выпустила Release Candidate версию своего основного руководства по обеспечению безопасности виртуальной среды серверной виртуализации - vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).

Традиционно Hardening Guide представляет собой Excel-табличку с необходимыми конфигурациями серверов ESXi, виртуальных машин, сетей и т.п. для обеспечения безопасной работы виртуальной инфраструктуры на различных уровнях (от легкой до параноидальной защиты):

Интересная картинка, которую приводит VMware в отношении состояния конфигурационных настроек по умолчанию при развертывании среды vSphere:

Здесь раздел "Non-Hardening" означает, что рекомендуемые с точки зрения безопасности настройки либо уже выставлены по умолчанию, либо задаются пользователем (например, IP-адрес сервера NTP). Оставшиеся 35% настроек как раз могут быть изменены администратором vSphere, чтобы сделать инфраструктуру более защищенной.

Однако помните, что повышение уровня безопасности неизбежно рождает повышение уровня геморроя в связи с бОльшими неудобствами пользователей и администраторов, которые должны делать больше дополнительных действий и ждать дольше завершения рабочих процессов. Очевидно, что безопасность - это палка о двух концах.

Пока в документе всего 68 настроек, но не исключено, что их количество будет увеличено. Соответственно, как Hardening предполагается всего 24 настройки.

18 из этих настроек - это настройки раздела VM.disable-unexposed-features.*, которые касаются скрытых/недокументированных возможностей ВМ, а остальные 6 настроек касаются следующего:

  • 3 штуки - это настройки стандартного vSwitch из значений accept в reject (эти рекомендации есть еще со времен самого первого Hardening Guide).
  • 1 настройка - это BPDU filter.
  • 1 штука - это просто рекомендация своевременно патчить хосты ("Apply your ESXi patches").
  • 1 настройка - это "Disable TLS 1.0/1.1", то есть отключение старых версий протокола TLS, у которых есть проблемы с безопасностью (более подробно смотрите тут).

TLS 1.0/1.1 не отключен по умолчанию, так как некоторые системы продолжают использовать его, соответственно отключение может привести к различным проблемам, поэтому делать это нужно осознанно.

Из руководства были удалены рекомендации, касающиеся следующих настроек (сделано это было после консультаций с инженерами vSphere):

VM.disable-VMtools-autoinstall
VM.disable-unexposed-features-biosbbs
VM.disable-unexposed-features-getcreds
VM.disable-unexposed-features-toporequest
VM.disable-unexposed-features-trashfolderstate
VM.disable-vix-messages
VM.prevent-device-interaction-connect
VM.prevent-device-interaction-edit
vCenter.verify-nfc-ssl

Скачать документ VMware vSphere 6.5 Security Configuration Guide и оставить фидбэк по нему можно по этой ссылке. Финальная версия ожидается 13 апреля.


Таги: VMware, vSphere, Security, Hardening, Update

Что такое и как работают умные политики (Smart Policies) в инфраструктуре VMware Horizon 7.


Как знают администраторы инфраструктур виртуальных ПК, построенных на базе VMware Horizon 7, в последней мажорной версии решения VMware User Environment Manager 9.0 (UEM) появилась интересная возможность - умные политики (Smart Policies). Эта функциональность позволяет применять настройки пользовательского окружения в виртуальном ПК в зависимости от различных условий, например, места, из которого логинится пользователь.

Вот какая функциональность клиентского доступа может контролироваться средствами умных политик:

  • USB redirection – определяет, может ли пользователь локально подключать USB-устройства, такие как флешки, камеры или принтеры, и прокидывать их в свой виртуальный ПК.
  • Printing - контролирует, разрешено ли пользователю распечатывать документ из виртуального ПК на сетевом или USB-принтере, присоединенном к клиентскому компьютеру.
  • Clipboard - контролирует, можно ли пользователю копировать и вставлять текст и графику из клиентского компьютера в виртуальный ПК, из виртуального ПК в клиентский компьютер, в оба направления или ни в какие.
  • Client drive redirection - контролирует шаринг папок клиентского компьютера и виртуального ПК. Для этого режима можно использовать, например, настройку Read Only.
  • HTML Access file transfer (доступно, начиная с User Environment Manager 9.1) - контролирует, можно ли загружать и скачивать файлы с виртуального ПК через HTML Access.
  • Bandwidth profile - определяет скорость доступа, на которой агент будет пытаться поддерживать сессию с виртуальным ПК. Например, предотвращает попытку передачи данных на скорости выше чем физическая пропускная способность соединения. Настройка эта определяет режим как для протокола Blast Extreme, так и для PCoIP (только в UEM 9.1 и выше).

Политики работают следующим образом: вы выбираете настройки для фичей Horizon 7, которые вы хотите контролировать согласно специфическим условиям, при которых политики вступают в силу. Если вы не определите конкретных условий, то политики будут применены ко всем пользователям в контейнере OU, настроенном для User Environment Manager. Настройки всегда применяются при логине пользователя. Но можно настроить и триггеры, при срабатывании которых можно принудительно применить настройки и в другое время, например, при реконнекте пользователя к десктопу или приложению.

Политики применяются только к пользователям, подпадающим под некоторые условия. Если пользователь им не соответствует, то применяются дефолтные политики, относящиеся ко всем пользователям в пуле.

Давайте рассмотрим это на конкретном примере. Допустим мы хотим сделать так, чтобы пользователи виртуальных ПК (например, только отдел HR), соединяясь из внутренней среды предприятия со своим виртуальным ПК, могли копировать данные через буфер обмена и могли подцепить USB-устройство к виртуальному десктопу, чтобы скопировать с него данные. При этом для доступа через протокол Blast Extreme или PCoIP должен применяться сетевой профиль для локальной сети (LAN).

Откроем Management Console средства User Environment Manager, слева выберем Horizon Smart Policies и нажмем Create:

Первое, что мы выбираем после настроек имени и тэга - это фичи, которые будут активированы и их параметры. Настроим их так, чтобы проброс устройств (USB redirection) был включен, операции с буфером обмена тоже, а профиль для скорости доступа установлен в LAN:

Далее переходим на вкладку Conditions - это условия срабатывания политик. Нажимаем кнопку Add и выбираем свойство Client location, которое устанавливаем в Internal (пользователи, соединяющиеся изнутри компании через View Connection Server):

Здесь же вы могли бы установить его и в External. В этом случае политики бы применялись для клиентов, которые работают через Access Point appliance или Security Server (то есть соединения приходят из WAN-сети).

