Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4360 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru | Ссылка дня: Облака помогают не тратить деньги при закрытии бизнеса

Как почистить избыточные вложенные права доступа в VMware vSphere - скрипт от LucD.


Известный своими скриптами блоггер Luc Dekens (LucD) опубликовал интересный сценарий PowerCLI для виртуальной инфраструктуры VMware vSphere, который позволяет вычистить права доступа на объекты, для которых уже существуют права на уровне родительских объектов.

Например, у вас есть такая картина:

Соответственно, нам нужно почистить пермиссии в папке Test1131 для пользователя Local\test, чтобы разрешения остались только на уровне родительского объекта Test1 (там, как мы видим, установлена опция применения разрешений вниз к дочерним объектам).

Собственно, сам скрипт:

<#
.SYNOPSIS
  Find and remove redundant permissions on vSphere objects 
.DESCRIPTION
  The function will recursively scan the permissions on the
  inventory objects passed via the Entity parameter.
  Redundant permissions will be removed.
.NOTES
  Author:  Luc Dekens
.PARAMETER Entity
  One or more vSphere inventory objects from where the scan
  shall start
.EXAMPLE
  PS> Optimize-Permission -Entity Folder1 -WhatIf
.EXAMPLE
  PS> Optimize-Permission -Entity Folder?
.EXAMPLE
  PS> Get-Folder -Name Folder* | Optimize-Permission
#>
 
  [cmdletbinding(SupportsShouldProcess=$true)]
  param(
    [parameter(ValueFromPipeline)]
    [PSObject[]]$Entity
  )
 
  Begin{
    function Optimize-iVIPermission{
      [cmdletbinding(SupportsShouldProcess=$true)]
      param(
        [parameter(ValueFromPipeline)]
        [VMware.Vim.ManagedObjectReference]$Entity,
        [VMware.Vim.Permission[]]$Permission = $null
      )
 
      Process{
        $entityObj = Get-View -Id $Entity
        $removePermission = @()
        $newParentPermission = @()
        if($Permission){
          foreach($currentPermission in $entityObj.Permission){
            foreach($parentPermission in $Permission){
              if($parentPermission.Principal -eq $currentPermission.Principal -and
                 $parentPermission.RoleId -eq $currentPermission.RoleId){
                $removePermission += $currentPermission
                break
              }
              else{
                $newParentPermission += $currentPermission
              }
            }
          }
        }
        else{
          $newParentPermission += $entityObj.Permission
        }
        if($removePermission){
          if($pscmdlet.ShouldProcess("$($entityObj.Name)", "Cleaning up permissions")){
            $removePermission | %{
              $authMgr.RemoveEntityPermission($Entity,$_.Principal,$_.Group)
            }
          }
        }
        $Permission += $newParentPermission
       
        if($entityObj.ChildEntity){
            $entityObj.ChildEntity | Optimize-iVIPermission -Permission $Permission
        }
      }
    }
  }
 
  Process{
    foreach($entry in $Entity){
       if($entry -is [System.String]){
        $entry = Get-Inventory -Name $entry
       }
       Optimize-iVIPermission -Entity $entry.ExtensionData.MoRef
    }
  }
}

Скрипт работает так, что пробегается по дереву объектов, обнаруживает избыточные разрешения и удаляет их. У скрипта есть удобный параметр WhatIf, который выводит операции по очистке разрешений, которые как бы применяются к дочерним объектам, но на самом деле не применяет их:

Optimize-VIPermission -Entity Test1 -WhatIf

Результатом будет список объектов, где разрешения будут очищены, в данном случае, если посмотреть на пример выше, это будет папка Test1131:

Можно запустить скрипт и на 2 папки сразу:

Optimize-VIPermission -Entity Test1,Test2 -WhatIf

Результат будет таким (в папке Test22 также есть дублирующиеся разрешения):

Также можно использовать и конструкции с масками, например:

Get-Folder -Name Test? | Optimize-VIPermission -WhatIf

Теперь неплохо было бы, если бы кто-то написал GUI к этой штуке, а также добавил туда функции поиска и удаления произвольных разрешений в выбранных объектах.


Таги: VMware, vSphere, PowerCLI, PowerShell, VMachines, Security

Предотвращение создания виртуальных машин на определенных датасторах в VMware vSphere Storage Policy Based Management (SPBM).


Довольно давно мы уже рассказывали о механизме применения политик для хранилищ при развертывании виртуальных машин - VMware vSphere Storage Policy Based Management (SPBM). А недавно Кормак Хоган опубликовал интересную заметку, касающуюся возможности выбора политик SPBM конкретным пользователем во время развертывания новой виртуальной машины.

Прежде всего, в vSphere нет механизма назначения прав доступа пользователей на конкретную политику SPBM - все пользователи видят все политики. Но сам механизм разграничения прав существует - его можно реализовать на уровне прав доступа к хранилищам.

Например, пользователю ben мы даем доступ Read-only к хранилищу VVols1, то есть создавать виртуальные машины он на нем не может:

А на хранилище VVols2 делаем его администратором:

В итоге, при развертываниии виртуальной машины пользователь ben видит оба хранилища - VVols1 и VVols2 и все доступные политики хранилищ (комбобокс VM storage policy):

Однако, обратите внимание, что при выборе хранилища VVols1 в разделе Compatibility написано о том, что пользователь не имеет достаточных привилегий, чтобы создать машину на этом датасторе.

You do not hold the privilege to allocate space on the selected datastore

Между тем, кнопка Next активна. Но если нажать ее, мастер все равно дальше не пустит:

Вверху мы увидим:

Specify a valid location

Ну а если выбрать VVols2, то все проверки пройдут успешно, и пользователь сможет там создать виртуальную машину:


Таги: VMware, Storage, Security, SPBM, vSphere

Шифрование виртуальных машин VMware vSphere и обеспечение доступности KMS (Key Management Service).


С момента выхода последнего мажорного релиза платформы виртуализации VMware vSphere 6.5 мы много писали о шифровании виртуальных машин (и, кроме того, затрагивали тему производительности этого процесса), а также техниках шифрования кластеров vSANнекоторых особенностях этого). Сегодня мы поговорим о самом важном компоненте инфраструктуры шифрования vSphere - Key Management Service (KMS).

Прежде всего, KMS - это сервисы шифрования не только для виртуальных машин, но и любых других объектов ИТ-инфраструктуры. Поэтому KMS уже может быть в вашей организации, при этом он может не быть прикрученным к VMware vSphere. Вы можете использовать любой KMS-сервер, но VMware сертифицировала лишь следующие системы из списка (см. вот этот документ VMware):

Если же у вас другой KMS-провайдер, не расстраивайтесь - он, скорее всего, будет работать, если поддерживает протокол управления ключами KMIP 1.1.

Начать надо с вопросов доступности KMS-сервера. Как вы понимаете, это самый важный сервер в вашей инфраструктуре, важнее DNS или контроллера домена. Если у вас недоступен DNS, все тоже не работает, как и в случае с KMS, но если оказались недоступными данные хранилища KMS - это катастрофа для организации. И нет абсолютно никакого пути восстановить их. Совершенно никакого. Обо всем этом рассказывает видео ниже:

Таким образом, KMS становится бизнес-критичной точкой не только инфраструктуры, но и бизнеса в целом. И вопросы бэкапа и его доступности - это вопросы номер 1. Давайте посмотрим на несколько базовых понятий KMS:

  • KMIP (Key Management Interoperability Protocol) - это стандарт, по которому клиент KMIP может общаться с серверами KMS. Каждый год он проходит серьезную проверку на конференции RSA.
  • DEK (Data Encryption Key). Это ключ, который хост ESXi генерирует, когда требуется зашифровать виртуальную машину. Этот ключ используется также и для расшифровывания данных ВМ, он записан в VMX/VM Advanced settings в зашифрованном виде.
  • KEK (Key Encryption Key). Это ключ, которым зашифрован DEK. KEK key ID также находится в VMX/VM Advanced settings.
  • Key Manager Cluster/Alias - это коллекция адресов FQDN/IP всех реплицируемых между собой серверов KMS. Она также хранится вместе с зашифрованной машиной в VMX/VM Advanced settings, чтобы после ее включения можно было обратиться к нужному кластеру KMS, получить KEK для cервера vCenter, который разлочит ВМ.
  • VM и vSAN encryption - это, на самом деле, с точки зрения реализации механизма шифрования одно и то же. То есть, для обоих типов шифрования используются одни и те же библиотеки, конфигурации и интерфейсы.

Когда мы говорим о кластере KMS - это всего лишь KMS-серверы, реплицирующие между собой хранилища ключей. Они не обеспечивают доступность друг друга, как, например, это делает VMware HA. Например, есть серверы KMS-A, KMS-B и KMS-C, в хранилищах которых при добавлении ключа новой ВМ он появляется мгновенно.

Если KMS-A недоступен как сервер, то сервер vCenter запрашивает ключи у хоста KMS-B. Если же KMS-A недоступен как сервис (то есть сервер работает, а служба KMS не отвечает), то vCenter ждет 60 секунд восстановления работоспособности сервиса и только потом переключается на KMS-B. Это поведение изменить нельзя.

Лучшие практики по использованию KMS таковы:

  • По возможности нужно делегировать обязанности по поддержке инфраструктуры KMS отдельной команде (Security Team) или человеку.
  • Не класть KMS-серверы в виртуальной машине в тот же кластер (например, vSAN), который также зашифрован. Иначе коробочка закроется (выключится кластер), а ключ от нее останется внутри нее же. То есть, необходимо держать хотя бы один из KMS-серверов за пределами такого домена отказа.
  • Предыдущий пункт относится и к серверам vCenter и PSC. Чтобы они могли расшифровать другие сервера, они должны быть доступны в случае сбоя.

