Новости Статьи VMware Veeam StarWind vGate! Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4120 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru | Ссылка дня: Veeam Agent для Linux и Windows - бесплатны для всех клиентов Veeam

Что такое и как работают умные политики (Smart Policies) в инфраструктуре VMware Horizon 7.


Как знают администраторы инфраструктур виртуальных ПК, построенных на базе VMware Horizon 7, в последней мажорной версии решения VMware User Environment Manager 9.0 (UEM) появилась интересная возможность - умные политики (Smart Policies). Эта функциональность позволяет применять настройки пользовательского окружения в виртуальном ПК в зависимости от различных условий, например, места, из которого логинится пользователь.

Вот какая функциональность клиентского доступа может контролироваться средствами умных политик:

  • USB redirection – определяет, может ли пользователь локально подключать USB-устройства, такие как флешки, камеры или принтеры, и прокидывать их в свой виртуальный ПК.
  • Printing - контролирует, разрешено ли пользователю распечатывать документ из виртуального ПК на сетевом или USB-принтере, присоединенном к клиентскому компьютеру.
  • Clipboard - контролирует, можно ли пользователю копировать и вставлять текст и графику из клиентского компьютера в виртуальный ПК, из виртуального ПК в клиентский компьютер, в оба направления или ни в какие.
  • Client drive redirection - контролирует шаринг папок клиентского компьютера и виртуального ПК. Для этого режима можно использовать, например, настройку Read Only.
  • HTML Access file transfer (доступно, начиная с User Environment Manager 9.1) - контролирует, можно ли загружать и скачивать файлы с виртуального ПК через HTML Access.
  • Bandwidth profile - определяет скорость доступа, на которой агент будет пытаться поддерживать сессию с виртуальным ПК. Например, предотвращает попытку передачи данных на скорости выше чем физическая пропускная способность соединения. Настройка эта определяет режим как для протокола Blast Extreme, так и для PCoIP (только в UEM 9.1 и выше).

Политики работают следующим образом: вы выбираете настройки для фичей Horizon 7, которые вы хотите контролировать согласно специфическим условиям, при которых политики вступают в силу. Если вы не определите конкретных условий, то политики будут применены ко всем пользователям в контейнере OU, настроенном для User Environment Manager. Настройки всегда применяются при логине пользователя. Но можно настроить и триггеры, при срабатывании которых можно принудительно применить настройки и в другое время, например, при реконнекте пользователя к десктопу или приложению.

Политики применяются только к пользователям, подпадающим под некоторые условия. Если пользователь им не соответствует, то применяются дефолтные политики, относящиеся ко всем пользователям в пуле.

Давайте рассмотрим это на конкретном примере. Допустим мы хотим сделать так, чтобы пользователи виртуальных ПК (например, только отдел HR), соединяясь из внутренней среды предприятия со своим виртуальным ПК, могли копировать данные через буфер обмена и могли подцепить USB-устройство к виртуальному десктопу, чтобы скопировать с него данные. При этом для доступа через протокол Blast Extreme или PCoIP должен применяться сетевой профиль для локальной сети (LAN).

Откроем Management Console средства User Environment Manager, слева выберем Horizon Smart Policies и нажмем Create:

Первое, что мы выбираем после настроек имени и тэга - это фичи, которые будут активированы и их параметры. Настроим их так, чтобы проброс устройств (USB redirection) был включен, операции с буфером обмена тоже, а профиль для скорости доступа установлен в LAN:

Далее переходим на вкладку Conditions - это условия срабатывания политик. Нажимаем кнопку Add и выбираем свойство Client location, которое устанавливаем в Internal (пользователи, соединяющиеся изнутри компании через View Connection Server):

Здесь же вы могли бы установить его и в External. В этом случае политики бы применялись для клиентов, которые работают через Access Point appliance или Security Server (то есть соединения приходят из WAN-сети).

Далее добавим еще одно условие - имя пула виртуальных десктопов. В данном случае мы знаем, что, например, у HR-отдела они все начинаются с префикса "HR". Создадим такое условие:

Тут же, на вкладке Conditions, можно задавать параметры комбинации условий срабатывания политик. По умолчанию это оператор AND, что значит, что все условия должны быть соблюдены:

Теперь перейдем к триггерам (нужно выбрать раздел Triggered Tasks слева). Там же нажмем кнопку Create и увидим такую картину:

Здесь мы задаем собственно сам триггер (Reconnect session - то есть когда пользователь переподключился к своему ПК), а также действие, которое выполняется в при его срабатывании. Выберем здесь User Environment refresh (то есть переинициализация окружения с применением умных политик).

Далее нужно отметить галкой, что мы применяем действия триггера к Horizon Smart Policies:

На этом простейшие операции с умными политиками заканчиваются. Как вы уже поняли, по аналогии настраиваются и политики при доступе к виртуальным ПК извне, где можно наоборот запретить подключение USB-устройств и копирование данных через буфер обмена.

Если вам окажется мало этих знаний - загляните в документ "Reviewer’s guide for View in VMware Horizon 7: Smart Policies", в котором есть много интересной информации о работе умных политик.


Таги: VMware, Horizon, Security, View, VDI

Как повысить безопасность Windows Server 2016 с 5nine Cloud Security.


В последние годы компания 5nine Software, участвовала во множестве проектов, в которых клиенты строили свою виртуальную инфраструктуру на платформе Windows Server, начиная от версии 2008 до 2016. Это были, как правило, проекты крупных компаний с повышенными требованиями к безопасности. Не секрет, что в последнее время инциденты ИБ в крупных компаниях и государственных организациях стали регулярными. В условиях, когда пользователи теряют конфиденциальную информацию и крупные средства, такие требования выглядят разумными. Почему же участились инциденты ИБ и как можно повысить безопасность своей инфраструктуры с новой серверной ОС Microsoft?


Таги: 5nine, Security, Windows, Server, Cloud, Azure

Как сбросить пароль root на VMware vCenter Server Appliance.