Далее добавим еще одно условие - имя пула виртуальных десктопов. В данном случае мы знаем, что, например, у HR-отдела они все начинаются с префикса "HR". Создадим такое условие:

Тут же, на вкладке Conditions, можно задавать параметры комбинации условий срабатывания политик. По умолчанию это оператор AND, что значит, что все условия должны быть соблюдены:

Теперь перейдем к триггерам (нужно выбрать раздел Triggered Tasks слева). Там же нажмем кнопку Create и увидим такую картину:

Здесь мы задаем собственно сам триггер (Reconnect session - то есть когда пользователь переподключился к своему ПК), а также действие, которое выполняется в при его срабатывании. Выберем здесь User Environment refresh (то есть переинициализация окружения с применением умных политик).

Далее нужно отметить галкой, что мы применяем действия триггера к Horizon Smart Policies:

На этом простейшие операции с умными политиками заканчиваются. Как вы уже поняли, по аналогии настраиваются и политики при доступе к виртуальным ПК извне, где можно наоборот запретить подключение USB-устройств и копирование данных через буфер обмена.

Если вам окажется мало этих знаний - загляните в документ "Reviewer’s guide for View in VMware Horizon 7: Smart Policies", в котором есть много интересной информации о работе умных политик.


Таги: VMware, Horizon, Security, View, VDI

Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.


В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?


Таги: 5nine, Security, Windows, Server, Cloud, Azure

Как сбросить пароль root на VMware vCenter Server Appliance.


Вчера мы писали о том, как работают средства высокой доступности (HA) виртуального модуля VMware vCenter Server Appliance, а сегодня расскажем про то, как восстановить пароль на сервере vCSA 6.5.

Как вы возможно знаете, в VMware vSphere 6.5 для виртуального модуля vCSA поменялась хостовая ОС - теперь это собственная ОС VMware - Photon OS, а значит все предыдущие способы восстановления пароля root работать не будут. Перед восстановлением пароля обязательно сделайте резервную копию виртуального модуля или хотя бы снимите его снапшот.

Для того, чтобы сбросить пароль root на vCenter Server Appliance, нужно:

1. Сразу же после загрузки нажать клавишу <e>, чтобы зайти в меню GNU GRUB Edit Menu.

2. Найти секцию, в которой происходит инициализация запуска Linux (она начинается со слова "linux"), и добавить в ее конец следующую строчку:

rw init=/bin/bash

3. После этого нажмите <F10>, чтобы продолжить загрузку.

4. Далее в командной строке введите команду:

passwd

и задайте пароль root.

5. Затем размонтируйте файловую систему следующей командой:

umount /

6. Перезагрузите vCenter Server Appliance 6.5, выполнив следующую команду:

reboot -f

7. После этого пароль root на vCenter Server Appliance будет сброшен. Не забудьте удалить снапшот, если вы его делали, после того как убедитесь, что новый пароль установлен.


Таги: VMware, vCenter, Server, Appliance, vCSA, Обучение, Security

О реальной безопасности виртуализации: VMware Workstation 12.5 взломали без труда.


Недавно мы писали о том, что компания VMware выпустила обновленные версии своих настольных платформ виртуализации - Workstation 12.5 и Fusion 8.5. Для тех, кто не знает, первая версия Workstation была выпущена еще в 1999 году, то есть 17 лет назад.

То есть, казалось бы, с безопасностью должно давно быть все в порядке. Между тем, на прошлой неделе в Южной Корее проходил слет по информационной безопасности PwnFest (в рамках конференции Power of Community), где различным командам хакеров давали на взлом наиболее популярные продукты. Среди них была и платформа VMware Workstation.

Так вот VMware Workstation 12.5 сломали без проблем сразу 2 команды хакеров, используя уязвимость с переполнением буфера для механизма Drag and Drop между хостом и гостевой ОС.

Эта уязвимость позволяет из гостевой ОС выполнять операции на хостовой машине, то есть уязвимость критическая. Механизму DnD между хостом и гостем уже сто лет в обед, а оказывается его без особых проблем можно сломать (для квалифицированных людей, само собой).

VMware уже исправила эту уязвимость и выпустила исправление. Обновленные версии продуктов можно скачать по этим ссылкам:

Ну а отключить Drag and Drop для Workstation можно вот в этом разделе интерфейса:

Еще одно доказательство того, что безопасность - эфемерна.


Таги: VMware, Workstation, Fusion, Security

Разница в шифровании на уровне виртуальных машин в VMware vSphere 6.5 и на уровне кластера Virtual SAN 6.5.


Как вы уже знаете, в новой версии платформы виртуализации VMware vSphere 6.5 появилось шифрование на уровне виртуальных машин, которое так давно запрашивали пользователи.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Между тем, на уровне отказоустойчивого кластера хранилищ Virtual SAN также есть возможность шифрования их содержимого. Как же эти два вида шифрования соотносятся между собой, и зачем они оба нужны?

Для начала посмотрим, как это работает на примере схемы шифрования на уровне виртуальных машин:

VM Encryption реализован на уровне программного интерфейса VAIO (vSphere APIs for IO Filters), который позволяет специальному фильтру обрабатывать команды ввода-вывода непосредственно до того, как они поступят в виде блоков на устройство хранения (помимо шифрования, фильтры могут еще и некоторым другим образом обрабатывать ввод-вывод).

Непосредственно - это означает, перед тем как отправить конечную команду ввода-вывода на устройство, фреймворк VAIO проверяет, назначено ли шифрование для ВМ в политике хранения (Storage policy), и если это так - то команда процессится на уровень соответствующего I/O-фильтра, после чего сразу же отправляется на блочный девайс.

Таким образом, на самом нижнем уровне происходит шифрование ввода-вывода, и это очень безопасно. Зато не очень удобно - зашифрованные таким образом блоки, поступающие в пространство хранения VSAN теперь уже не могут быть эффективно дедуплицированы (малая вероятность совпадения блоков), а также и сжаты - ведь шифрованные данные обладают большой энтропией, а значит неэффективны для алгоритмов сжатия.