Теперь надо сказать о катастрофоустойчивости серверов KMS. Типичный кластер в рамках одной площадки выглядит так:

Но если на этой площадке будет авария, которая затронет все 3 сервера - бизнесу может настать конец. Поэтому в идеале надо использовать конфигурацию с двумя площадками:

Понятное дело, что у малого и среднего бизнеса резервных площадок, как правило, нет. В этом случае помочь может публичное облако Amazon AWS или Microsoft Azure. Чтобы поддерживать там одну резервную машину, много денег не нужно.

Ну и если вы используете конфигурацию с несколькими площадками, то обязательно нужно учитывать в конфигурации порядок обращения к серверам KMS в рамках площадки. Если на первой площадке находятся сервера KMS-A, KMS-B и KMS-C, а на второй - KMS-D, KMS-E и KMS-F, то в первом случае порядок должен быть A,B,C,D,E,F, а во втором - D,E,F,A,B,C.

Если на второй площадке вы будете использовать конфигурацию аналогичную первой, сервер vCenter может ходить по серверам другой площадки, которая может быть недоступна, а только обойдя все ее серверы, начнет использовать локальные KMS.


Таги: VMware, vSphere, KMS, Security, VMachines

Сохранять и извлекать учетные данные с помощью PowerCLI


Рано или поздно каждый администратор приходит к тому, что ему необходимо каким-то образом сохранить, а потом и извлечь учётные данные. Причём это должно быть быстро, эффективно, удобно и самое главное безопасно. Ни один из известных мне способов не отвечал всем этим требованиям одновременно. Я стал искать и нашел свой способ, которым и хочу поделиться с вами. Это PowerCLI! Удивлены? Порой самое простое решение лежит на поверхности.


Таги: VMware, PowerCLI, Security, ESXi, vSphere

Как работает механизм оповещения об устаревающих сертификатах VMware vCenter.


Как многие из вас знают, в рамках платформы VMware vSphere коммуникация между ее компонентами происходит на базе SSL-сертификатов. Если на сервере vCenter вы используете собственные сертификаты с ограниченным сроком действия, то их надо регулярно продлять и обновлять, иначе однажды вы не сможете выполнять привычные операции в виртуальной инфраструктуре.

Например, если сертификат vCenter устареет, то при попытке выполнить горячую миграцию vMotion, вы получите сообщение о невозможности соединения с демоном vpxd и ошибкой "server certificate chain not verified" в консоли vSphere Client. Если при этом посмотреть вот в этот лог-файл:

/var/log/vmware/vmware-sps/sps.log

то можно увидеть там подобные сообщения:

com.vmware.vim.vmomi.client.exception.SslException: com.vmware.vim.vmomi.core.exception.
CertificateValidationException: Server certificate chain not verified

Чтобы посмотреть сроки действия текущих сертификатов, нужно воспользоваться следующими командами на хосте vCSA (vCenter Server Appliance):

/usr/lib/vmware-vmafd/bin/vecs-cli entry list –store MACHINE_SSL_CERT –text |less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list –store machine –text |less

По умолчанию сервер vCenter предупреждает администратора об истечении срока действия сертификатов за 30 дней. О том, как заменить сертификаты хорошо рассказано вот тут.

Этот срок можно поменять, для этого:

  • Зайдите в vSphere Web Client.
  • Выберите vCenter Server, перейдите на вкладку Manage и далее в подвкладку Settings.
  • Нажмите Advanced Settings, далее Edit и введите в фильтр слово "threshold".
  • Измените значение ключа vpxd.cert.threshold на нужное количество дней.

Ну а чтобы аларм об истечении сертификатов точно сработал, нужно зайти в Alarm settings –> Certificate Status и убедиться, что установлена галка Enable this alarm.

Источник.


Таги: VMware, vCenter, Security, Certificate, VMachines, Обучение, Blogs

Что такое Veeam Powered Network (VeeamPN), и для чего нужен.


Еще на VeeamON 2017 весной этого года компания Veeam Software рассказала о новом решении Veeam Powered Network (Veeam PN), которое стало первым продуктом Veeam в области сетевого взаимодействия.

Вот его небольшой видеообзор от Anthony Spiteri, евангелиста Veeam:

Veeam PN - это простое средство для организации VPN между всеми компонентами вашей инфраструктуры - главным офисом, филиалами и подразделениями, удаленными работниками и т.п. Решение построено на базе открытой технологии OpenVPN и представляет собой специальную виртуальную машину, работающую в облаке Microsoft Azure (Veeam PN Server) или на стороне частного облака клиента, а также компоненты на стороне оконечных потребителей (Veeam PN Gateway):

Помимо готовой машины Veeam PN на стороне Azure, в качестве центрального координационного сервера, выполняющего функции маршрутизации, можно использовать обычную ВМ в онпремизной инфраструктуре VMware vSphere. Для этого нужно загрузить и развернуть виртуальный модуль Veeam PN Appliance в формате OVA.

Надо отметить, что Veeam PN - это полностью бесплатный продукт, который является сетевой подложкой для комплексного решения по обеспечению катастрофоустойчивости датацентров Veeam Recovery to Microsoft Azure. Но Veeam PN можно использовать и как простой VPN для предприятий, которым необходима простая в развертывании инфраструктура виртуальной частной сети.

Архитектура сетевой инфраструктуры Veeam PN может быть любой, например, может быть топология, где есть виртуальная машина Veeam PN Server на стороне Azure, клиентское ПО Veeam PN Gateway в трех географически разделенных датацентрах, а также отдельные внешние пользователи частной сети, подключающиеся с помощью клиента OpenVPN Client.

При развертывании продукта нужно выбрать одну из двух опций:

Network Hub - это сервер Veeam PN, который развертывается в облаке Azure или в частной инфраструктуре, а Site gateway - это виртуальная машина, выступающая как шлюз для Veeam PN. Для коммуникации используются 2048-битные самоподписанные сертификаты. Первоначальная настройка сервера выглядит так:

Далее мы задаем опции сетевой коммуникации:

  • Network hub public IP or DNS name - это публичный адрес, к которому должны иметь доступ все члены частной сети, включая удаленных клиентов вне частных облаков, которые будут подключаться к инфраструктуре.
  • Enable site-to-site VPN - эту опцию надо поставить, если необходима коммуникация между датацентрами (между Veeam PN Gateways).
  • Enable point-to-site VPN - эти настройки выставляются для коммуникации между клиентом OpenVPN Client и компонентом Veeam PN Gateway на стороне датацентра.

После того, как вы развернете Veeam PN сервер, нужно сгенерировать настройки для сетей датацентров (сценарий site-to-site) и отдельных компьютеров (сценарий point-to-site). Для этого нужно зарегистрировать сайты и компьютеры на стороне Veeam PN Server (Hub portal):

В итоге мы получим список зарегистрированных площадок и отдельных клиентов:

После того, как вы зарегистрируете клиентов, надо будет скачать настройки VPN для площадок и клиентов в формате XML. Далее эти настройки нужно будет импортировать при развертывании Site Gateway:

Если сервер Network Hub развернут в онпремизной сети, вам нужно добавить новый маршрут на шлюзе по умолчанию (Default gateway) в онпремизной сети, где у вас развернут Veeam PN Server, а также в сетях площадок, где есть Site Gateways, чтобы обе стороны VPN-туннеля знали маршрут (подробнее об этом написано тут).

Когда вы регистрируете Site Gateways на стороне Network Hub и добавляете XML-конфигурацию сетевого хаба на стороне площадки, то вы даете им возможность узнать, за какие сетевые зоны отвечают Site Gateways, и где находится Network Hub. Однако виртуальные машины на площадках также должны иметь возможность достучаться до виртуальных машин в других зонах через шлюзы по умолчанию, для того и нужно добавлять статические маршруты. Ведь после того, как трафик через Site Gateway одной площадки доходит до Network Hub, он уже корректно перенаправляется к соответствующей площадке через ее Site Gateway.

Например, у вас есть такая инфраструктура (пример взят отсюда):

Тогда таблица статических маршрутов на сайте MEL будет выглядеть так:

В качестве Next hope тут указан Site Gateway данной площадки, который далее отправит трафик к Veeam PN Server, дальше он будет направлен к машине на другой площадке. Аналогично маршруты будут выглядеть и на других площадках.

Если вы используете Veeam PN Server на стороне Azure добавлять новые маршруты не потребуется - Veeam PN сам добавит все необходимые маршруты в таблицы маршрутизации. Кстати, в качестве компонентов сетевой инфраструктуры Veeam PN можно использовать инфраструктуры на стороне публичных IaaS-сервисов AWS, IBM или Google, а также любого другого публичного облака.

Загрузить бесплатное решение Veeam PN можно по этой ссылке. Там же можно скачать и пробную версию продукта Veeam Recovery to Microsoft Azure.


Таги: Veeam, Veeam PN, Security, vNetwork, Networking, VPN

Анонсы VMworld 2017 - новая версия VMware vRealize Network Insight 3.5.


На прошедшей конференции VMworld 2017 компания VMware сделала несколько интересных анонсов, в том числе было объявлено о выходе новой версии решения для обеспечения сетевой безопасности VMware vRealize Network Insight 3.5.

Этот продукт полностью интегрирован с решением VMware NSX и позволяет выполнять следующие задачи:

  • Разрабатывать план и оценивать воздействия микросегментации на эффективность защиты виртуальной среды.
  • Ускорять выполнение микросегментации с помощью рекомендаций правил сетевого экрана.
  • Осуществлять непрерывный мониторинг и аудит соответствия нормативным требованиям.