Вчера мы писали о том, как работают средства высокой доступности (HA) виртуального модуля VMware vCenter Server Appliance, а сегодня расскажем про то, как восстановить пароль на сервере vCSA 6.5.

Как вы возможно знаете, в VMware vSphere 6.5 для виртуального модуля vCSA поменялась хостовая ОС - теперь это собственная ОС VMware - Photon OS, а значит все предыдущие способы восстановления пароля root работать не будут. Перед восстановлением пароля обязательно сделайте резервную копию виртуального модуля или хотя бы снимите его снапшот.

Для того, чтобы сбросить пароль root на vCenter Server Appliance, нужно:

1. Сразу же после загрузки нажать клавишу <e>, чтобы зайти в меню GNU GRUB Edit Menu.

2. Найти секцию, в которой происходит инициализация запуска Linux (она начинается со слова "linux"), и добавить в ее конец следующую строчку:

rw init=/bin/bash

3. После этого нажмите <F10>, чтобы продолжить загрузку.

4. Далее в командной строке введите команду:

passwd

и задайте пароль root.

5. Затем размонтируйте файловую систему следующей командой:

umount /

6. Перезагрузите vCenter Server Appliance 6.5, выполнив следующую команду:

reboot -f

7. После этого пароль root на vCenter Server Appliance будет сброшен. Не забудьте удалить снапшот, если вы его делали, после того как убедитесь, что новый пароль установлен.


Таги: VMware, vCenter, Server, Appliance, vCSA, Обучение, Security

О реальной безопасности виртуализации: VMware Workstation 12.5 взломали без труда.


Недавно мы писали о том, что компания VMware выпустила обновленные версии своих настольных платформ виртуализации - Workstation 12.5 и Fusion 8.5. Для тех, кто не знает, первая версия Workstation была выпущена еще в 1999 году, то есть 17 лет назад.

То есть, казалось бы, с безопасностью должно давно быть все в порядке. Между тем, на прошлой неделе в Южной Корее проходил слет по информационной безопасности PwnFest (в рамках конференции Power of Community), где различным командам хакеров давали на взлом наиболее популярные продукты. Среди них была и платформа VMware Workstation.

Так вот VMware Workstation 12.5 сломали без проблем сразу 2 команды хакеров, используя уязвимость с переполнением буфера для механизма Drag and Drop между хостом и гостевой ОС.

Эта уязвимость позволяет из гостевой ОС выполнять операции на хостовой машине, то есть уязвимость критическая. Механизму DnD между хостом и гостем уже сто лет в обед, а оказывается его без особых проблем можно сломать (для квалифицированных людей, само собой).

VMware уже исправила эту уязвимость и выпустила исправление. Обновленные версии продуктов можно скачать по этим ссылкам:

Ну а отключить Drag and Drop для Workstation можно вот в этом разделе интерфейса:

Еще одно доказательство того, что безопасность - эфемерна.


Таги: VMware, Workstation, Fusion, Security

Разница в шифровании на уровне виртуальных машин в VMware vSphere 6.5 и на уровне кластера Virtual SAN 6.5.


Как вы уже знаете, в новой версии платформы виртуализации VMware vSphere 6.5 появилось шифрование на уровне виртуальных машин, которое так давно запрашивали пользователи.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Между тем, на уровне отказоустойчивого кластера хранилищ Virtual SAN также есть возможность шифрования их содержимого. Как же эти два вида шифрования соотносятся между собой, и зачем они оба нужны?

Для начала посмотрим, как это работает на примере схемы шифрования на уровне виртуальных машин:

VM Encryption реализован на уровне программного интерфейса VAIO (vSphere APIs for IO Filters), который позволяет специальному фильтру обрабатывать команды ввода-вывода непосредственно до того, как они поступят в виде блоков на устройство хранения (помимо шифрования, фильтры могут еще и некоторым другим образом обрабатывать ввод-вывод).

Непосредственно - это означает, перед тем как отправить конечную команду ввода-вывода на устройство, фреймворк VAIO проверяет, назначено ли шифрование для ВМ в политике хранения (Storage policy), и если это так - то команда процессится на уровень соответствующего I/O-фильтра, после чего сразу же отправляется на блочный девайс.

Таким образом, на самом нижнем уровне происходит шифрование ввода-вывода, и это очень безопасно. Зато не очень удобно - зашифрованные таким образом блоки, поступающие в пространство хранения VSAN теперь уже не могут быть эффективно дедуплицированы (малая вероятность совпадения блоков), а также и сжаты - ведь шифрованные данные обладают большой энтропией, а значит неэффективны для алгоритмов сжатия.

Поэтому в кластере VSAN, где на первом плане, как правило, эффективность хранения виртуальных машин в плане экономии дискового пространства, шифрование организуется иным образом. Тут используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Поэтому шифрование на уровне кластера VSAN - это настройка также на уровне всего кластера. Таким образом, ключевые отличия данных методов шифрования состоят в следующем:

  • Шифрование уровня ВМ (VM Encryption) средствами VAIO:
    • Основано на политиках хранения (и включается для конкретной ВМ)
    • Передача данных также шифрована (vMotion)
    • Дедупликация на целевом хранилище неэффективна
  • Шифрование уровня кластера хранилищ (vSAN Encryption):
    • Включается для всего кластера в целом
    • Данные передаются между хостами в незашифрованном виде, но в кэше хранятся шифрованными
    • Полная совместимость со всеми сервисами VSAN, такими как компрессия и дедупликация

Таги: VMware, vSphere, VSAN, Security, Virtual SAN

Шифрование виртуальных машин в VMware vSphere 6.5 - как это работает?


Не так давно мы писали о новых возможностях платформы виртуализации VMware vSphere 6.5, где впервые появилась так давно запрашиваемая администраторами функция шифрования, как содержимого виртуальных дисков, так и шифрования горячих миграций vMotion.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

Шифрование объектов ВМ идет за ее пределами, таким образом гостевая ОС не имеет доступа к ключам шифрования. Шифрованные виртуальные машины всегда перемещаются между хостами ESXi средствами также шифрованного vMotion.