Поэтому в кластере VSAN, где на первом плане, как правило, эффективность хранения виртуальных машин в плане экономии дискового пространства, шифрование организуется иным образом. Тут используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Поэтому шифрование на уровне кластера VSAN - это настройка также на уровне всего кластера. Таким образом, ключевые отличия данных методов шифрования состоят в следующем:

  • Шифрование уровня ВМ (VM Encryption) средствами VAIO:
    • Основано на политиках хранения (и включается для конкретной ВМ)
    • Передача данных также шифрована (vMotion)
    • Дедупликация на целевом хранилище неэффективна
  • Шифрование уровня кластера хранилищ (vSAN Encryption):
    • Включается для всего кластера в целом
    • Данные передаются между хостами в незашифрованном виде, но в кэше хранятся шифрованными
    • Полная совместимость со всеми сервисами VSAN, такими как компрессия и дедупликация

Таги: VMware, vSphere, VSAN, Security, Virtual SAN

Шифрование виртуальных машин в VMware vSphere 6.5 - как это работает?


Не так давно мы писали о новых возможностях платформы виртуализации VMware vSphere 6.5, где впервые появилась так давно запрашиваемая администраторами функция шифрования, как содержимого виртуальных дисков, так и шифрования горячих миграций vMotion.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

Шифрование объектов ВМ идет за ее пределами, таким образом гостевая ОС не имеет доступа к ключам шифрования. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Чтобы начать шифровать виртуальную машину, нужно назначить ей соответствующую политику хранения (Storage Policy):

Как работает VM Encryption в VMware vSphere 6.5:

  • Пользователь назначает политику VM Encryption на уровне виртуальной машины.
  • Для машины генерируется случайный ключ и шифруется ключом из key manager (KMS Key).
  • При включении ВМ сервер vCenter получает ключ из Key Manager, посылает его в VM encryption Module на сервере ESXi, что разлочивает ключ в гипервизоре.
  • Далее все операции ввода-вывода идут через encryption module, шифруя все входящие и исходящие SCSI-команды прозрачно для гостевой ОС.

Все это совместимо со сторонними системами управления ключами (и требует одну из них), которые построены на стандарте KMIP версии 1.1 или выше:

 

Для того, чтобы расшифровать виртуальную машину и хранить далее ее в обычном формате, нужно просто поставить дефолтную политику хранения (Datastore default).

Также будет специальный командлет PowerCLI, который может шифровать/расшифровывать ВМ, а также определять, какие из них в данный момент зашифрованы.

vCenter в системе шифрования работает только как клиент. Для управления ключами используется Key Management Server (KMS).

В механизме управления привилегиями теперь появилась роль No Cryptography Administrator. Если ее назначить, то стандартному администратору будут запрещены следующие привилегии:

  • Manage key servers
  • Manage keys
  • Manage encryption policies
  • Console access to encrypted VMs
  • Upload/download encrypted VMs

В качестве KMS можно использовать любые внешние системы, работающие по стандарту KMIP:

При использовании шифрования ВМ нужно учитывать следующие моменты:

  • Да, вам понадобится система управления ключами (внешний Key Management Server)
  • Не поддерживаются возможности SAN Backup.
  • Если для обычного метода бэкапа сделать резервную копию - она будет нешифрованной, если восстановить - то все будет в соответствии с политикой целевого хранилища (то есть, ВМ может оказаться незашифрованной после восстановления).
  • Сам сервер vCenter не может быть зашифрован - иначе его просто было бы нельзя включить.
  • Также не поддерживаются следующие возможности:
    • Suspend/resume
    • Шифрование ВМ со снапшотами и создание снапшотов для шифрованных ВМ
    • Serial/Parallel port
    • Content library
    • vSphere Replication

Для vMotion шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Есть 3 политики для шифрованного vMotion:

  • Disabled - отключено.
  • Opportunistic - шифрование только в случае, если это поддерживает источник и целевой хост ESXi, в противном случае vMotion будет нешифрованным.
  • Required - обязательно будет использоваться.

Перенос машин между хостами осуществляется путем обмена одноразовыми ключами, которые генерируются и обслуживаются сервером vCenter (не KMS).

В целом, шифрование виртуальных машин и миграций vMotion - штука классная, но помните, что вам потребуется для организации этого процесса внешний KMS-сервер.


Таги: VMware, VMachines, Security, vMotion, Update

Анонсирована новая версия платформы виртуализации VMware vSphere 6.5.


На проходящей сейчас конференции VMworld Europe 2016 в Барселоне компания VMware анонсировала скорую доступность новой версии своего флагманского продукта - серверной платформы виртуализации VMware vSphere 6.5.

Давайте посмотрим на новые возможности VMware vSphere 6.5:

1. Шифрование виртуальных машин (VM Encryption).

Наконец-то в vSphere появилось шифрование на уровне виртуальных дисков VMDK, работающее независимо от гостевой ОС в виртуальной машине.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

2. Шифрование трафика горячей миграции ВМ (vMotion Encryption).

Эта фича давно запрашивалась пользователями, и вот она наконец реализована в VMware vSphere 6.5. Шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Эта функция отключена по умолчанию и может быть включена для нешифрованных ВМ, но для шифрованных ВМ она используется в обязательном порядке.

3. Поддержка безопасной загрузки (Secure Boot).

Теперь при загрузке UEFI firmware валидирует цифровую подпись ядра VMkernel в соответствии с сертификатом, хранящемся в firmware. Это не позволяет постороннему ПО модифицировать ядро гипервизора, это же относится и к пакетам в VIB-формате, которые теперь также используют данный механизм валидации цифровой подписи после установки.

Механизм Secure Boot также теперь работает и для виртуальных машин (Windows и Linux):

4. Улучшенное логгирование (Enhanced Logging).

Тридиционно логи ESXi были предназначены для целей решения проблем, но не фокусировались на безопасности и фиксировании ИТ-операций. Теперь этот механизм был значительно переработан - он стал событийно-ориентированным.

То есть, теперь если происходит какое-нибудь событие, например, меняется конфигурация виртуальной машины, мы видим это в логе. Это помогает в управлении конфигурациями. Кроме того, если мы, например, переместим ВМ с виртуального свича PCI-vSwitch (защищенный) на Non-PCI-vSwitch (незащищенный) - мы сразу увидим это в логе, что отлично поможет в обеспечении безопасности:

Ну и, конечно же, решение VMware Log Insight теперь будет давать более детальную и структурированную информацию из логов.

5. Автоматизация управления жизненным циклом ВМ.

В vSphere 6.5 продукт VMware Update Manager (VUM) был окончательно интегрирован с VMware vCenter Server Appliance и полностью поддерживает все операции по патчингу и обновлениям. Теперь не нужно его отдельно устанавливать и интегрировать - он полностью готов к использованию.