Что нового появилось в VMware vRNI 3.5:

  • Новый дэшборд PCI Compliance (только в издании Enterprise). Решение vRealize Network Insight помогает обеспечить соответствие стандарту PCI для окружений с сетевыми экранами NSX-V. Этот дэшборд предоставляет анализ данных для отдельных секций стандарта PCI.
  • Поддержка NSX IPFIX. vRNI поддерживает NSX IPFIX вместе с VDS IPFIX для сброшенных потоков (dropped flows), а также сетевой экран NSX DFW для маппинга потоков.
  • Улучшенный дэшборд NSX Edge. Он предоставляет расширенные средства исследования топологии Layer 3 и новые виджеты, показывающие правила NAT, параметры шлюза и роутеров восходящей маршрутизации.
  • Улучшения платформы:
    • vRealize Network Insight теперь позволяет миграцию датасорсов от одного коллектора к другому и удаление коллектора из платформы.
    • Коллекторным ВМ можно давать имена для быстрой идентификации.
    • Увеличенные лимиты по емкости сбора данных коллекторных ВМ и платформы.
    • Поддержка нескольких типов лицензий и кумулятивного назначения этих лицензий.
  • Поддержка ECMP в дэшборде VM to VM Path, что позволяет визуализовать все пути. Также можно закрепить топологию на экране при скроллинге дэшборда.
  • Расширенная поддержка сторонних датасорсов:
    • Check Point Firewall (виртуальных и физических)
    • HP One View
    • Brocade MLX

Загрузить VMware vRealize Network Insight 3.5 и получить больше информации можно на официальной странице продукта.


Таги: VMware, vRNI, Security, NSX, Update

Анонсы VMworld 2017 - VMware представила продукт AppDefense.


На проходящей сейчас в Лас-Вегасе конференции VMworld 2017 компания VMware, как обычно, представляет главные анонсы новых продуктов и технологий этого года. Один из первых - объявление о новой технологии VMware AppDefense, которая представляет собой новую модель защиты приложений в виртуализованных и облачных средах. Кто помнит, о ней было еще объявлено на VMworld 2016 под рабочим названием Project Goldilocks.

AppDefense предназначена для организаций, которым требуется повышенный уровень защиты для приложений. Для защиты сетевого взаимодействия от атак типа уже есть техники на базе микросегментации со стороны решения VMware NSX (см. service insertion и guest introspection), а теперь вот и AppDefense будет реализовывать этот подход дальше, но уже на уровне приложений (естественно, при полной интеграции с vSphere и NSX). Также среди интеграций заявлены решения IBM Puppet, RSA & SecureWorks и другие.

Суть технологии AppDefense заключается в том, что она изучает нормальное поведение операционной системы и приложений при обычных условиях, а в случае выявления отклонений от этого состояния, оповещает об этом администратора и автоматически предпринимает некоторые шаги по защите окружения. Эти шаги можно оркестрировать, то есть управлять их составом и последовательностью. Вот какие действия можно предпринимать для скомпрометированного приложения:

  • Заблокировать сетевую коммуникацию конкретного процесса
  • Сделать снапшот виртуальной машины для последующего анализа
  • Отправить виртуальную машину с приложением в Suspend или выключить ее

По-сути, это whitelisting подход (добавление доверенных компонентов в список) вместо blacklisting (блокирование вредоносных компонентов). Надо отметить, что AppDefense работает на уровне гипервизора ESXi, поэтому до нее трудно дотянуться со стороны вредоносного ПО внутри виртуальных машин.

AppDefense не будет генерировать много алармов, но если ее аларм сработает - значит действительно произошло что-то серьезное, и администратору следует обратить на это внимание.

На данный момент технология AppDefense уже доступна для пользователей в США на базе годовой подписки, стоит это $500 в год на один процессор хост-сервера ESXi. Основная страница продукта находится по этой ссылке.


Таги: VMware, AppDefense, Security, Cloud

Особенности размещения государственных информационных систем в облаке.


Это гостевой пост облачного сервис-провайдера ИТ-ГРАД. Для размещения в облаке информационной системы, участвующей в обработке, хранении или передаче персональных данных (ИСПДН), необходимо, чтобы инфраструктура IaaS-провайдера была защищена в соответствии с требованиям ФЗ-152 «О защите персональных данных». Помимо ИСПДН, это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними...


Таги: IT-Grad, Cloud, Cloud Computing, IaaS, Security

Вирус-вымогатель Petya: как избежать заражения и защитить собственные системы


Это гостевой пост компании ИТ-ГРАД. Во вторник, 27 июня Россия, Украина, Индия и ряд стран Евросоюза столкнулись с новой вирусной атакой, затронувшей сотни компьютеров различных предприятий. В России о заражении сообщили «Башнефть», «Роснефть», «Рязанская нефтеперерабатывающая компания», «Хоум Кредит» банк, металлургическая компания Evraz и другие.


Таги: IT-Grad, Security, VMachines

Особенности шифрования кластеров VMware vSAN при апгрейде с прошлых версий.


Как вы знаете, в новой версии решения организации отказоустойчивых кластеров VMware vSAN 6.6 появилась возможность шифрования хранилищ. В целях увеличения эффективности и скорости работы в этой технологии используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Очевидно, что это удобно и эффективно с точки зрения экономии дискового пространства, но несколько небезопасно, так как из кэша можно потенциально достать незашифрованные данные. Поэтому и существует технология VM Encryption, лишенная этого недостатка, но неэффективно расходующая диск.

Для работы шифрования vSAN нужно, чтобы в кластере была версия on-disk format 5 или выше, при этом пятая версия появилась только в vSAN 6.6. Здесь возможны 3 сценария использования шифрования vSAN:

  • Развертывание кластера с нуля на vSAN 6.6.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 со сменой on-disk format на версию 5.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 без изменения версии on-disk format.

В первом случае шифрование данных можно будет включить сразу же для нужного хранилища. Это добавит специальный тэг в метаданные тома, после чего все новые данные, передаваемые из кэша на диск, будут зашифрованы.

Во втором случае мастер миграции может выполнить процедуру DFC (disk format change), что поменяет on-disk format на версию 5. Далее также можно будет включить шифрование в любой момент, и с этого момента новые данные тома будут шифроваться. При этом не потребуется убирать виртуальные машины с хранилища

Ну а вот в третьем случае (когда в процессе апгрейда вы не прошли процедуру DFC), понадобится переместить все виртуальные машины с нужного тома, чтобы включить на нем шифрование. Это может вызвать некоторые неудобства, поэтому лучше всего воспользоваться вариантом один или два.


Таги: VMware, Encryption, vSAN, Security, Upgrade

Как проверить наличие хотфикса в VMware ВМ с помощью PowerCLI.


В свете последних событий, связанных с WannaCry ransomware, очень актуальным становится проверка наличия того или иного установленного патча (Patch/Hotfix/KB) внутри ОС виртуальных машин. Test-VMHotfix из моего PowerCLI Vi-Module модуля быстро и эффективно проверит все ваши ВМ. Пользоваться функцией проще простого, передайте в pipeline ВМ для проверки и шаблон названия патча в параметре -KB...
Таги: VMware, PowerCLI, Security, vSphere, VMachines

Как защитить свои системы от атаки WannaCry?


Первая волна атаки нового вируса WannaCry затронула уже более 320 тысяч компьютеров по всему миру и привела к сбоям в работе таких крупнейших мировых компаний, как Telefonica, KPMG, «Мегафон», Сбербанк, сеть больниц в Великобритании, МВД РФ и многих других. На смену первой волне атаки идут новые модифицированные вирусы, которые учитывают предпринятые пользователями меры борьбы с WannaCry и количество новых зараженных компьютеров пока не снижается...


Таги: 5nine, Security, VMachines

Что такое безопасная загрузка (Secure Boot) в VMware ESXi 6.5, и как она работает.


Некоторые из вас помнят, что в VMware vSphere 6.5 одной из новых возможностей гипервизора ESXi 6.5 стала функция его безопасной загрузки (Secure Boot). Об этом мы уже упоминали в посте с видеороликами о новых возможностях vSphere 6.5:

Суть механизма безопасной загрузки в vSphere 6.5 заключается в том, что загрузка подписанного кода гипервизора ESXi контролируется со стороны UEFI firmware, а также не разрешается исполнение неподписанных пакетов.

UEFI (Unified Extensible Firmware Interface) - это замена традиционному BIOS в серверах и настольных ПК. Механизм Secure Boot - это один из "протоколов" UEFI, который предоставляет возможности контроля загрузки подписанного кода за счет хранения цифровых сертификатов, которые хранятся в микрокоде (firmware) компьютера (signature database). Это все позволяет убедиться в том, что некий root kit не будет присутствовать в составе загружаемых компонентов и не предоставит доступ злоумышленнику на самом низком уровне.

Большинство UEFI содержит набор сертификатов по умолчанию типа x509 Microsoft UEFI Public CA, а также позволяет устанавливать собственные сертификаты дополнительно. Надо отметить, что эти сертификаты поставляются производителем серверов и обновляются вместе с его микрокодом.

Для обеспечения безопасной загрузки используются следующие компоненты:

  • Загрузчик ESXi (boot loader) - он убеждается в том, что цифровая сигнатура кода не была изменена. Загрузчик подписан сертификатом Microsoft UEFI Public CA. Он также содержит VMware public key, с помощью которого проверяются компоненты VM Kernel, Secure Boot Verifier, а также пакеты VIB.
  • Ядро VM Kernel - это также подписанная часть кода. Первое, что делает VM Kernel, это запускает Secure Boot Verifier.
  • Secure Boot Verifier - он также хранит VMware public key и проверяет аутентичность всех VIB-пакетов, которые загружаются во время загрузки ESXi.
  • VIB-пакеты (vSphere Installation Bundles) - эти пакеты, помимо реализуемых ими сервисов, содержат файл XML descriptor и файл цифровой подписи (digital signature file). Во время загрузки ESXi в памяти создается "карта" содержимого каждого из VIB-пакетов, соответственно не требуется проверять каждый из его файлов, а достаточно проверить подпись пакета целиком (это быстрее работает).