Чтобы начать шифровать виртуальную машину, нужно назначить ей соответствующую политику хранения (Storage Policy):

Как работает VM Encryption в VMware vSphere 6.5:

  • Пользователь назначает политику VM Encryption на уровне виртуальной машины.
  • Для машины генерируется случайный ключ и шифруется ключом из key manager (KMS Key).
  • При включении ВМ сервер vCenter получает ключ из Key Manager, посылает его в VM encryption Module на сервере ESXi, что разлочивает ключ в гипервизоре.
  • Далее все операции ввода-вывода идут через encryption module, шифруя все входящие и исходящие SCSI-команды прозрачно для гостевой ОС.

Все это совместимо со сторонними системами управления ключами (и требует одну из них), которые построены на стандарте KMIP версии 1.1 или выше:

 

Для того, чтобы расшифровать виртуальную машину и хранить далее ее в обычном формате, нужно просто поставить дефолтную политику хранения (Datastore default).

Также будет специальный командлет PowerCLI, который может шифровать/расшифровывать ВМ, а также определять, какие из них в данный момент зашифрованы.

vCenter в системе шифрования работает только как клиент. Для управления ключами используется Key Management Server (KMS).

В механизме управления привилегиями теперь появилась роль No Cryptography Administrator. Если ее назначить, то стандартному администратору будут запрещены следующие привилегии:

  • Manage key servers
  • Manage keys
  • Manage encryption policies
  • Console access to encrypted VMs
  • Upload/download encrypted VMs

В качестве KMS можно использовать любые внешние системы, работающие по стандарту KMIP:

При использовании шифрования ВМ нужно учитывать следующие моменты:

  • Да, вам понадобится система управления ключами (внешний Key Management Server)
  • Не поддерживаются возможности SAN Backup.
  • Если для обычного метода бэкапа сделать резервную копию - она будет нешифрованной, если восстановить - то все будет в соответствии с политикой целевого хранилища (то есть, ВМ может оказаться незашифрованной после восстановления).
  • Сам сервер vCenter не может быть зашифрован - иначе его просто было бы нельзя включить.
  • Также не поддерживаются следующие возможности:
    • Suspend/resume
    • Шифрование ВМ со снапшотами и создание снапшотов для шифрованных ВМ
    • Serial/Parallel port
    • Content library
    • vSphere Replication

Для vMotion шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Есть 3 политики для шифрованного vMotion:

  • Disabled - отключено.
  • Opportunistic - шифрование только в случае, если это поддерживает источник и целевой хост ESXi, в противном случае vMotion будет нешифрованным.
  • Required - обязательно будет использоваться.

Перенос машин между хостами осуществляется путем обмена одноразовыми ключами, которые генерируются и обслуживаются сервером vCenter (не KMS).

В целом, шифрование виртуальных машин и миграций vMotion - штука классная, но помните, что вам потребуется для организации этого процесса внешний KMS-сервер.


Таги: VMware, VMachines, Security, vMotion, Update

Анонсирована новая версия платформы виртуализации VMware vSphere 6.5.


На проходящей сейчас конференции VMworld Europe 2016 в Барселоне компания VMware анонсировала скорую доступность новой версии своего флагманского продукта - серверной платформы виртуализации VMware vSphere 6.5.

Давайте посмотрим на новые возможности VMware vSphere 6.5:

1. Шифрование виртуальных машин (VM Encryption).

Наконец-то в vSphere появилось шифрование на уровне виртуальных дисков VMDK, работающее независимо от гостевой ОС в виртуальной машине.

Устроено это шифрование ВМ на базе алгоритма AES-NI, а управление ключами происходит по стандарту KMIP 1.1. Когда операция ввода-вывода приходит на диск виртуальной машины - она сразу же шифруется "на лету", что обеспечивает полную безопасность при попытке несанкционированного доступа к данным.

Шифруются не только виртуальные диски, но и конфигурационные файлы VMX, файлы снапшотов и все прочие файловые объекты, относящиеся к виртуальной машине.

2. Шифрование трафика горячей миграции ВМ (vMotion Encryption).

Эта фича давно запрашивалась пользователями, и вот она наконец реализована в VMware vSphere 6.5. Шифрование включается на уровне отдельной ВМ, а для передачи данных в момент синхронизации используются 256-битные ключи шифрования.

Эта функция отключена по умолчанию и может быть включена для нешифрованных ВМ, но для шифрованных ВМ она используется в обязательном порядке.

3. Поддержка безопасной загрузки (Secure Boot).

Теперь при загрузке UEFI firmware валидирует цифровую подпись ядра VMkernel в соответствии с сертификатом, хранящемся в firmware. Это не позволяет постороннему ПО модифицировать ядро гипервизора, это же относится и к пакетам в VIB-формате, которые теперь также используют данный механизм валидации цифровой подписи после установки.

Механизм Secure Boot также теперь работает и для виртуальных машин (Windows и Linux):

4. Улучшенное логгирование (Enhanced Logging).

Тридиционно логи ESXi были предназначены для целей решения проблем, но не фокусировались на безопасности и фиксировании ИТ-операций. Теперь этот механизм был значительно переработан - он стал событийно-ориентированным.

То есть, теперь если происходит какое-нибудь событие, например, меняется конфигурация виртуальной машины, мы видим это в логе. Это помогает в управлении конфигурациями. Кроме того, если мы, например, переместим ВМ с виртуального свича PCI-vSwitch (защищенный) на Non-PCI-vSwitch (незащищенный) - мы сразу увидим это в логе, что отлично поможет в обеспечении безопасности:

Ну и, конечно же, решение VMware Log Insight теперь будет давать более детальную и структурированную информацию из логов.