Также функции VMware Host Profiles появились в vSphere Web Client, и для них был переработан интерфейс:

Для Host Profiles появились возможности простого копирования профилей в другие конфигурации через CSV-файл, в котором можно указать профили групп хостов. Также более плотная интеграция с DRS позволяет автоматизировать приведение хостов в соответствие с нужно конфигурацией с использованием режима Maintenance Mode.

Кроме того, был существенно доработан механизм Auto Deploy - он теперь имеет полноценный графический интерфейс и интегрирован с Web Client:

Теперь нет необходимости использовать PowerCLI для определения правил развертывания новых хостов ESXi. Также Auto Deploy интегрирован с VMware HA и теперь поддерживает UEFI hardware.

6. Функции Proactive HA.

Это очень интересная штука. Теперь в сотрудничестве с вендорами железа компания VMware разработала механизм проактивного обнаружения скорого сбоя хоста по датчикам аппаратных сенсоров (hardware sensors). В случае обнаружения скорого отказа хост помещается в режим Quarantine Mode. В этом режиме на него не мигрируют новые машины через механизм DRS, который пытается, в то же время, работающие ВМ убрать с проблемного хоста.

7. Функция vSphere HA Orchestrated Restart.

Теперь VMware HA позволяет учитывать взаимосвязи сервисов в виртуальных машинах при их рестарте в случае сбоя на основе заданных правил зависимостей VM-to-VM по приоритетам восстановления.

8. Упрощенный HA Admission Control.

Раньше то, как работает HA Admission Control, могли понять не все. Теперь администратор должен определить только параметр host failures to tolerate (FTT) - то есть, сколько отказов хостов должна пережить виртуальная инфраструктура с запасом по вычислительной емкости:

Также можно задать процент допускаемого падения ресурсов в случае отказа хостов ESXi.

9. Улучшения Fault Tolerance (FT).

Теперь DRS плотнее интегрирован с FT - при принятии решения о плейсменте FT-машин учитывается пропускная способность хоста по сети, что критически важно для таких ВМ.

Сам механизм Fault Tolerance был существенно доработан с точки зрения оптимизации использования канала. Также важно, что теперь Fault Tolerance умеет использовать сразу несколько физических интерфейсов для FT Logging (как и ранее vMotion). То есть теперь можно свободно применять несколько адаптеров для FT, если весь этот трафик не помещается в один NIC.

10. Новые DRS Advanced Options.

Теперь появились 3 новые опции для расширенных настроек механизма DRS:

  • VM Distribution - эта настройка устанавливает равномерное распределение ВМ по количеству в кластере (в целях высокой доступности - чтобы не вышли в офлайн сразу много машин одного хоста).
  • Memory Metric for Load Balancing - по умолчанию DRS прибавляет 25% к активной памяти ВМ при вычислении требуемых ресурсов. Здесь можно поставить вместо активной памяти параметр потребленной в данный момент памяти (consumed).
  • CPU over-commitment - эта опция позволяет перекрыть соотношение vCPU:pCPU в кластере.

11. Функции Network-Aware DRS.

Теперь DRS не мигрирует и не помещает ВМ на хосты, где утилизация сетевых ресурсов превышает 80%. Раньше DRS было пофиг, что там на хостах ESXi происходит с использованием физических аплинков.

12. Интеграция SIOC и SPBM.

Теперь функции Storage IO Control работают с использованием политик хранилищ (Storage Policies) и IO limits на базе механизма vSphere APIs for IO Filtering (VAIO). Через фреймворк Storage Based Policy Management (SPBM) администраторы могут определить пороговые значения для IOPS и политики хранилищ и назначить их виртуальной машине:

13. Улучшения Content Library.

Мы уже писали о компоненте Content Library, который упрощает использование образов для распределенной географически инфраструктуры. Теперь можно смонтировать ISO-образ и накатить профиль кастомизации прямо из Content Library.

14. Улучшения интерфейсов разработчика и автоматизатора.

Теперь появился API Explorer, через который удобно узнавать о функциях vSphere REST APIs для решения каких-либо административных или разработческих задач:

Также тут можно попробовать исполнение примера процедуры.

Кроме этого, механизм PowerCLI теперь полностью модульный. Также ESXCLI, который является частью интерфейсов vCLI, получил множество новых команд, поддерживает функции VSAN iSCSI и имеет множество других улучшений.

Ну и появился интерфейс Datacenter CLI (DCLI), который может вызывать vSphere REST APIs:

15. Улучшения vSphere with Operations Management (vSOM).

Тут множество действительно серьезных улучшений. vRealize Operations Manager (vROps) обновлен до версии 6.4, появилось множество новых дэшбордов (Operations Overview, Capacity Overview и Troubleshoot a VM) и средств анализа. Также был анонсирован Log Insight 4.0.

16. Улучшения vCenter Server Appliance.

Теперь vCSA имеет следующие эксклюзивные возможности по сравнению с традиционным vCenter:

  • Функцию Migration

Эту возможность Migration Tool для миграции сервисов vCenter в среду vCSA мы уже описывали вот тут.

  • Улучшенные средства управления виртуальным модулем

Здесь мы видим средства мониторинга состояния виртуального модуля vCSA и его компонентов (БД и т.п.):

  • Интегрированный VMware Update Manager (см. пункт 5)
  • Функции Native High Availability для обеспечения доступности vCenter

Эта функция позволяет обеспечить доступность для сервисов vCSA (обычный vCenter не поддерживается), развернув 2 экземпляра виртуального модуля и компонент Witness, обеспечивающий защиту от ситуации Split Brain:

  • Встроенные механизмы бэкапа и восстановления vCSA

Виртуальные модули vCenter Server и Platform Services Controller могут быть забэкаплены через VAMI или API вместе с компонентами VUM и Auto Deploy, которые располагаются вместе с vCSA. Резервная копия будет содержать набор необходимых файлов, которые будут переданы на целевое хранилище по протоколам SCP, HTTP(s) или FTP(s).

17. Чуть доработанный vSphere Web Client.

Да, тонкий клиент сейчас, по-прежнему, работает на базе Adobe Flex и требует Adobe Flash, что может потенциально вызвать проблемы с производительностью. Между тем, сообщают, что у веб-клиента появилось множество улучшений, включая переработанный интерфейс:

Веб-клиент vSphere доступен по этой ссылке:

http://<vcenter_fqdn>/vsphere-client

18. Новый vSphere Client.

О тонком HTML5-клиенте для платформы vSphere мы уже писали очень много (последний раз тут). Он скоро заменит толстый C#-клиент. Он полностью поддерживается для vSphere 6.5, но не имеет пока полного набора фичей, необходимого для управления платформой vSphere и всеми ее компонентами:

vSphere Client доступен по этой ссылке:

http://<vcenter_fqdn>/ui

Тем не менее, переход на HTML5 Client планируется в ближайшее время. Не успели, видимо, парни к релизу!)