Вот как выглядит процесс загрузки хоста ESXi с точки зрения Secure Boot:

  • Включение питания.
  • UEFI Firmware валидирует загрузчик ESXi Boot Loader на предмет соответствия сертификату Microsoft внутри микрокода UEFI.
  • ESXi Boot Loader валидирует компонент VM Kernel на предмет соответствия сертификату в Boot Loader.
  • VM Kernel запускает компонент Secure Boot Verifier.
  • Secure Boot Verifier валидирует каждый VIB-пакет на соответствие сертификату VMware, который находится в хранилище Secure Boot Verifier.
  • Запускаются необходимые сервисы управления (DCUI, hostd и т.п.).

При апгрейде VMware ESXi прошлых версий с помощью ESXCLI происходит обновление сигнатур VIB-пакетов, но Boot Loader остается прежним, поэтому когда вы включите Secure Boot - возникнет ошибка. Как следствие - нужно будет переустановить ESXi.

Если вы обновляете ESXi из ISO-образа, то для некоторых старых VIB-пакетов сигнатуры могут не обновиться (например, кастомные драйвера, которые вы устанавливали отдельно), что приведет к неудаче при безопасной загрузке. То есть для нормального обновления из ISO нужно, чтобы все VIB-пакеты в этом образе обновили все предыдущие VIB. Надо отметить, что VIB-пакеты уровня Community supported не поддерживаются для безопасной загрузки (так как они не подписаны).

В составе VMware vSphere 6.5 есть специальный скрипт, который проверяет возможность безопасного апгрейда прошлой версии платформы.

Сначала надо проверить, что серверы поддерживают UEFI secure boot. Далее надо убедиться, что все ваши VIB-пакеты имеют хотя бы уровень Partner Supported, и у вас нет Community Supported пакетов.

Если вы обновили хост на ESXi 6.5, то можно выполнить следующий скрипт для проверки возможности включения Secure Boot:

/usr/lib/vmware/secureboot/bin/secureBoot.py -c

Результатом будет строчка "Secure Boot can be enabled" или "Secure boot CANNOT be enabled".

Если вы включите Secure Boot в микрокоде сервера, но у вас есть неподписанные пакеты, то при загрузке сервера вы увидите розовый экран и сообщение о том, что нельзя проверить подписи VIB-пакетов:

Чтобы выйти из этой ситуации, надо выключить безопасную загрузку, удалить неподписанные VIB-пакеты и снова включить ее.

Еще одна фишка включенной функции Secure Boot - это то, что вы не сможете установить неподписанные VIB-пакеты с опцией force подобным образом:

"esxcli install software –d /drive/badvib.zip –force –<b>no</b>-sig-check"

Если говорить о модуле TPM, то он тут не участвует, и мало того - TPM 2.0 вообще не поддерживается со стороны VMware vSphere 6.5.

Ну и последнее. Если вы хотите использовать Secure Boot вместе с механизмом vSphere Auto Deploy, то вы должны добавить сертификат VMware в список UEFI firmware whitelist (DB). Это требуется потому, что только ESXi Boot Loader подписан сертификатом Microsoft, а часть кода PXE-загрузчика, которая грузится до Boot Loader, подписана сертификатом VMware. Более подробно об этом написано в KB 2148532.


Таги: VMware, vSphere, Security, ESXi, Blogs

Как сбросить основной Single Sign-On пароль к vCenter в VMware vSphere 6.x.


Как знают все администраторы vSphere, в инфраструктуре виртуализации есть основной пароль компонента Single Sign-On (SSO), являющегося частью служб Platform Service Controller (PSC). SSO отвечает за предоставление токена авторизации пользователю, который соединяется с vCenter и использует остальные решения, которые с ним интегрированы.

Если вы забыли пароль SSO, то никак не сможете администрировать основные службы PSC и vCenter. Также вы не сможете никаким способом повысить одного из пользователей с любой ролью до администратора SSO.

Но есть способ восстановить/сбросить пароль Single Sign-On, если вы используете vCenter Server Appliance (vCSA). Для этого нужно зайти на vCSA под пользователем root (его же вы не забыли, правда?):

После чего ввести команду для доступа к шеллу:

shell.set --enabled true

После этого напишите shell и нажмите Enter:

Далее запустите VDC админ-тул, и вы увидите вот такой результат:

Нажмите клавишу <3>, после чего у вас попросят ввести аккаунт (Account UPN), для которого будет сгенерирован временный пароль. Введите administrator@vsphere.local:

После этого с данным паролем войдите в vCenter Single Sign-On:

Ну а там уже перейдите в Administration>Single Sign On > Users и выберите Edit для пользователя Administrator. Там можно сменить пароль:

Это, кстати, говорит о том, что пароль root для vCenter Server Appliance нужно хранить особенно внимательно и не забывать.


Таги: VMware, SSO, Security, vSphere, vCenter, Blogs, Обучение, vCSA

Вышла финальная версия VMware vSphere 6.5 Security Configuration Guide (бывший Hardening Guide).


На прошлой неделе мы писали о том, что компания VMware выпустила релиз-кандидат своего основного документа по обеспечению безопасности виртуальной инфраструктуры. Ну а на днях вышла окончательная версия VMware vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).

В прошлом посте мы рассказывали о том, что 65% настроек, приведенных в документе, либо задаются администратором, либо уже сделаны VMware по умолчанию, и администратору лишь нужно регулярно проверять, что ничего не изменилось. Поэтому здесь мы подробнее остановимся на том, что было удалено из документа и добавлено в него, чтобы понимать, как у VMware построен процесс работы с аудитом основного руководства по безопасности.

Удаленные настройки

С каждым релизом vSphere команда инженеров VMware проводит аудит каждой настройки и сверяет ее актуальность в отношении текущего функционала vSphere. Например, были удалены рекомендации относительно настройки VM.disable-VMTools-autoinstall, которая подразумевала, что можно примонтировать некорректную исошку с тулзами, автоинстал которой поселит вредоносное ПО в вашу госетвую ОС. Но в vSphere 6.5 монтируются только подписанные исошки с VMware Tools, а значит эта опасность ушла. Ну и к тому же, дефолтная политика обновления ESXi подразумевает ручное обновление тулзов, а значит указанная настройка не вполне актуальна.

Второй пример - это настройка vCenter.verify-nfc-ssl, которая была удалена, поскольку VMware больше не поддерживает "толстый" C#-клиент. Ранее этот клиент не использовал SSL для транзакций копирования файлов (Network File Copy), хотя отдельной настройкой шифрование можно было включить. Сейчас это стало неактуально.

Ну а вот полный список удаленных настроек:

  • VM.disable-VMtools-autoinstall
  • VM.disable-unexposed-features-biosbbs
  • VM.disable-unexposed-features-getcreds
  • VM.disable-unexposed-features-toporequest
  • VM.disable-unexposed-features-trashfolderstate
  • VM.disable-vix-messages
  • VM.prevent-device-interaction-connect
  • VM.prevent-device-interaction-edit
  • vCenter.verify-nfc-ssl

Каждая из этих настроек была удалена по той причине, что либо она потеряла актуальность из-за того, что фичи больше нет, либо изменился рабочий процесс, касающийся этой настройки, либо изменилось дефолтное состояние настройки.

Добавленные настройки

Во-первых, в документ были добавлены новые колонки. Это DISA STIG ID (ссылка на соответствующие гайдлайны правительства США), а также "Hardening" и "Site Specific Setting". Колонка Hardening указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации, а Site Specific Setting говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.

Также была добавлена колонка "Audit Setting", которая говорит о том, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено администратором необоснованно. В то же время, они могут быть изменены осознанно в соответствии с корпоративными политиками, и в этом нет ничего плохого (например, настройка *timeout).

Например, настройка, которая была добавлена - это ESXi.Audit-SSH-Disable. По умолчанию доступ по SSH отключен для хостов ESXi, но иногда администраторы могут включать его для решения своих задач. Поэтому эта настройка и помечена как "Audit Setting".

Также появились настройки VM.Enable-VGA-Only-Mode и VM.disable-non-essential-3d-features. Первая отключает функциональность SVGA для виртуальной машины. Эта настройка помечена как Site Specific, то есть администратор с параноидальным уровнем отношения к безопасности может отключить SVGA-драйвер для консольных гостевых ОС, но эта настройка, конечно же, не помечена как Hardening, чтобы все повально не стали отключать SVGA-драйверы, а потом писали письма в поддержку с вопросом о том, чего это не работает гостевая ОС.

Настройка disable 3D по умолчанию отключена, но помечена как "Audit Setting", чтобы время от времени просматривать, не включил ли ее зачем-то администратор.

Отметим, что никаких значительных изменений с момента релиз-кандидата документа не произошло. Скачать финальную версию VMware vSphere 6.5 Security Configuration Guide можно по этой ссылке (там же находятся и остальные руководства по безопасности от VMware).


Таги: VMware, vSphere, Security, Hardening, Whitepaper

Вышел vSphere 6.5 Security Configuration Guide (бывший Hardening Guide) - Release Candidate.


Компания VMware на днях выпустила Release Candidate версию своего основного руководства по обеспечению безопасности виртуальной среды серверной виртуализации - vSphere 6.5 Security Configuration Guide (ранее он назывался Hardening Guide).