5. Автоматизация управления жизненным циклом ВМ.

В vSphere 6.5 продукт VMware Update Manager (VUM) был окончательно интегрирован с VMware vCenter Server Appliance и полностью поддерживает все операции по патчингу и обновлениям. Теперь не нужно его отдельно устанавливать и интегрировать - он полностью готов к использованию.

Также функции VMware Host Profiles появились в vSphere Web Client, и для них был переработан интерфейс:

Для Host Profiles появились возможности простого копирования профилей в другие конфигурации через CSV-файл, в котором можно указать профили групп хостов. Также более плотная интеграция с DRS позволяет автоматизировать приведение хостов в соответствие с нужно конфигурацией с использованием режима Maintenance Mode.

Кроме того, был существенно доработан механизм Auto Deploy - он теперь имеет полноценный графический интерфейс и интегрирован с Web Client:

Теперь нет необходимости использовать PowerCLI для определения правил развертывания новых хостов ESXi. Также Auto Deploy интегрирован с VMware HA и теперь поддерживает UEFI hardware.

6. Функции Proactive HA.

Это очень интересная штука. Теперь в сотрудничестве с вендорами железа компания VMware разработала механизм проактивного обнаружения скорого сбоя хоста по датчикам аппаратных сенсоров (hardware sensors). В случае обнаружения скорого отказа хост помещается в режим Quarantine Mode. В этом режиме на него не мигрируют новые машины через механизм DRS, который пытается, в то же время, работающие ВМ убрать с проблемного хоста.

7. Функция vSphere HA Orchestrated Restart.

Теперь VMware HA позволяет учитывать взаимосвязи сервисов в виртуальных машинах при их рестарте в случае сбоя на основе заданных правил зависимостей VM-to-VM по приоритетам восстановления.

8. Упрощенный HA Admission Control.

Раньше то, как работает HA Admission Control, могли понять не все. Теперь администратор должен определить только параметр host failures to tolerate (FTT) - то есть, сколько отказов хостов должна пережить виртуальная инфраструктура с запасом по вычислительной емкости:

Также можно задать процент допускаемого падения ресурсов в случае отказа хостов ESXi.

9. Улучшения Fault Tolerance (FT).

Теперь DRS плотнее интегрирован с FT - при принятии решения о плейсменте FT-машин учитывается пропускная способность хоста по сети, что критически важно для таких ВМ.

Сам механизм Fault Tolerance был существенно доработан с точки зрения оптимизации использования канала. Также важно, что теперь Fault Tolerance умеет использовать сразу несколько физических интерфейсов для FT Logging (как и ранее vMotion). То есть теперь можно свободно применять несколько адаптеров для FT, если весь этот трафик не помещается в один NIC.

10. Новые DRS Advanced Options.

Теперь появились 3 новые опции для расширенных настроек механизма DRS:

  • VM Distribution - эта настройка устанавливает равномерное распределение ВМ по количеству в кластере (в целях высокой доступности - чтобы не вышли в офлайн сразу много машин одного хоста).
  • Memory Metric for Load Balancing - по умолчанию DRS прибавляет 25% к активной памяти ВМ при вычислении требуемых ресурсов. Здесь можно поставить вместо активной памяти параметр потребленной в данный момент памяти (consumed).
  • CPU over-commitment - эта опция позволяет перекрыть соотношение vCPU:pCPU в кластере.

11. Функции Network-Aware DRS.

Теперь DRS не мигрирует и не помещает ВМ на хосты, где утилизация сетевых ресурсов превышает 80%. Раньше DRS было пофиг, что там на хостах ESXi происходит с использованием физических аплинков.

12. Интеграция SIOC и SPBM.

Теперь функции Storage IO Control работают с использованием политик хранилищ (Storage Policies) и IO limits на базе механизма vSphere APIs for IO Filtering (VAIO). Через фреймворк Storage Based Policy Management (SPBM) администраторы могут определить пороговые значения для IOPS и политики хранилищ и назначить их виртуальной машине:

13. Улучшения Content Library.

Мы уже писали о компоненте Content Library, который упрощает использование образов для распределенной географически инфраструктуры. Теперь можно смонтировать ISO-образ и накатить профиль кастомизации прямо из Content Library.

14. Улучшения интерфейсов разработчика и автоматизатора.

Теперь появился API Explorer, через который удобно узнавать о функциях vSphere REST APIs для решения каких-либо административных или разработческих задач:

Также тут можно попробовать исполнение примера процедуры.

Кроме этого, механизм PowerCLI теперь полностью модульный. Также ESXCLI, который является частью интерфейсов vCLI, получил множество новых команд, поддерживает функции VSAN iSCSI и имеет множество других улучшений.

Ну и появился интерфейс Datacenter CLI (DCLI), который может вызывать vSphere REST APIs:

15. Улучшения vSphere with Operations Management (vSOM).

Тут множество действительно серьезных улучшений. vRealize Operations Manager (vROps) обновлен до версии 6.4, появилось множество новых дэшбордов (Operations Overview, Capacity Overview и Troubleshoot a VM) и средств анализа. Также был анонсирован Log Insight 4.0.

16. Улучшения vCenter Server Appliance.

Теперь vCSA имеет следующие эксклюзивные возможности по сравнению с традиционным vCenter:

  • Функцию Migration

Эту возможность Migration Tool для миграции сервисов vCenter в среду vCSA мы уже описывали вот тут.

  • Улучшенные средства управления виртуальным модулем

Здесь мы видим средства мониторинга состояния виртуального модуля vCSA и его компонентов (БД и т.п.):

  • Интегрированный VMware Update Manager (см. пункт 5)
  • Функции Native High Availability для обеспечения доступности vCenter

Эта функция позволяет обеспечить доступность для сервисов vCSA (обычный vCenter не поддерживается), развернув 2 экземпляра виртуального модуля и компонент Witness, обеспечивающий защиту от ситуации Split Brain:

  • Встроенные механизмы бэкапа и восстановления vCSA

Виртуальные модули vCenter Server и Platform Services Controller могут быть забэкаплены через VAMI или API вместе с компонентами VUM и Auto Deploy, которые располагаются вместе с vCSA. Резервная копия будет содержать набор необходимых файлов, которые будут переданы на целевое хранилище по протоколам SCP, HTTP(s) или FTP(s).