Ожидается, что VMware vSphere 6.5 будет доступна до конца 2016 года. Ждем. Ну а в ближайшее время мы расскажем про анонсированные новые версии продуктов vRealize Automation 7.2, VMware Virtual SAN 6.5, SRM 6.5 и Virtual Volumes 2.0.


Таги: VMware, vSphere, Update, ESXi, Automation, Security, vCenter

Интересная бесплатная утилита - Netwrix Change Notifier for VMware.


У компании Netwrix, выпускающей средства аудита программных решений в виртуальных и физических инфраструктурах, оказывается есть полезное решение, которое может помочь администраторам VMware vSphere в отслеживании изменений, происходящих в компонентах платформы.

Бесплатная утилита Netwrix Change Notifier for VMware позволяет осуществлять мониторинг событий в виртуальной инфраструктуре и оповещать администраторов об изменениях на регулярной основе. Это средство отслеживает изменившиеся конфигурации виртуальных датацентров, хостов VMware ESXi, пулов ресурсов, кластеров, папок, самих виртуальных машин и других объектов.

В результате аудита администратору каждые 24 часа предоставляется отчет по электронной почте в следующем виде (кликабельно):

Очень полезно, что мы видим не только изменения настроек в соответствующих компонентах, но и добавление или удаление объектов. Естественно, под эгидой бесплатной утилиты Netwrix продает и платное решение Netwrix Auditor, которое скажет, кто и когда делал изменения, предоставит расширенный поиск по событиям и репортинг нескольким пользователям, но для маленькой инфраструктуры Change Notifier окажется вполне достаточным.

Feature Change Notifier Netwrix Auditor
Automatic daily email reports showing all changes made during the last day
Details on what changed in VMware
Who, when and where details for every change
Before and after values for all modifications
Predefined reports based on SQL Server Reporting Services, with filtering, sorting and exporting options
Google-like search of audit data with custom search queries and custom reports
Out-of-the-box compliance reports mapped to specific regulatory standards (PCI DSS, HIPAA, SOX, FISMA/NIST800-53 and ISO/IEC 27001)
Long-term storage of audit data in a two-tiered (file-based + SQL database) storage system
Email subscriptions to scheduled reports with the ability to choose multiple recipients (or specific folders), delivery frequency and delivery format
Reports on virtual machine sprawl statistics over a selected period of time
Single installation that handles multiple VMware vSphere instances, each with its own unique settings
Advanced cross-system auditing and reporting

Скачать Netwrix Change Notifier for VMware можно по этой ссылке.


Таги: Netwrix, Utilities, VMware, vSphere, Security, ESXi

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).


Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД.


Таги: 5nine, Security, VMware, NSX, Microsoft, Hyper-V

Обновленный vGate R2 3.0 от "Кода безопасности" - полный список новых возможностей.


Недавно мы писали о том, что новая версия vGate R2 3.0 от компании "Код безопасности" поступила в продажу. vGate - это главное в России средство, позволяющее безопасно настроить инфраструктуру согласно различным требованиям (в том числе государственных регуляторов) с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам. Сегодня мы рассмотрим полный список новых возможностей этого продукта.


Таги: vGate, Security Code, Update, Security, Cloud, SC VMM, Hyper-V, VMware, vSphere

Обновленные версии vGate 3.0 от "Кода безопасности" (vGate R2 и vGate-S R2) поступили в продажу!


Среди компаний, имеющих в своей производственной среде виртуальную инфраструктуру VMware vSphere или Microsoft Hyper-V, многие применяют для защиты виртуальных сред средство vGate R2 от компании "Код безопасности", позволяющее безопасно настроить инфраструктуру согласно различным требованиям с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам.

На днях компания "Код безопасности" объявила о том, что обновленные версии продуктов vGate R2 и vGate-S R2 (релиз 3.0) для защиты сред виртуализации на базе VMware vSphere и Microsoft Hyper-V поступили в продажу. Напомним, что о возможностях прошлой версии мы уже писали вот тут, а в этом разделе мы собираем все новости о решении vGate (включая анонсы третьей версии).

Новая версия vGate R2 3.0, прежде всего, отличается расширенными возможностями работы в распределенных инфраструктурах и изменением схемы лицензирования. В результате заказчики vGate смогут получить функционал продукта, в наибольшей степени отвечающий целям и задачам организации. Обновленная версия vGate (vGate R2 и vGate-S R2, релиз 3.0) поддерживает расширенный набор инструментов работы с платформами виртуализации VMware vSphere и Microsoft Hyper-V.

Ниже приведены основные нововведения новой версии vGate 3.0:

  • В vGate 3.0 реализована полнофункциональная работа на платформе VMware vSphere 6. В качестве сервера управления инфраструктурой виртуализации теперь может выступать vCenter Server Appliance (VCSA), а управление ESXi-хостами может осуществляться посредством ESXi Embedded Host Client.
  • Обновленный продукт осуществляет поддержку управления инфраструктурой на базе Microsoft Hyper-V через System Center Virtual Machine Manager, а управление кластерами Hyper-V реализовано через Failover Cluster Manager.
  • Для быстрой настройки привилегий пользователей используется ролевая модель доступа. При создании учетной записи можно ограничить доступ по типам объектов, предоставив его, например, только к виртуальным машинам или сетевым объектам.
  • У продукта появился ряд новых функций для работы в Enterprise-инфраструктурах. Например, реализована поддержка режима горячего резервирования и автопереключение сервера авторизации (High-Availability cluster). В случае потери работоспособности основного сервера в автоматическом режиме происходят переключение на резервный сервер, замена IP-адреса и оповещение администратора.
  • Обновленная версия продукта позволяет работать с несколькими площадками виртуализации одновременно (этот функционал доступен только в Enterprise-редакции продукта - он будет очень полезен в крупных инфраструктурах). Механизм подключения агента аутентификации к нескольким серверам авторизации vGate дает возможность взаимодействовать со всей территориально распределенной виртуальной инфраструктурой. Построение леса серверов авторизации позволяет устанавливать групповые политики безопасности, а поддержка функции Cross vCenter vMotion обеспечивает в случае аварий миграцию виртуальных машин между серверами с сохранением политик безопасности.
  • Помимо этого, в vGate версии 3.0 обновлены наборы политик безопасности, обеспечивающие соответствие приказам ФСТЭК России №17 и №21, стандартам СТО БР ИББС, PCI DSS и другие.