Традиционно Hardening Guide представляет собой Excel-табличку с необходимыми конфигурациями серверов ESXi, виртуальных машин, сетей и т.п. для обеспечения безопасной работы виртуальной инфраструктуры на различных уровнях (от легкой до параноидальной защиты):

Интересная картинка, которую приводит VMware в отношении состояния конфигурационных настроек по умолчанию при развертывании среды vSphere:

Здесь раздел "Non-Hardening" означает, что рекомендуемые с точки зрения безопасности настройки либо уже выставлены по умолчанию, либо задаются пользователем (например, IP-адрес сервера NTP). Оставшиеся 35% настроек как раз могут быть изменены администратором vSphere, чтобы сделать инфраструктуру более защищенной.

Однако помните, что повышение уровня безопасности неизбежно рождает повышение уровня геморроя в связи с бОльшими неудобствами пользователей и администраторов, которые должны делать больше дополнительных действий и ждать дольше завершения рабочих процессов. Очевидно, что безопасность - это палка о двух концах.

Пока в документе всего 68 настроек, но не исключено, что их количество будет увеличено. Соответственно, как Hardening предполагается всего 24 настройки.

18 из этих настроек - это настройки раздела VM.disable-unexposed-features.*, которые касаются скрытых/недокументированных возможностей ВМ, а остальные 6 настроек касаются следующего:

  • 3 штуки - это настройки стандартного vSwitch из значений accept в reject (эти рекомендации есть еще со времен самого первого Hardening Guide).
  • 1 настройка - это BPDU filter.
  • 1 штука - это просто рекомендация своевременно патчить хосты ("Apply your ESXi patches").
  • 1 настройка - это "Disable TLS 1.0/1.1", то есть отключение старых версий протокола TLS, у которых есть проблемы с безопасностью (более подробно смотрите тут).

TLS 1.0/1.1 не отключен по умолчанию, так как некоторые системы продолжают использовать его, соответственно отключение может привести к различным проблемам, поэтому делать это нужно осознанно.

Из руководства были удалены рекомендации, касающиеся следующих настроек (сделано это было после консультаций с инженерами vSphere):

VM.disable-VMtools-autoinstall
VM.disable-unexposed-features-biosbbs
VM.disable-unexposed-features-getcreds
VM.disable-unexposed-features-toporequest
VM.disable-unexposed-features-trashfolderstate
VM.disable-vix-messages
VM.prevent-device-interaction-connect
VM.prevent-device-interaction-edit
vCenter.verify-nfc-ssl

Скачать документ VMware vSphere 6.5 Security Configuration Guide и оставить фидбэк по нему можно по этой ссылке. Финальная версия ожидается 13 апреля.


Таги: VMware, vSphere, Security, Hardening, Update

Что такое и как работают умные политики (Smart Policies) в инфраструктуре VMware Horizon 7.


Как знают администраторы инфраструктур виртуальных ПК, построенных на базе VMware Horizon 7, в последней мажорной версии решения VMware User Environment Manager 9.0 (UEM) появилась интересная возможность - умные политики (Smart Policies). Эта функциональность позволяет применять настройки пользовательского окружения в виртуальном ПК в зависимости от различных условий, например, места, из которого логинится пользователь.

Вот какая функциональность клиентского доступа может контролироваться средствами умных политик:

  • USB redirection – определяет, может ли пользователь локально подключать USB-устройства, такие как флешки, камеры или принтеры, и прокидывать их в свой виртуальный ПК.
  • Printing - контролирует, разрешено ли пользователю распечатывать документ из виртуального ПК на сетевом или USB-принтере, присоединенном к клиентскому компьютеру.
  • Clipboard - контролирует, можно ли пользователю копировать и вставлять текст и графику из клиентского компьютера в виртуальный ПК, из виртуального ПК в клиентский компьютер, в оба направления или ни в какие.
  • Client drive redirection - контролирует шаринг папок клиентского компьютера и виртуального ПК. Для этого режима можно использовать, например, настройку Read Only.
  • HTML Access file transfer (доступно, начиная с User Environment Manager 9.1) - контролирует, можно ли загружать и скачивать файлы с виртуального ПК через HTML Access.
  • Bandwidth profile - определяет скорость доступа, на которой агент будет пытаться поддерживать сессию с виртуальным ПК. Например, предотвращает попытку передачи данных на скорости выше чем физическая пропускная способность соединения. Настройка эта определяет режим как для протокола Blast Extreme, так и для PCoIP (только в UEM 9.1 и выше).

Политики работают следующим образом: вы выбираете настройки для фичей Horizon 7, которые вы хотите контролировать согласно специфическим условиям, при которых политики вступают в силу. Если вы не определите конкретных условий, то политики будут применены ко всем пользователям в контейнере OU, настроенном для User Environment Manager. Настройки всегда применяются при логине пользователя. Но можно настроить и триггеры, при срабатывании которых можно принудительно применить настройки и в другое время, например, при реконнекте пользователя к десктопу или приложению.

Политики применяются только к пользователям, подпадающим под некоторые условия. Если пользователь им не соответствует, то применяются дефолтные политики, относящиеся ко всем пользователям в пуле.

Давайте рассмотрим это на конкретном примере. Допустим мы хотим сделать так, чтобы пользователи виртуальных ПК (например, только отдел HR), соединяясь из внутренней среды предприятия со своим виртуальным ПК, могли копировать данные через буфер обмена и могли подцепить USB-устройство к виртуальному десктопу, чтобы скопировать с него данные. При этом для доступа через протокол Blast Extreme или PCoIP должен применяться сетевой профиль для локальной сети (LAN).

Откроем Management Console средства User Environment Manager, слева выберем Horizon Smart Policies и нажмем Create:

Первое, что мы выбираем после настроек имени и тэга - это фичи, которые будут активированы и их параметры. Настроим их так, чтобы проброс устройств (USB redirection) был включен, операции с буфером обмена тоже, а профиль для скорости доступа установлен в LAN:

Далее переходим на вкладку Conditions - это условия срабатывания политик. Нажимаем кнопку Add и выбираем свойство Client location, которое устанавливаем в Internal (пользователи, соединяющиеся изнутри компании через View Connection Server):

Здесь же вы могли бы установить его и в External. В этом случае политики бы применялись для клиентов, которые работают через Access Point appliance или Security Server (то есть соединения приходят из WAN-сети).

Далее добавим еще одно условие - имя пула виртуальных десктопов. В данном случае мы знаем, что, например, у HR-отдела они все начинаются с префикса "HR". Создадим такое условие:

Тут же, на вкладке Conditions, можно задавать параметры комбинации условий срабатывания политик. По умолчанию это оператор AND, что значит, что все условия должны быть соблюдены:

Теперь перейдем к триггерам (нужно выбрать раздел Triggered Tasks слева). Там же нажмем кнопку Create и увидим такую картину:

Здесь мы задаем собственно сам триггер (Reconnect session - то есть когда пользователь переподключился к своему ПК), а также действие, которое выполняется в при его срабатывании. Выберем здесь User Environment refresh (то есть переинициализация окружения с применением умных политик).

Далее нужно отметить галкой, что мы применяем действия триггера к Horizon Smart Policies:

На этом простейшие операции с умными политиками заканчиваются. Как вы уже поняли, по аналогии настраиваются и политики при доступе к виртуальным ПК извне, где можно наоборот запретить подключение USB-устройств и копирование данных через буфер обмена.

Если вам окажется мало этих знаний - загляните в документ "Reviewer’s guide for View in VMware Horizon 7: Smart Policies", в котором есть много интересной информации о работе умных политик.


Таги: VMware, Horizon, Security, View, VDI

Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.


В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?


Таги: 5nine, Security, Windows, Server, Cloud, Azure

Как сбросить пароль root на VMware vCenter Server Appliance.


Вчера мы писали о том, как работают средства высокой доступности (HA) виртуального модуля VMware vCenter Server Appliance, а сегодня расскажем про то, как восстановить пароль на сервере vCSA 6.5.

Как вы возможно знаете, в VMware vSphere 6.5 для виртуального модуля vCSA поменялась хостовая ОС - теперь это собственная ОС VMware - Photon OS, а значит все предыдущие способы восстановления пароля root работать не будут. Перед восстановлением пароля обязательно сделайте резервную копию виртуального модуля или хотя бы снимите его снапшот.

Для того, чтобы сбросить пароль root на vCenter Server Appliance, нужно:

1. Сразу же после загрузки нажать клавишу <e>, чтобы зайти в меню GNU GRUB Edit Menu.

2. Найти секцию, в которой происходит инициализация запуска Linux (она начинается со слова "linux"), и добавить в ее конец следующую строчку:

rw init=/bin/bash

3. После этого нажмите <F10>, чтобы продолжить загрузку.

4. Далее в командной строке введите команду:

passwd

и задайте пароль root.

5. Затем размонтируйте файловую систему следующей командой:

umount /

6. Перезагрузите vCenter Server Appliance 6.5, выполнив следующую команду:

reboot -f

7. После этого пароль root на vCenter Server Appliance будет сброшен. Не забудьте удалить снапшот, если вы его делали, после того как убедитесь, что новый пароль установлен.


Таги: VMware, vCenter, Server, Appliance, vCSA, Обучение, Security

О реальной безопасности виртуализации: VMware Workstation 12.5 взломали без труда.


Недавно мы писали о том, что компания VMware выпустила обновленные версии своих настольных платформ виртуализации - Workstation 12.5 и Fusion 8.5. Для тех, кто не знает, первая версия Workstation была выпущена еще в 1999 году, то есть 17 лет назад.

То есть, казалось бы, с безопасностью должно давно быть все в порядке. Между тем, на прошлой неделе в Южной Корее проходил слет по информационной безопасности PwnFest (в рамках конференции Power of Community), где различным командам хакеров давали на взлом наиболее популярные продукты. Среди них была и платформа VMware Workstation.