17. Чуть доработанный vSphere Web Client.

Да, тонкий клиент сейчас, по-прежнему, работает на базе Adobe Flex и требует Adobe Flash, что может потенциально вызвать проблемы с производительностью. Между тем, сообщают, что у веб-клиента появилось множество улучшений, включая переработанный интерфейс:

Веб-клиент vSphere доступен по этой ссылке:

http://<vcenter_fqdn>/vsphere-client

18. Новый vSphere Client.

О тонком HTML5-клиенте для платформы vSphere мы уже писали очень много (последний раз тут). Он скоро заменит толстый C#-клиент. Он полностью поддерживается для vSphere 6.5, но не имеет пока полного набора фичей, необходимого для управления платформой vSphere и всеми ее компонентами:

vSphere Client доступен по этой ссылке:

http://<vcenter_fqdn>/ui

Тем не менее, переход на HTML5 Client планируется в ближайшее время. Не успели, видимо, парни к релизу!)

Ожидается, что VMware vSphere 6.5 будет доступна до конца 2016 года. Ждем. Ну а в ближайшее время мы расскажем про анонсированные новые версии продуктов vRealize Automation 7.2, VMware Virtual SAN 6.5, SRM 6.5 и Virtual Volumes 2.0.


Таги: VMware, vSphere, Update, ESXi, Automation, Security, vCenter

Интересная бесплатная утилита - Netwrix Change Notifier for VMware.


У компании Netwrix, выпускающей средства аудита программных решений в виртуальных и физических инфраструктурах, оказывается есть полезное решение, которое может помочь администраторам VMware vSphere в отслеживании изменений, происходящих в компонентах платформы.

Бесплатная утилита Netwrix Change Notifier for VMware позволяет осуществлять мониторинг событий в виртуальной инфраструктуре и оповещать администраторов об изменениях на регулярной основе. Это средство отслеживает изменившиеся конфигурации виртуальных датацентров, хостов VMware ESXi, пулов ресурсов, кластеров, папок, самих виртуальных машин и других объектов.

В результате аудита администратору каждые 24 часа предоставляется отчет по электронной почте в следующем виде (кликабельно):

Очень полезно, что мы видим не только изменения настроек в соответствующих компонентах, но и добавление или удаление объектов. Естественно, под эгидой бесплатной утилиты Netwrix продает и платное решение Netwrix Auditor, которое скажет, кто и когда делал изменения, предоставит расширенный поиск по событиям и репортинг нескольким пользователям, но для маленькой инфраструктуры Change Notifier окажется вполне достаточным.

Feature Change Notifier Netwrix Auditor
Automatic daily email reports showing all changes made during the last day
Details on what changed in VMware
Who, when and where details for every change
Before and after values for all modifications
Predefined reports based on SQL Server Reporting Services, with filtering, sorting and exporting options
Google-like search of audit data with custom search queries and custom reports
Out-of-the-box compliance reports mapped to specific regulatory standards (PCI DSS, HIPAA, SOX, FISMA/NIST800-53 and ISO/IEC 27001)
Long-term storage of audit data in a two-tiered (file-based + SQL database) storage system
Email subscriptions to scheduled reports with the ability to choose multiple recipients (or specific folders), delivery frequency and delivery format
Reports on virtual machine sprawl statistics over a selected period of time
Single installation that handles multiple VMware vSphere instances, each with its own unique settings
Advanced cross-system auditing and reporting

Скачать Netwrix Change Notifier for VMware можно по этой ссылке.


Таги: Netwrix, Utilities, VMware, vSphere, Security, ESXi

Безагентные технологии обеспечения безопасности виртуальной среды и Software-defined networking (SDN).


Регулярные проблемы с нарушением конфиденциальности корпоративных данных, атаки на инфраструктуру и приложения, запущенные в виртуальной среде, прямые многомиллионные потери денег банками – это результат использования средств защиты информации (СЗИ) не соответствующих современной архитектуре виртуализированных ЦОД.


Таги: 5nine, Security, VMware, NSX, Microsoft, Hyper-V

Обновленный vGate R2 3.0 от "Кода безопасности" - полный список новых возможностей.


Недавно мы писали о том, что новая версия vGate R2 3.0 от компании "Код безопасности" поступила в продажу. vGate - это главное в России средство, позволяющее безопасно настроить инфраструктуру согласно различным требованиям (в том числе государственных регуляторов) с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам. Сегодня мы рассмотрим полный список новых возможностей этого продукта.


Таги: vGate, Security Code, Update, Security, Cloud, SC VMM, Hyper-V, VMware, vSphere

Обновленные версии vGate 3.0 от "Кода безопасности" (vGate R2 и vGate-S R2) поступили в продажу!


Среди компаний, имеющих в своей производственной среде виртуальную инфраструктуру VMware vSphere или Microsoft Hyper-V, многие применяют для защиты виртуальных сред средство vGate R2 от компании "Код безопасности", позволяющее безопасно настроить инфраструктуру согласно различным требованиям с помощью наборов политик, разграничить доступ администраторов, а также защититься от несанкционированного доступа к виртуальным ресурсам.

На днях компания "Код безопасности" объявила о том, что обновленные версии продуктов vGate R2 и vGate-S R2 (релиз 3.0) для защиты сред виртуализации на базе VMware vSphere и Microsoft Hyper-V поступили в продажу. Напомним, что о возможностях прошлой версии мы уже писали вот тут, а в этом разделе мы собираем все новости о решении vGate (включая анонсы третьей версии).