Новые версии vGate R2 и vGate-S R2 применимы для защиты конфиденциальной информации и государственной тайны. Продукты прошли инспекционный контроль ФСТЭК России в подтверждение выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383.

vGate 3.0 можно приобрести в одной из двух редакций: Standard или Enterprise (для которой доступны все функции работы в крупных инфраструктурах). Ниже приведены основные отличия этих изданий:

Получить дополнительную информацию о технических особенностях vGate и направить запрос на получение демо-ключа можно по e-mail: vgateinfo@securitycode.ru. Более подробная информация о решении представлена на странице продукта vGate R2.


Таги: Security Code, vGate, Security, VMware, vSphere, Microsoft, Hyper-V

VMware GOLD vApp STIG Assessment and Remediation Tool (START) - приложение Docker для выявления и исправления проблем безопасности Linux-машин.


На сайте проекта VMware Labs появилось интересное средство - VMware GOLD vApp STIG Assessment and Remediation Tool (START), которое представлет собой Docker-контейнер, способный обследовать любую удаленную Linux-систему по протоколу Security Content Automation Protocol (SCAP) в реализации OpenSCAP и исправить найденные уязвимости согласно стандарту STIG (Security Technical Implementation Guide).

На базе преконфигуренных шаблонов утилита START может обнаруживать уязвимости в других системах, после чего к ним можно применять различные действия средствами Ansible. Вы также можете видеть результаты обследования и исправления систем (assessment reports, remediation reports и hardening reports). Отчеты имеют метку времени и детали о каждой машине для быстрой идентификации системы. Кроме того, можно проверить последние полученные отчеты на различия в соответствии, а также можно указать произвольные xml-файлы отчетов для сравнения.

При проверке соответствия системы возможны два действия с найденными проблемами: remediation и hardening. Различие между ними в том, что при remediation фиксы накладываются только для тех пунктов, где найдено несоответствие системы определенной в шаблоне конфигурации, а при hardening накладываются все фиксы, независимо от текущего состояния системы.

VMware выпустила большую серию обучающих видеороликов, разъясняющих подробности работы утилиты START:

Срество VMware GOLD vApp STIG Assessment and Remediation Tool доступно для загрузки с GitHub по этой ссылке. Текст лицензии доступен тут.


Таги: VMware, Docker, Linux, Labs, Security

Для чего нужен и как работает механизм True SSO в инфраструктуре виртуальных ПК VMware Horizon.


Как многие из вас знают, в последней версии решения VMware Horizon 7 появился механизм аутентификации True SSO. Эта штука связывает средство единой аутентификации VMware Identity Manager с решением VMware Horizon 7 для решения задач одноразовой аутентификации пользователя различными методами (пароль, смарт-карта и т.п.), чтобы после этого он получал доступ к своему виртуальному ПК и приложениям без дополнительной аутентификации в Active Directory.

Задача эта важна, поскольку, например, VMware Horizon View используется в медицинских учереждениях, а там важно, чтобы врач получал мгновенный доступ к своему ПК, который может быть виртуальным. С помощью True SSO он теперь может просто приложить смарт-карту, после чего получит доступ к своим виртуальным ресурсам, на которые даны разрешения в инфраструктуре VMware View.

VMware Identity Manager Standard включен в издания VMware Horizon 7 Advanced и Enterprise, поэтому вы сразу можете приступать к работе через механизм True SSO. Суть работы этого механизма такова - сначала пользователь авторизуется через принятый в компании метод авторизации. Это может быть один из следующих (то, что поддерживает Identity Manager):

  • RSA SecurID
  • Kerberos
  • RADIUS authentication
  • RSA Adaptive Authentication
  • Сторонние провайдеры аутентификации, например, биометрические системы.

Далее пользователь уже может запустить любой десктоп или hosted-приложение уже без необходимости ввода своих паролей в Active Directory или какой-либо другой аутентификации. True SSO использует механизм SAML (Security Assertion Markup Language) для того чтобы передать User Principal Name (например, jdoe@example.com) к службе аутентификации, чтобы получить доступ к учетной записи AD. Затем Horizon 7 генерирует краткосрочные сертификаты для логина в гостевую ОС Windows виртуального ПК.

Преимущества этого метода таковы:

  • Отделение процесса аутентификации от непосредственно доступа к виртуальному ПК и приложениям (пользователь точно знает, что аутентифицироваться он будет лишь однажды - как подошел к компьютеру).
  • Повышенная безопасность - весь обмен идет на базе сертификатов, и пароли не гуляют по датацентру.
  • Поддержка большого набора методов аутентификации, приведенных выше. Если мы захотим поменять используемый метод - это не затронет инфраструктуру в целом.

Вот как работает True SSO:

1. Пользователь аутентифицируется в VMware Identify Manager одним из способов описанных выше. После этого пользователь выбирает десктоп или приложение из доступных ему, которое он хочет запустить, в консоли VMware Identity Manager.

2. Запускается Horizon Client под учетными данными пользователя, а его креды перенаправляются на View Connection Server.

3. View Connection Server валидирует идентификацию пользователя в Identify Manager путем отсылки SAML-запроса.

4. За счет использования службы Enrollment Service, Horizon 7 просит службу Microsoft Certificate Authority (CA) сгенерировать временный сертификат от имени пользователя.

5. Horizon 7 показывает этот сертификат ОС Windows виртуального ПК.

6. Windows аутентифицирует через этот сертификат пользователя в службе Active Directory.

7. Пользователь логинится в Windows-десктоп или приложение, а удаленная сессия обслуживается через Horizon Client.

Для работы механизма True SSO вам понадобится отдельная служба Enrollment Service, которая может быть развернута на машине с ОС Windows Server 2008 R2 или Windows Server 2012 R2 (4 ГБ оперативной памяти будет достаточно). Сам True SSO поддерживается для всех клиентских Windows-систем, а также протоколов доступа к виртуальным ПК, включая Blast Extreme и HTML Access.


Таги: VMware, SSO, Identity Manager, Security, Horizon, View, VDI

Совместный вебинар Veeam и StarWind - "Security for mission-critical data".


Компания StarWind Software, ведущий производитель хранилищ iSCSI под виртуализацию, и компания Veeam Software, лидер рынка решений для резервного копирования виртуальных машин и обеспечения доступности виртуального датацентра, 19 апреля проведут весьма полезный вебинар "Security for mission-critical data", посвященный обеспечению безопасности наиболее критичных для предприятия данных в инфраструктуре виртуализации.