Так вот VMware Workstation 12.5 сломали без проблем сразу 2 команды хакеров, используя уязвимость с переполнением буфера для механизма Drag and Drop между хостом и гостевой ОС.

Эта уязвимость позволяет из гостевой ОС выполнять операции на хостовой машине, то есть уязвимость критическая. Механизму DnD между хостом и гостем уже сто лет в обед, а оказывается его без особых проблем можно сломать (для квалифицированных людей, само собой).

VMware уже исправила эту уязвимость и выпустила исправление. Обновленные версии продуктов можно скачать по этим ссылкам:

Ну а отключить Drag and Drop для Workstation можно вот в этом разделе интерфейса:

Еще одно доказательство того, что безопасность - эфемерна.


Таги: VMware, Workstation, Fusion, Security

Разница в шифровании на уровне виртуальных машин в VMware vSphere 6.5 и на уровне кластера Virtual SAN 6.5.


Как вы уже знаете, в новой версии платформы виртуализации VMware vSphere 6.5 появилось шифрование на уровне виртуальных машин, которое так давно запрашивали пользователи.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Между тем, на уровне отказоустойчивого кластера хранилищ Virtual SAN также есть возможность шифрования их содержимого. Как же эти два вида шифрования соотносятся между собой, и зачем они оба нужны?

Для начала посмотрим, как это работает на примере схемы шифрования на уровне виртуальных машин:

VM Encryption реализован на уровне программного интерфейса VAIO (vSphere APIs for IO Filters), который позволяет специальному фильтру обрабатывать команды ввода-вывода непосредственно до того, как они поступят в виде блоков на устройство хранения (помимо шифрования, фильтры могут еще и некоторым другим образом обрабатывать ввод-вывод).

Непосредственно - это означает, перед тем как отправить конечную команду ввода-вывода на устройство, фреймворк VAIO проверяет, назначено ли шифрование для ВМ в политике хранения (Storage policy), и если это так - то команда процессится на уровень соответствующего I/O-фильтра, после чего сразу же отправляется на блочный девайс.

Таким образом, на самом нижнем уровне происходит шифрование ввода-вывода, и это очень безопасно. Зато не очень удобно - зашифрованные таким образом блоки, поступающие в пространство хранения VSAN теперь уже не могут быть эффективно дедуплицированы (малая вероятность совпадения блоков), а также и сжаты - ведь шифрованные данные обладают большой энтропией, а значит неэффективны для алгоритмов сжатия.

Поэтому в кластере VSAN, где на первом плане, как правило, эффективность хранения виртуальных машин в плане экономии дискового пространства, шифрование организуется иным образом. Тут используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Поэтому шифрование на уровне кластера VSAN - это настройка также на уровне всего кластера. Таким образом, ключевые отличия данных методов шифрования состоят в следующем:

  • Шифрование уровня ВМ (VM Encryption) средствами VAIO:
    • Основано на политиках хранения (и включается для конкретной ВМ)
    • Передача данных также шифрована (vMotion)
    • Дедупликация на целевом хранилище неэффективна
  • Шифрование уровня кластера хранилищ (vSAN Encryption):
    • Включается для всего кластера в целом
    • Данные передаются между хостами в незашифрованном виде, но в кэше хранятся шифрованными
    • Полная совместимость со всеми сервисами VSAN, такими как компрессия и дедупликация

Таги: VMware, vSphere, VSAN, Security, Virtual SAN

Шифрование виртуальных машин в VMware vSphere 6.5 - как это работает?


Не так давно мы писали о новых возможностях платформы виртуализации VMware vSphere 6.5, где впервые появилась так давно запрашиваемая администраторами функция шифрования, как содержимого виртуальных дисков, так и шифрования горячих миграций vMotion.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

Шифрование объектов ВМ идет за ее пределами, таким образом гостевая ОС не имеет доступа к ключам шифрования. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Чтобы начать шифровать виртуальную машину, нужно назначить ей соответствующую политику хранения (Storage Policy):

Как работает VM Encryption в VMware vSphere 6.5:

  • Пользователь назначает политику VM Encryption на уровне виртуальной машины.
  • Для машины генерируется случайный ключ и шифруется ключом из key manager (KMS Key).
  • При включении ВМ сервер vCenter получает ключ из Key Manager, посылает его в VM encryption Module на сервере ESXi, что разлочивает ключ в гипервизоре.
  • Далее все операции ввода-вывода идут через encryption module, шифруя все входящие и исходящие SCSI-команды прозрачно для гостевой ОС.

Все это совместимо со сторонними системами управления ключами (и требует одну из них), которые построены на стандарте KMIP версии 1.1 или выше:

 

Для того, чтобы расшифровать виртуальную машину и хранить далее ее в обычном формате, нужно просто поставить дефолтную политику хранения (Datastore default).

Также будет специальный командлет PowerCLI, который может шифровать/расшифровывать ВМ, а также определять, какие из них в данный момент зашифрованы.

vCenter в системе шифрования работает только как клиент. Для управления ключами используется Key Management Server (KMS).

В механизме управления привилегиями теперь появилась роль No Cryptography Administrator. Если ее назначить, то стандартному администратору будут запрещены следующие привилегии:

  • Manage key servers
  • Manage keys
  • Manage encryption policies
  • Console access to encrypted VMs
  • Upload/download encrypted VMs

В качестве KMS можно использовать любые внешние системы, работающие по стандарту KMIP:

При использовании шифрования ВМ нужно учитывать следующие моменты:

  • Да, вам понадобится система управления ключами (внешний Key Management Server)
  • Не поддерживаются возможности SAN Backup.
  • Если для обычного метода бэкапа сделать резервную копию - она будет нешифрованной, если восстановить - то все будет в соответствии с политикой целевого хранилища (то есть, ВМ может оказаться незашифрованной после восстановления).
  • Сам сервер vCenter не может быть зашифрован - иначе его просто было бы нельзя включить.
  • Также не поддерживаются следующие возможности:
    • Suspend/resume
    • Шифрование ВМ со снапшотами и создание снапшотов для шифрованных ВМ
    • Serial/Parallel port
    • Content library
    • vSphere Replication

Для vMotion шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Есть 3 политики для шифрованного vMotion:

  • Disabled - отключено.
  • Opportunistic - шифрование только в случае, если это поддерживает источник и целевой хост ESXi, в противном случае vMotion будет нешифрованным.
  • Required - обязательно будет использоваться.

Перенос машин между хостами осуществляется путем обмена одноразовыми ключами, которые генерируются и обслуживаются сервером vCenter (не KMS).

В целом, шифрование виртуальных машин и миграций vMotion - штука классная, но помните, что вам потребуется для организации этого процесса внешний KMS-сервер.


Таги: VMware, VMachines, Security, vMotion, Update

Анонсирована новая версия платформы виртуализации VMware vSphere 6.5.


На проходящей сейчас конференции VMworld Europe 2016 в Барселоне компания VMware анонсировала скорую доступность новой версии своего флагманского продукта - серверной платформы виртуализации VMware vSphere 6.5.

Давайте посмотрим на новые возможности VMware vSphere 6.5:

1. Шифрование виртуальных машин (VM Encryption).

Наконец-то в vSphere появилось шифрование на уровне виртуальных дисков VMDK, работающее независимо от гостевой ОС в виртуальной машине.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

2. Шифрование трафика горячей миграции ВМ (vMotion Encryption).

Эта фича давно запрашивалась пользователями, и вот она наконец реализована в VMware vSphere 6.5. Шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Эта функция отключена по умолчанию и может быть включена для нешифрованных ВМ, но для шифрованных ВМ она используется в обязательном порядке.

3. Поддержка безопасной загрузки (Secure Boot).

Теперь при загрузке UEFI firmware валидирует цифровую подпись ядра VMkernel в соответствии с сертификатом, хранящемся в firmware. Это не позволяет постороннему ПО модифицировать ядро гипервизора, это же относится и к пакетам в VIB-формате, которые теперь также используют данный механизм валидации цифровой подписи после установки.

Механизм Secure Boot также теперь работает и для виртуальных машин (Windows и Linux):

4. Улучшенное логгирование (Enhanced Logging).

Тридиционно логи ESXi были предназначены для целей решения проблем, но не фокусировались на безопасности и фиксировании ИТ-операций. Теперь этот механизм был значительно переработан - он стал событийно-ориентированным.

То есть, теперь если происходит какое-нибудь событие, например, меняется конфигурация виртуальной машины, мы видим это в логе. Это помогает в управлении конфигурациями. Кроме того, если мы, например, переместим ВМ с виртуального свича PCI-vSwitch (защищенный) на Non-PCI-vSwitch (незащищенный) - мы сразу увидим это в логе, что отлично поможет в обеспечении безопасности:

Ну и, конечно же, решение VMware Log Insight теперь будет давать более детальную и структурированную информацию из логов.

5. Автоматизация управления жизненным циклом ВМ.

В vSphere 6.5 продукт VMware Update Manager (VUM) был окончательно интегрирован с VMware vCenter Server Appliance и полностью поддерживает все операции по патчингу и обновлениям. Теперь не нужно его отдельно устанавливать и интегрировать - он полностью готов к использованию.

Также функции VMware Host Profiles появились в vSphere Web Client, и для них был переработан интерфейс:

Для Host Profiles появились возможности простого копирования профилей в другие конфигурации через CSV-файл, в котором можно указать профили групп хостов. Также более плотная интеграция с DRS позволяет автоматизировать приведение хостов в соответствие с нужно конфигурацией с использованием режима Maintenance Mode.

Кроме того, был существенно доработан механизм Auto Deploy - он теперь имеет полноценный графический интерфейс и интегрирован с Web Client:

Теперь нет необходимости использовать PowerCLI для определения правил развертывания новых хостов ESXi. Также Auto Deploy интегрирован с VMware HA и теперь поддерживает UEFI hardware.