Новая версия vGate R2 3.0, прежде всего, отличается расширенными возможностями работы в распределенных инфраструктурах и изменением схемы лицензирования. В результате заказчики vGate смогут получить функционал продукта, в наибольшей степени отвечающий целям и задачам организации. Обновленная версия vGate (vGate R2 и vGate-S R2, релиз 3.0) поддерживает расширенный набор инструментов работы с платформами виртуализации VMware vSphere и Microsoft Hyper-V.

Ниже приведены основные нововведения новой версии vGate 3.0:

  • В vGate 3.0 реализована полнофункциональная работа на платформе VMware vSphere 6. В качестве сервера управления инфраструктурой виртуализации теперь может выступать vCenter Server Appliance (VCSA), а управление ESXi-хостами может осуществляться посредством ESXi Embedded Host Client.
  • Обновленный продукт осуществляет поддержку управления инфраструктурой на базе Microsoft Hyper-V через System Center Virtual Machine Manager, а управление кластерами Hyper-V реализовано через Failover Cluster Manager.
  • Для быстрой настройки привилегий пользователей используется ролевая модель доступа. При создании учетной записи можно ограничить доступ по типам объектов, предоставив его, например, только к виртуальным машинам или сетевым объектам.
  • У продукта появился ряд новых функций для работы в Enterprise-инфраструктурах. Например, реализована поддержка режима горячего резервирования и автопереключение сервера авторизации (High-Availability cluster). В случае потери работоспособности основного сервера в автоматическом режиме происходят переключение на резервный сервер, замена IP-адреса и оповещение администратора.
  • Обновленная версия продукта позволяет работать с несколькими площадками виртуализации одновременно (этот функционал доступен только в Enterprise-редакции продукта - он будет очень полезен в крупных инфраструктурах). Механизм подключения агента аутентификации к нескольким серверам авторизации vGate дает возможность взаимодействовать со всей территориально распределенной виртуальной инфраструктурой. Построение леса серверов авторизации позволяет устанавливать групповые политики безопасности, а поддержка функции Cross vCenter vMotion обеспечивает в случае аварий миграцию виртуальных машин между серверами с сохранением политик безопасности.
  • Помимо этого, в vGate версии 3.0 обновлены наборы политик безопасности, обеспечивающие соответствие приказам ФСТЭК России №17 и №21, стандартам СТО БР ИББС, PCI DSS и другие.

Новые версии vGate R2 и vGate-S R2 применимы для защиты конфиденциальной информации и государственной тайны. Продукты прошли инспекционный контроль ФСТЭК России в подтверждение выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383.

vGate 3.0 можно приобрести в одной из двух редакций: Standard или Enterprise (для которой доступны все функции работы в крупных инфраструктурах). Ниже приведены основные отличия этих изданий:

Получить дополнительную информацию о технических особенностях vGate и направить запрос на получение демо-ключа можно по e-mail: vgateinfo@securitycode.ru. Более подробная информация о решении представлена на странице продукта vGate R2.


Таги: Security Code, vGate, Security, VMware, vSphere, Microsoft, Hyper-V

VMware GOLD vApp STIG Assessment and Remediation Tool (START) - приложение Docker для выявления и исправления проблем безопасности Linux-машин.


На сайте проекта VMware Labs появилось интересное средство - VMware GOLD vApp STIG Assessment and Remediation Tool (START), которое представлет собой Docker-контейнер, способный обследовать любую удаленную Linux-систему по протоколу Security Content Automation Protocol (SCAP) в реализации OpenSCAP и исправить найденные уязвимости согласно стандарту STIG (Security Technical Implementation Guide).

На базе преконфигуренных шаблонов утилита START может обнаруживать уязвимости в других системах, после чего к ним можно применять различные действия средствами Ansible. Вы также можете видеть результаты обследования и исправления систем (assessment reports, remediation reports и hardening reports). Отчеты имеют метку времени и детали о каждой машине для быстрой идентификации системы. Кроме того, можно проверить последние полученные отчеты на различия в соответствии, а также можно указать произвольные xml-файлы отчетов для сравнения.

При проверке соответствия системы возможны два действия с найденными проблемами: remediation и hardening. Различие между ними в том, что при remediation фиксы накладываются только для тех пунктов, где найдено несоответствие системы определенной в шаблоне конфигурации, а при hardening накладываются все фиксы, независимо от текущего состояния системы.

VMware выпустила большую серию обучающих видеороликов, разъясняющих подробности работы утилиты START:

Срество VMware GOLD vApp STIG Assessment and Remediation Tool доступно для загрузки с GitHub по этой ссылке. Текст лицензии доступен тут.


Таги: VMware, Docker, Linux, Labs, Security

Для чего нужен и как работает механизм True SSO в инфраструктуре виртуальных ПК VMware Horizon.


Как многие из вас знают, в последней версии решения VMware Horizon 7 появился механизм аутентификации True SSO. Эта штука связывает средство единой аутентификации VMware Identity Manager с решением VMware Horizon 7 для решения задач одноразовой аутентификации пользователя различными методами (пароль, смарт-карта и т.п.), чтобы после этого он получал доступ к своему виртуальному ПК и приложениям без дополнительной аутентификации в Active Directory.

Задача эта важна, поскольку, например, VMware Horizon View используется в медицинских учереждениях, а там важно, чтобы врач получал мгновенный доступ к своему ПК, который может быть виртуальным. С помощью True SSO он теперь может просто приложить смарт-карту, после чего получит доступ к своим виртуальным ресурсам, на которые даны разрешения в инфраструктуре VMware View.

VMware Identity Manager Standard включен в издания VMware Horizon 7 Advanced и Enterprise, поэтому вы сразу можете приступать к работе через механизм True SSO. Суть работы этого механизма такова - сначала пользователь авторизуется через принятый в компании метод авторизации. Это может быть один из следующих (то, что поддерживает Identity Manager):

  • RSA SecurID
  • Kerberos
  • RADIUS authentication
  • RSA Adaptive Authentication
  • Сторонние провайдеры аутентификации, например, биометрические системы.