Вебинар пройдет 19 апреля в 21-00 по московскому времени. На онлайн-мероприятии (где, кстати говоря, можно будет задавать вопросы на русском языке) вы узнаете:

  • Как обеспечить максимальную безопасность хранимых в виртуальной инфраструктуре данных.
  • Как добиться максимальной производительности и отказоустойчивости гиперконвергентной инфраструктуры Hyper-V и получить лучшую поддержку от двух вендоров.
  • Как интегрировать решения от Veeam и StarWind таким образом, чтобы получить единую среду хранения, резервного копирования и защиты виртуальных машин от различных угроз.

Регистрируйтесь!


Таги: Veeam, StarWind, Webinar, Security

Скрипт PowerCLI для включения/отключения SSH на уровне кластера для всех хостов VMware ESXi.


Все администраторы знают, как включать и отключать доступ по SSH на хостах ESXi. Однако часто в административных целях требуется перещелкнуть этот сервис не только на одном хост-сервере, а в пределах целого кластера VMware HA/DRS для выполнения комплекса задач на нескольких хостах. В этом случае поможет скрипт PowerCLI, который написал David Ring.

Сначала вводите IP-адрес сервера vCenter, логин и пароль администратора, ну а потом сценарий запросит имя кластера в котором вы хотите включить/отключить доступ к серверам по SSH:

Когда вы закончите проведение необходимых операций в консоли хостов ESXi по SSH, запустите скрипт повторно для отключения SSH в целях безопасности:

Ну и, собственно, сам скрипт PowerCLI:

########### vCenter Connectivity Details ###########

Write-Host “Please enter the vCenter Host IP Address:” -ForegroundColor Yellow -NoNewline
$VMHost = Read-Host
Write-Host “Please enter the vCenter Username:” -ForegroundColor Yellow -NoNewline
$User = Read-Host
Write-Host “Please enter the vCenter Password:” -ForegroundColor Yellow -NoNewline
$Pass = Read-Host
Connect-VIServer -Server $VMHost -User $User -Password $Pass

########### Please Enter the Cluster to Enable SSH ###########

Write-Host “Clusters Associated with this vCenter:” -ForegroundColor Green
$VMcluster = ‘*’
ForEach ($VMcluster in (Get-Cluster -name $VMcluster)| sort)
{
Write-Host $VMcluster
}
Write-Host “Please enter the Cluster to Enable/Disable SSH:” -ForegroundColor Yellow -NoNewline
$VMcluster = Read-Host

########### Enabling SSH ###########

Write-Host “Ready to Enable SSH? “ -ForegroundColor Yellow -NoNewline
Write-Host ” Y/N:” -ForegroundColor Red -NoNewline
$SSHEnable = Read-Host
if ($SSHEnable -eq “y”) {
Write-Host “Enabling SSH on all hosts in your specified cluster:” -ForegroundColor Green
Get-Cluster $VMcluster | Get-VMHost | ForEach {Start-VMHostService -HostService ($_ | Get-VMHostService | Where {$_.Key -eq “TSM-SSH”})}
}

########### Disabling SSH ###########

Write-Host “Ready to Disable SSH? “ -ForegroundColor Yellow -NoNewline
Write-Host ” Y/N:” -ForegroundColor Red -NoNewline
$SSHDisable = Read-Host
if ($SSHDisable -eq “y”) {
Write-Host “Disabling SSH” -ForegroundColor Green
Get-Cluster $VMcluster | Get-VMHost | ForEach {Stop-VMHostService -HostService ($_ | Get-VMHostService | Where {$_.Key -eq “TSM-SSH”}) -Confirm:$FALSE}

}

Скачать скрипт можно по этой ссылке (уберите расширение doc и добавьте .ps1).


Таги: VMware, vSphere, PowerCLI, Security, Troubleshooting, ESXi

Вышло обновление 5nine Cloud Security - что нового в версии 7.1


5nine Cloud Security –это комплексное решение для защиты виртуальной платформы Hyper-V в соответствии с требованиями законодательства. Последняя версия продукта помогает организациям выполнить требования Приказов ФСТЭК №17 и 21 к средствам защиты информации, закрыть уязвимости и предотвратить атаки, специфичные для виртуальной среды. Добавлены новые возможности ко всем компонентам защиты: антивирусному, межсетевому экрану и системе обнаружения вторжений и появились новые возможности автоматизации функций безопасности.


Таги: 5nine, Cloud, Security, Update

Приходите на интересный вебинар на тему безопасности от Veeam - "Резервное копирование: запросы бизнеса и требования закона".


Компания Veeam Software, известная своим решением для резервного копирования данных и обеспечения доступности датацентров Veeam Availability Suite, приглашает всех желающих принять участие в бесплатном вебинаре "Резервное копирование: запросы бизнеса и требования закона", посвященном информационной безопасности и новостям о недавней сертификации ФСТЭК продукта Veeam Backup and Replication.

На вебинаре в качестве докладчиков выступят Александр Ширманов (бывший директор компании Код Безопасности) и Мария Сидорова (многим из вас представлять ее не нужно).

Время и дата вебинара: 5 апреля в 12-00 (полдень) по московскому времени.
Продолжительность: 60 минут + сессия вопросов и ответов.

ЗАРЕГИСТРИРОВАТЬСЯ

Описание мероприятия от Veeam:

Зачем нужно резервное копирование знают все, но не все почему-то это делают. Между тем восстановление данных в случае их намеренного или случайного уничтожения, модификации, нарушении целостности и доступности – не только вопрос обеспечения функционирования бизнеса, но и прямое требование законодательства и нормативных документов ФСТЭК России и Центрального Банка.

На вебинаре мы обсудим, как выполнить требования закона и почему для этого лучше использовать сертифицированные средства, в частности,Veeam® Backup & Replication™ версии 8.


Таги: Veeam, Webinar, Security, Backup

Конфигурация баннера безопасности (Security Banner / Logon banner) при логине в VMware vSphere Web Client.


В недавно вышедшем обновлении платформы виртуализации VMware vSphere 6.0 Update 2 появилась возможность конфигурации Logon Banner (он же Security Banner) для того, чтобы предупредить пользователей или потенциальных злоумышленников о последствиях неавторизованного доступа к системе. Подробно об особенностях его конфигурации написал Вильям Лам, а мы рассмотрим тут основные моменты настройки баннера вкратце.