6. Функции Proactive HA.

Это очень интересная штука. Теперь в сотрудничестве с вендорами железа компания VMware разработала механизм проактивного обнаружения скорого сбоя хоста по датчикам аппаратных сенсоров (hardware sensors). В случае обнаружения скорого отказа хост помещается в режим Quarantine Mode. В этом режиме на него не мигрируют новые машины через механизм DRS, который пытается, в то же время, работающие ВМ убрать с проблемного хоста.

7. Функция vSphere HA Orchestrated Restart.

Теперь VMware HA позволяет учитывать взаимосвязи сервисов в виртуальных машинах при их рестарте в случае сбоя на основе заданных правил зависимостей VM-to-VM по приоритетам восстановления.

8. Упрощенный HA Admission Control.

Раньше то, как работает HA Admission Control, могли понять не все. Теперь администратор должен определить только параметр host failures to tolerate (FTT) - то есть, сколько отказов хостов должна пережить виртуальная инфраструктура с запасом по вычислительной емкости:

Также можно задать процент допускаемого падения ресурсов в случае отказа хостов ESXi.

9. Улучшения Fault Tolerance (FT).

Теперь DRS плотнее интегрирован с FT - при принятии решения о плейсменте FT-машин учитывается пропускная способность хоста по сети, что критически важно для таких ВМ.

Сам механизм Fault Tolerance был существенно доработан с точки зрения оптимизации использования канала. Также важно, что теперь Fault Tolerance умеет использовать сразу несколько физических интерфейсов для FT Logging (как и ранее vMotion). То есть теперь можно свободно применять несколько адаптеров для FT, если весь этот трафик не помещается в один NIC.

10. Новые DRS Advanced Options.

Теперь появились 3 новые опции для расширенных настроек механизма DRS:

  • VM Distribution - эта настройка устанавливает равномерное распределение ВМ по количеству в кластере (в целях высокой доступности - чтобы не вышли в офлайн сразу много машин одного хоста).
  • Memory Metric for Load Balancing - по умолчанию DRS прибавляет 25% к активной памяти ВМ при вычислении требуемых ресурсов. Здесь можно поставить вместо активной памяти параметр потребленной в данный момент памяти (consumed).
  • CPU over-commitment - эта опция позволяет перекрыть соотношение vCPU:pCPU в кластере.

11. Функции Network-Aware DRS.

Теперь DRS не мигрирует и не помещает ВМ на хосты, где утилизация сетевых ресурсов превышает 80%. Раньше DRS было пофиг, что там на хостах ESXi происходит с использованием физических аплинков.

12. Интеграция SIOC и SPBM.

Теперь функции Storage IO Control работают с использованием политик хранилищ (Storage Policies) и IO limits на базе механизма vSphere APIs for IO Filtering (VAIO). Через фреймворк Storage Based Policy Management (SPBM) администраторы могут определить пороговые значения для IOPS и политики хранилищ и назначить их виртуальной машине:

13. Улучшения Content Library.

Мы уже писали о компоненте Content Library, который упрощает использование образов для распределенной географически инфраструктуры. Теперь можно смонтировать ISO-образ и накатить профиль кастомизации прямо из Content Library.

14. Улучшения интерфейсов разработчика и автоматизатора.

Теперь появился API Explorer, через который удобно узнавать о функциях vSphere REST APIs для решения каких-либо административных или разработческих задач:

Также тут можно попробовать исполнение примера процедуры.

Кроме этого, механизм PowerCLI теперь полностью модульный. Также ESXCLI, который является частью интерфейсов vCLI, получил множество новых команд, поддерживает функции VSAN iSCSI и имеет множество других улучшений.

Ну и появился интерфейс Datacenter CLI (DCLI), который может вызывать vSphere REST APIs:

15. Улучшения vSphere with Operations Management (vSOM).

Тут множество действительно серьезных улучшений. vRealize Operations Manager (vROps) обновлен до версии 6.4, появилось множество новых дэшбордов (Operations Overview, Capacity Overview и Troubleshoot a VM) и средств анализа. Также был анонсирован Log Insight 4.0.

16. Улучшения vCenter Server Appliance.

Теперь vCSA имеет следующие эксклюзивные возможности по сравнению с традиционным vCenter:

  • Функцию Migration

Эту возможность Migration Tool для миграции сервисов vCenter в среду vCSA мы уже описывали вот тут.

  • Улучшенные средства управления виртуальным модулем

Здесь мы видим средства мониторинга состояния виртуального модуля vCSA и его компонентов (БД и т.п.):

  • Интегрированный VMware Update Manager (см. пункт 5)
  • Функции Native High Availability для обеспечения доступности vCenter

Эта функция позволяет обеспечить доступность для сервисов vCSA (обычный vCenter не поддерживается), развернув 2 экземпляра виртуального модуля и компонент Witness, обеспечивающий защиту от ситуации Split Brain:

  • Встроенные механизмы бэкапа и восстановления vCSA

Виртуальные модули vCenter Server и Platform Services Controller могут быть забэкаплены через VAMI или API вместе с компонентами VUM и Auto Deploy, которые располагаются вместе с vCSA. Резервная копия будет содержать набор необходимых файлов, которые будут переданы на целевое хранилище по протоколам SCP, HTTP(s) или FTP(s).

17. Чуть доработанный vSphere Web Client.

Да, тонкий клиент сейчас, по-прежнему, работает на базе Adobe Flex и требует Adobe Flash, что может потенциально вызвать проблемы с производительностью. Между тем, сообщают, что у веб-клиента появилось множество улучшений, включая переработанный интерфейс:

Веб-клиент vSphere доступен по этой ссылке:

http://<vcenter_fqdn>/vsphere-client

18. Новый vSphere Client.

О тонком HTML5-клиенте для платформы vSphere мы уже писали очень много (последний раз тут). Он скоро заменит толстый C#-клиент. Он полностью поддерживается для vSphere 6.5, но не имеет пока полного набора фичей, необходимого для управления платформой vSphere и всеми ее компонентами:

vSphere Client доступен по этой ссылке:

http://<vcenter_fqdn>/ui

Тем не менее, переход на HTML5 Client планируется в ближайшее время. Не успели, видимо, парни к релизу!)

Ожидается, что VMware vSphere 6.5 будет доступна до конца 2016 года. Ждем. Ну а в ближайшее время мы расскажем про анонсированные новые версии продуктов vRealize Automation 7.2, VMware Virtual SAN 6.5, SRM 6.5 и Virtual Volumes 2.0.


Таги: VMware, vSphere, Update, ESXi, Automation, Security, vCenter

Интересная бесплатная утилита - Netwrix Change Notifier for VMware.


У компании Netwrix, выпускающей средства аудита программных решений в виртуальных и физических инфраструктурах, оказывается есть полезное решение, которое может помочь администраторам VMware vSphere в отслеживании изменений, происходящих в компонентах платформы.

Бесплатная утилита Netwrix Change Notifier for VMware позволяет осуществлять мониторинг событий в виртуальной инфраструктуре и оповещать администраторов об изменениях на регулярной основе. Это средство отслеживает изменившиеся конфигурации виртуальных датацентров, хостов VMware ESXi, пулов ресурсов, кластеров, папок, самих виртуальных машин и других объектов.

В результате аудита администратору каждые 24 часа предоставляется отчет по электронной почте в следующем виде (кликабельно):

Очень полезно, что мы видим не только изменения настроек в соответствующих компонентах, но и добавление или удаление объектов. Естественно, под эгидой бесплатной утилиты Netwrix продает и платное решение Netwrix Auditor, которое скажет, кто и когда делал изменения, предоставит расширенный поиск по событиям и репортинг нескольким пользователям, но для маленькой инфраструктуры Change Notifier окажется вполне достаточным.

Feature Change Notifier Netwrix Auditor
Automatic daily email reports showing all changes made during the last day
Details on what changed in VMware
Who, when and where details for every change
Before and after values for all modifications
Predefined reports based on SQL Server Reporting Services, with filtering, sorting and exporting options
Google-like search of audit data with custom search queries and custom reports
Out-of-the-box compliance reports mapped to specific regulatory standards (PCI DSS, HIPAA, SOX, FISMA/NIST800-53 and ISO/IEC 27001)
Long-term storage of audit data in a two-tiered (file-based + SQL database) storage system
Email subscriptions to scheduled reports with the ability to choose multiple recipients (or specific folders), delivery frequency and delivery format
Reports on virtual machine sprawl statistics over a selected period of time
Single installation that handles multiple VMware vSphere instances, each with its own unique settings
Advanced cross-system auditing and reporting

Скачать Netwrix Change Notifier for VMware можно по этой ссылке.


Таги: Netwrix, Utilities, VMware, vSphere, Security, ESXi

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).


Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД.


Таги: 5nine, Security, VMware, NSX, Microsoft, Hyper-V

Обновленный vGate R2 3.0 от "Кода безопасности" - полный список новых возможностей.


Недавно мы писали о том, что новая версия vGate R2 3.0 от компании "Код безопасности" поступила в продажу. vGate - это главное в России средство, позволяющее безопасно настроить инфраструктуру согласно различным требованиям (в том числе государственных регуляторов) с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам. Сегодня мы рассмотрим полный список новых возможностей этого продукта.


Таги: vGate, Security Code, Update, Security, Cloud, SC VMM, Hyper-V, VMware, vSphere

Обновленные версии vGate 3.0 от "Кода безопасности" (vGate R2 и vGate-S R2) поступили в продажу!