Далее пользователь уже может запустить любой десктоп или hosted-приложение уже без необходимости ввода своих паролей в Active Directory или какой-либо другой аутентификации. True SSO использует механизм SAML (Security Assertion Markup Language) для того чтобы передать User Principal Name (например, jdoe@example.com) к службе аутентификации, чтобы получить доступ к учетной записи AD. Затем Horizon 7 генерирует краткосрочные сертификаты для логина в гостевую ОС Windows виртуального ПК.

Преимущества этого метода таковы:

  • Отделение процесса аутентификации от непосредственно доступа к виртуальному ПК и приложениям (пользователь точно знает, что аутентифицироваться он будет лишь однажды - как подошел к компьютеру).
  • Повышенная безопасность - весь обмен идет на базе сертификатов, и пароли не гуляют по датацентру.
  • Поддержка большого набора методов аутентификации, приведенных выше. Если мы захотим поменять используемый метод - это не затронет инфраструктуру в целом.

Вот как работает True SSO:

1. Пользователь аутентифицируется в VMware Identify Manager одним из способов описанных выше. После этого пользователь выбирает десктоп или приложение из доступных ему, которое он хочет запустить, в консоли VMware Identity Manager.

2. Запускается Horizon Client под учетными данными пользователя, а его креды перенаправляются на View Connection Server.

3. View Connection Server валидирует идентификацию пользователя в Identify Manager путем отсылки SAML-запроса.

4. За счет использования службы Enrollment Service, Horizon 7 просит службу Microsoft Certificate Authority (CA) сгенерировать временный сертификат от имени пользователя.

5. Horizon 7 показывает этот сертификат ОС Windows виртуального ПК.

6. Windows аутентифицирует через этот сертификат пользователя в службе Active Directory.

7. Пользователь логинится в Windows-десктоп или приложение, а удаленная сессия обслуживается через Horizon Client.

Для работы механизма True SSO вам понадобится отдельная служба Enrollment Service, которая может быть развернута на машине с ОС Windows Server 2008 R2 или Windows Server 2012 R2 (4 ГБ оперативной памяти будет достаточно). Сам True SSO поддерживается для всех клиентских Windows-систем, а также протоколов доступа к виртуальным ПК, включая Blast Extreme и HTML Access.


Таги: VMware, SSO, Identity Manager, Security, Horizon, View, VDI

Совместный вебинар Veeam и StarWind - "Security for mission-critical data".


Компания StarWind Software, ведущий производитель хранилищ iSCSI под виртуализацию, и компания Veeam Software, лидер рынка решений для резервного копирования виртуальных машин и обеспечения доступности виртуального датацентра, 19 апреля проведут весьма полезный вебинар "Security for mission-critical data", посвященный обеспечению безопасности наиболее критичных для предприятия данных в инфраструктуре виртуализации.

Вебинар пройдет 19 апреля в 21-00 по московскому времени. На онлайн-мероприятии (где, кстати говоря, можно будет задавать вопросы на русском языке) вы узнаете:

  • Как обеспечить максимальную безопасность хранимых в виртуальной инфраструктуре данных.
  • Как добиться максимальной производительности и отказоустойчивости гиперконвергентной инфраструктуры Hyper-V и получить лучшую поддержку от двух вендоров.
  • Как интегрировать решения от Veeam и StarWind таким образом, чтобы получить единую среду хранения, резервного копирования и защиты виртуальных машин от различных угроз.

Регистрируйтесь!


Таги: Veeam, StarWind, Webinar, Security

Скрипт PowerCLI для включения/отключения SSH на уровне кластера для всех хостов VMware ESXi.


Все администраторы знают, как включать и отключать доступ по SSH на хостах ESXi. Однако часто в административных целях требуется перещелкнуть этот сервис не только на одном хост-сервере, а в пределах целого кластера VMware HA/DRS для выполнения комплекса задач на нескольких хостах. В этом случае поможет скрипт PowerCLI, который написал David Ring.

Сначала вводите IP-адрес сервера vCenter, логин и пароль администратора, ну а потом сценарий запросит имя кластера в котором вы хотите включить/отключить доступ к серверам по SSH:

Когда вы закончите проведение необходимых операций в консоли хостов ESXi по SSH, запустите скрипт повторно для отключения SSH в целях безопасности:

Ну и, собственно, сам скрипт PowerCLI:

########### vCenter Connectivity Details ###########

Write-Host “Please enter the vCenter Host IP Address:” -ForegroundColor Yellow -NoNewline
$VMHost = Read-Host
Write-Host “Please enter the vCenter Username:” -ForegroundColor Yellow -NoNewline
$User = Read-Host
Write-Host “Please enter the vCenter Password:” -ForegroundColor Yellow -NoNewline
$Pass = Read-Host
Connect-VIServer -Server $VMHost -User $User -Password $Pass

########### Please Enter the Cluster to Enable SSH ###########

Write-Host “Clusters Associated with this vCenter:” -ForegroundColor Green
$VMcluster = ‘*’
ForEach ($VMcluster in (Get-Cluster -name $VMcluster)| sort)
{
Write-Host $VMcluster
}
Write-Host “Please enter the Cluster to Enable/Disable SSH:” -ForegroundColor Yellow -NoNewline
$VMcluster = Read-Host

########### Enabling SSH ###########

Write-Host “Ready to Enable SSH? “ -ForegroundColor Yellow -NoNewline
Write-Host ” Y/N:” -ForegroundColor Red -NoNewline
$SSHEnable = Read-Host
if ($SSHEnable -eq “y”) {
Write-Host “Enabling SSH on all hosts in your specified cluster:” -ForegroundColor Green
Get-Cluster $VMcluster | Get-VMHost | ForEach {Start-VMHostService -HostService ($_ | Get-VMHostService | Where {$_.Key -eq “TSM-SSH”})}
}

########### Disabling SSH ###########

Write-Host “Ready to Disable SSH? “ -ForegroundColor Yellow -NoNewline
Write-Host ” Y/N:” -ForegroundColor Red -NoNewline
$SSHDisable = Read-Host
if ($SSHDisable -eq “y”) {
Write-Host “Disabling SSH” -ForegroundColor Green
Get-Cluster $VMcluster | Get-VMHost | ForEach {Stop-VMHostService -HostService ($_ | Get-VMHostService | Where {$_.Key -eq “TSM-SSH”}) -Confirm:$FALSE}

}

Скачать скрипт можно по этой ссылке (уберите расширение doc и добавьте .ps1).