Это стандартный подход к обеспечению безопасности, баннер мало кого останавливает, но хотя бы сам факт его наличия будет еще одним пунктиком при привлечении нарушителя к ответственности.

Конфигурация логон-баннера доступна только через интерфейс Platform Services Controller (PSC) Administrator UI, к которому можно получить доступ по следующей ссылке:

https://[PSC-HOSTNAME]/psc

В разделе Configuration вы найдете конфигурацию баннера, где можно настроить следующие параметры:

  • Status - включен он или выключен.
  • Checkbox Consent - будет ли показан обязательный для отметки чекбокс согласия с правилами.
  • Title - заголовок текста.
  • Message - собственно, само сообщение.

Также можно изменять данные параметры из командной строки с помощью сценария /opt/vmware/bin/sso-config.sh, что требует SSH-доступа к хосту PSC. Ну и вам понадобится создать файл banner.txt, где будет содержаться основной текст баннера безопасности.

Для того, чтобы установить заголовок баннера и его текст, но не включать чекбокс, используйте следующую команду:

opt/vmware/bin/sso-config.sh -set_logon_banner /root/banner.txt -title 'Disclaimer' -enable_checkbox N

Можно не использовать путь к тестовому файлу, а, например, просто изменить заголовок:

/opt/vmware/bin/sso-config.sh -set_logon_banner -title 'Disclaimer'

Чтобы отдельно включить обязательный чекбокс, выполните следующее:

/opt/vmware/bin/sso-config.sh -set_logon_banner -enable_checkbox Y

Ну а для отключения баннера используйте следующую команду:

/opt/vmware/bin/sso-config.sh -disable_logon_banner


Таги: VMware, Security, vSphere, Web Client, Blogs

Как надежно и экономно выполнить требования PCI DSS в среде виртуализации Hyper-V.


Быстрый рост числа кибератак и нарушений конфиденциальности персональных данных делает критически важной защиту финансовых операций. Все помнят недавнюю громкую историю с хищением $300 млн со счетов клиентов в России, Китае и Европе группировкой хакеров Carbanak и многие другие. Ведущие мировые операторы платежных систем: Visa, MasterCard, American Express, JCB и Discover совместно установили «Стандарт безопасности данных индустрии платежных карт» (PCI DSS), чтобы повысить надежность финансовых транзакций...


Таги: 5nine, Cloud, Security, Hyper-V

Важная новость для многих из вас - решение Veeam Backup & Replication v8 сертифицировано на соответствие требованиям ФСТЭК.


Важная новость пришла от компании Veeam, производителя лучшего решения для резервного копирования и репликации виртуальных машин Veeam Backup & Replication v8. Теперь этот продукт сертифицирован на соответствие требованиям ФСТЭК, а значит его можно будет использовать в тех ИТ-системах, где выполнение этих требований является обязательным.

Безопасность резервного копирования с помощью решения компании Veeam Software подтверждена на государственном уровне, что позволяет заказчикам применять его при работе с информацией ограниченного доступа, не относящейся к государственной тайне.

Да, сертифицирована не последняя версия Veeam Backup & Replication, но многие из вас, кто знаком с темой, сами знают, сколько времени занимает сертификация ФСТЭК. Да и большинство пользователей в производственной среде сейчас используют именно восьмую версию.

Как многие из вас знают, начиная с 2013 года, программные средства резервного копирования, используемые при работе с информацией ограниченного доступа, не относящейся к государственной тайне, как в государственных структурах, так и в частных компаниях, должны проходить оценку соответствия требованиям безопасности в установленном законом порядке. В частности, согласно приказам ФСТЭК №17, №21 и №31 установлены требования на применение средств резервного копирования при обработке информации ограниченного доступа, не относящейся к государственной тайне в государственных информационных системах, при обработке персональных данных, а также в системах автоматизированного управления на объектах критически важной инфраструктуры. Кроме того, потребность заказчиков в программном обеспечении, прошедшем оценку соответствия, часто продиктована не только законодательством, но и отраслевой спецификой.

Особенно отметим, что на сегодняшний момент только решение Veeam обладает сертификатом на резервное копирование последних версий платформ виртуализации Microsoft и VMware: VMware vSphere 5.5 и 6.0 и Microsoft Hyper-V Server 2012 R2.

Проверка Veeam Backup & Replication v8 решения на соответствие требованиям нормативных актов осуществлялась в два этапа:

  • Сначала специалисты испытательной лаборатории ФСТЭК изучили работу решения и подтвердили, что его функциональность полностью соответствует предоставляемой технической документации (ТУ).
  • Далее в ходе анализа исходного кода продукта было установлено, что Veeam Backup & Replication v8 соответствует четвертому уровню контроля отсутствия недекларированных возможностей (НДВ4) и может применяться для защиты информации в государственных информационных системах до первого класса защищенности включительно, а также в информационных системах персональных данных до первого уровня защищенности включительно, для которых актуальны угрозы первого, второго или третьего типа.

Сертификат выдан сроком на три года, после чего возможно его дальнейшее продление. Приобрести сертифицированную версию можно через партнерскую сеть Veeam в России.


Таги: Veeam, Backup, Security

Как включить/отключить SSH на всех хостах ESXi в кластере при помощи PowerCLI


В этот раз мы рассмотрим сразу две функции Enable-VMHostSSH/Disable-VMHostSSH моего PowerCLI модуля для управления виртуальной инфраструктурой VMware Vi-Module.psm1. Очень часто администраторам виртуальной инфраструктуры требуется временно включить SSH на хосте/хостах ESXi, например, для запуска esxtop или для выяснения причин PSOD или для решения проблем с СХД...


Таги: VMware, PowerCLI, vSphere, PowerShell, Security

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10    >   >>
Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

27/08/2017:  VMware VMworld 2017
11/09/2017:  VMware VMworld Europe 2017
26/10/2017:  VeeamON Forum Russia 2017

Быстрый переход:
VMware IT-Grad Veeam StarWind Microsoft Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Backup Horizon SRM Client App Volumes Performance Workstation Manager Labs Nested vCloud AWS Log Insight XenDesktop VSA vNetwork SSO DRS LSFS Workspace Host Client VMDK vROPs VTL Update iSCSI SDDC vCSA NSX Agent Virtual Appliance Whitepaper PowerShell Fusion Appliance VUM VVols V2V Tools Cache VMworld Support Обучение Web Client Mobile OpenStack Automation Replication Desktop Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Air API CLI Plugin DPM Director Book Memory Upgrade SIOC Flex Mac Bug Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.