Среди компаний, имеющих в своей производственной среде виртуальную инфраструктуру VMware vSphere или Microsoft Hyper-V, многие применяют для защиты виртуальных сред средство vGate R2 от компании "Код безопасности", позволяющее безопасно настроить инфраструктуру согласно различным требованиям с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам.

На днях компания "Код безопасности" объявила о том, что обновленные версии продуктов vGate R2 и vGate-S R2 (релиз 3.0) для защиты сред виртуализации на базе VMware vSphere и Microsoft Hyper-V поступили в продажу. Напомним, что о возможностях прошлой версии мы уже писали вот тут, а в этом разделе мы собираем все новости о решении vGate (включая анонсы третьей версии).

Новая версия vGate R2 3.0, прежде всего, отличается расширенными возможностями работы в распределенных инфраструктурах и изменением схемы лицензирования. В результате заказчики vGate смогут получить функционал продукта, в наибольшей степени отвечающий целям и задачам организации. Обновленная версия vGate (vGate R2 и vGate-S R2, релиз 3.0) поддерживает расширенный набор инструментов работы с платформами виртуализации VMware vSphere и Microsoft Hyper-V.

Ниже приведены основные нововведения новой версии vGate 3.0:

  • В vGate 3.0 реализована полнофункциональная работа на платформе VMware vSphere 6. В качестве сервера управления инфраструктурой виртуализации теперь может выступать vCenter Server Appliance (VCSA), а управление ESXi-хостами может осуществляться посредством ESXi Embedded Host Client.
  • Обновленный продукт осуществляет поддержку управления инфраструктурой на базе Microsoft Hyper-V через System Center Virtual Machine Manager, а управление кластерами Hyper-V реализовано через Failover Cluster Manager.
  • Для быстрой настройки привилегий пользователей используется ролевая модель доступа. При создании учетной записи можно ограничить доступ по типам объектов, предоставив его, например, только к виртуальным машинам или сетевым объектам.
  • У продукта появился ряд новых функций для работы в Enterprise-инфраструктурах. Например, реализована поддержка режима горячего резервирования и автопереключение сервера авторизации (High-Availability cluster). В случае потери работоспособности основного сервера в автоматическом режиме происходят переключение на резервный сервер, замена IP-адреса и оповещение администратора.
  • Обновленная версия продукта позволяет работать с несколькими площадками виртуализации одновременно (этот функционал доступен только в Enterprise-редакции продукта - он будет очень полезен в крупных инфраструктурах). Механизм подключения агента аутентификации к нескольким серверам авторизации vGate дает возможность взаимодействовать со всей территориально распределенной виртуальной инфраструктурой. Построение леса серверов авторизации позволяет устанавливать групповые политики безопасности, а поддержка функции Cross vCenter vMotion обеспечивает в случае аварий миграцию виртуальных машин между серверами с сохранением политик безопасности.
  • Помимо этого, в vGate версии 3.0 обновлены наборы политик безопасности, обеспечивающие соответствие приказам ФСТЭК России №17 и №21, стандартам СТО БР ИББС, PCI DSS и другие.

Новые версии vGate R2 и vGate-S R2 применимы для защиты конфиденциальной информации и государственной тайны. Продукты прошли инспекционный контроль ФСТЭК России в подтверждение выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383.

vGate 3.0 можно приобрести в одной из двух редакций: Standard или Enterprise (для которой доступны все функции работы в крупных инфраструктурах). Ниже приведены основные отличия этих изданий:

Получить дополнительную информацию о технических особенностях vGate и направить запрос на получение демо-ключа можно по e-mail: vgateinfo@securitycode.ru. Более подробная информация о решении представлена на странице продукта vGate R2.


Таги: Security Code, vGate, Security, VMware, vSphere, Microsoft, Hyper-V

VMware GOLD vApp STIG Assessment and Remediation Tool (START) - приложение Docker для выявления и исправления проблем безопасности Linux-машин.


На сайте проекта VMware Labs появилось интересное средство - VMware GOLD vApp STIG Assessment and Remediation Tool (START), которое представлет собой Docker-контейнер, способный обследовать любую удаленную Linux-систему по протоколу Security Content Automation Protocol (SCAP) в реализации OpenSCAP и исправить найденные уязвимости согласно стандарту STIG (Security Technical Implementation Guide).

На базе преконфигуренных шаблонов утилита START может обнаруживать уязвимости в других системах, после чего к ним можно применять различные действия средствами Ansible. Вы также можете видеть результаты обследования и исправления систем (assessment reports, remediation reports и hardening reports). Отчеты имеют метку времени и детали о каждой машине для быстрой идентификации системы. Кроме того, можно проверить последние полученные отчеты на различия в соответствии, а также можно указать произвольные xml-файлы отчетов для сравнения.

При проверке соответствия системы возможны два действия с найденными проблемами: remediation и hardening. Различие между ними в том, что при remediation фиксы накладываются только для тех пунктов, где найдено несоответствие системы определенной в шаблоне конфигурации, а при hardening накладываются все фиксы, независимо от текущего состояния системы.

VMware выпустила большую серию обучающих видеороликов, разъясняющих подробности работы утилиты START:

Срество VMware GOLD vApp STIG Assessment and Remediation Tool доступно для загрузки с GitHub по этой ссылке. Текст лицензии доступен тут.


Таги: VMware, Docker, Linux, Labs, Security

Для чего нужен и как работает механизм True SSO в инфраструктуре виртуальных ПК VMware Horizon.


Как многие из вас знают, в последней версии решения VMware Horizon 7 появился механизм аутентификации True SSO. Эта штука связывает средство единой аутентификации VMware Identity Manager с решением VMware Horizon 7 для решения задач одноразовой аутентификации пользователя различными методами (пароль, смарт-карта и т.п.), чтобы после этого он получал доступ к своему виртуальному ПК и приложениям без дополнительной аутентификации в Active Directory.

Задача эта важна, поскольку, например, VMware Horizon View используется в медицинских учереждениях, а там важно, чтобы врач получал мгновенный доступ к своему ПК, который может быть виртуальным. С помощью True SSO он теперь может просто приложить смарт-карту, после чего получит доступ к своим виртуальным ресурсам, на которые даны разрешения в инфраструктуре VMware View.

VMware Identity Manager Standard включен в издания VMware Horizon 7 Advanced и Enterprise, поэтому вы сразу можете приступать к работе через механизм True SSO. Суть работы этого механизма такова - сначала пользователь авторизуется через принятый в компании метод авторизации. Это может быть один из следующих (то, что поддерживает Identity Manager):

  • RSA SecurID
  • Kerberos
  • RADIUS authentication
  • RSA Adaptive Authentication
  • Сторонние провайдеры аутентификации, например, биометрические системы.

Далее пользователь уже может запустить любой десктоп или hosted-приложение уже без необходимости ввода своих паролей в Active Directory или какой-либо другой аутентификации. True SSO использует механизм SAML (Security Assertion Markup Language) для того чтобы передать User Principal Name (например, jdoe@example.com) к службе аутентификации, чтобы получить доступ к учетной записи AD. Затем Horizon 7 генерирует краткосрочные сертификаты для логина в гостевую ОС Windows виртуального ПК.

Преимущества этого метода таковы:

  • Отделение процесса аутентификации от непосредственно доступа к виртуальному ПК и приложениям (пользователь точно знает, что аутентифицироваться он будет лишь однажды - как подошел к компьютеру).
  • Повышенная безопасность - весь обмен идет на базе сертификатов, и пароли не гуляют по датацентру.
  • Поддержка большого набора методов аутентификации, приведенных выше. Если мы захотим поменять используемый метод - это не затронет инфраструктуру в целом.

Вот как работает True SSO:

1. Пользователь аутентифицируется в VMware Identify Manager одним из способов описанных выше. После этого пользователь выбирает десктоп или приложение из доступных ему, которое он хочет запустить, в консоли VMware Identity Manager.

2. Запускается Horizon Client под учетными данными пользователя, а его креды перенаправляются на View Connection Server.

3. View Connection Server валидирует идентификацию пользователя в Identify Manager путем отсылки SAML-запроса.

4. За счет использования службы Enrollment Service, Horizon 7 просит службу Microsoft Certificate Authority (CA) сгенерировать временный сертификат от имени пользователя.

5. Horizon 7 показывает этот сертификат ОС Windows виртуального ПК.

6. Windows аутентифицирует через этот сертификат пользователя в службе Active Directory.

7. Пользователь логинится в Windows-десктоп или приложение, а удаленная сессия обслуживается через Horizon Client.

Для работы механизма True SSO вам понадобится отдельная служба Enrollment Service, которая может быть развернута на машине с ОС Windows Server 2008 R2 или Windows Server 2012 R2 (4 ГБ оперативной памяти будет достаточно). Сам True SSO поддерживается для всех клиентских Windows-систем, а также протоколов доступа к виртуальным ПК, включая Blast Extreme и HTML Access.


Таги: VMware, SSO, Identity Manager, Security, Horizon, View, VDI

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11    >   >>
Реклама



Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

06/03/2018:  ИТ-стратегия 2018
24/05/2018:  IT&SECURITY FORUM (Казань)

Быстрый переход:
IT-Grad VMware Cisco StarWind Veeam vGate Microsoft Cloud SDRS Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn Security Code 1cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vCloud Tools vCSA vSAN Horizon Networking esxtop VVols HA Backup Book Photon VMworld vROPs Labs Fusion Cloud Computing SSD Client DRS OpenStack Comparison Workstation Blast SRM App Volumes Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO LSFS Workspace Host Client VMDK VTL Update iSCSI SDDC NSX Agent Virtual Appliance Whitepaper PowerShell Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Converter XenApp Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Director Migration Diagram Bug Troubleshooting Air API CLI Plugin DPM Memory Upgrade SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Сравнение Oracle VirtualBox и VMware Workstation.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.