Таги: VMware, vSphere, PowerCLI, Security, Troubleshooting, ESXi

Вышло обновление 5nine Cloud Security - что нового в версии 7.1


5nine Cloud Security –это комплексное решение для защиты виртуальной платформы Hyper-V в соответствии с требованиями законодательства. Последняя версия продукта помогает организациям выполнить требования Приказов ФСТЭК №17 и 21 к средствам защиты информации, закрыть уязвимости и предотвратить атаки, специфичные для виртуальной среды. Добавлены новые возможности ко всем компонентам защиты: антивирусному, межсетевому экрану и системе обнаружения вторжений и появились новые возможности автоматизации функций безопасности.


Таги: 5nine, Cloud, Security, Update

Приходите на интересный вебинар на тему безопасности от Veeam - "Резервное копирование: запросы бизнеса и требования закона".


Компания Veeam Software, известная своим решением для резервного копирования данных и обеспечения доступности датацентров Veeam Availability Suite, приглашает всех желающих принять участие в бесплатном вебинаре "Резервное копирование: запросы бизнеса и требования закона", посвященном информационной безопасности и новостям о недавней сертификации ФСТЭК продукта Veeam Backup and Replication.

На вебинаре в качестве докладчиков выступят Александр Ширманов (бывший директор компании Код Безопасности) и Мария Сидорова (многим из вас представлять ее не нужно).

Время и дата вебинара: 5 апреля в 12-00 (полдень) по московскому времени.
Продолжительность: 60 минут + сессия вопросов и ответов.

ЗАРЕГИСТРИРОВАТЬСЯ

Описание мероприятия от Veeam:

Зачем нужно резервное копирование знают все, но не все почему-то это делают. Между тем восстановление данных в случае их намеренного или случайного уничтожения, модификации, нарушении целостности и доступности – не только вопрос обеспечения функционирования бизнеса, но и прямое требование законодательства и нормативных документов ФСТЭК России и Центрального Банка.

На вебинаре мы обсудим, как выполнить требования закона и почему для этого лучше использовать сертифицированные средства, в частности,Veeam® Backup & Replication™ версии 8.


Таги: Veeam, Webinar, Security, Backup

Конфигурация баннера безопасности (Security Banner / Logon banner) при логине в VMware vSphere Web Client.


В недавно вышедшем обновлении платформы виртуализации VMware vSphere 6.0 Update 2 появилась возможность конфигурации Logon Banner (он же Security Banner) для того, чтобы предупредить пользователей или потенциальных злоумышленников о последствиях неавторизованного доступа к системе. Подробно об особенностях его конфигурации написал Вильям Лам, а мы рассмотрим тут основные моменты настройки баннера вкратце.

Это стандартный подход к обеспечению безопасности, баннер мало кого останавливает, но хотя бы сам факт его наличия будет еще одним пунктиком при привлечении нарушителя к ответственности.

Конфигурация логон-баннера доступна только через интерфейс Platform Services Controller (PSC) Administrator UI, к которому можно получить доступ по следующей ссылке:

https://[PSC-HOSTNAME]/psc

В разделе Configuration вы найдете конфигурацию баннера, где можно настроить следующие параметры:

  • Status - включен он или выключен.
  • Checkbox Consent - будет ли показан обязательный для отметки чекбокс согласия с правилами.
  • Title - заголовок текста.
  • Message - собственно, само сообщение.

Также можно изменять данные параметры из командной строки с помощью сценария /opt/vmware/bin/sso-config.sh, что требует SSH-доступа к хосту PSC. Ну и вам понадобится создать файл banner.txt, где будет содержаться основной текст баннера безопасности.

Для того, чтобы установить заголовок баннера и его текст, но не включать чекбокс, используйте следующую команду:

opt/vmware/bin/sso-config.sh -set_logon_banner /root/banner.txt -title 'Disclaimer' -enable_checkbox N

Можно не использовать путь к тестовому файлу, а, например, просто изменить заголовок:

/opt/vmware/bin/sso-config.sh -set_logon_banner -title 'Disclaimer'

Чтобы отдельно включить обязательный чекбокс, выполните следующее:

/opt/vmware/bin/sso-config.sh -set_logon_banner -enable_checkbox Y

Ну а для отключения баннера используйте следующую команду:

/opt/vmware/bin/sso-config.sh -disable_logon_banner


Таги: VMware, Security, vSphere, Web Client, Blogs

Как надежно и экономно выполнить требования PCI DSS в среде виртуализации Hyper-V.


Быстрый рост числа кибератак и нарушений конфиденциальности персональных данных делает критически важной защиту финансовых операций. Все помнят недавнюю громкую историю с хищением $300 млн со счетов клиентов в России, Китае и Европе группировкой хакеров Carbanak и многие другие. Ведущие мировые операторы платежных систем: Visa, MasterCard, American Express, JCB и Discover совместно установили «Стандарт безопасности данных индустрии платежных карт» (PCI DSS), чтобы повысить надежность финансовых транзакций...


Таги: 5nine, Cloud, Security, Hyper-V

Важная новость для многих из вас - решение Veeam Backup & Replication v8 сертифицировано на соответствие требованиям ФСТЭК.


Важная новость пришла от компании Veeam, производителя лучшего решения для резервного копирования и репликации виртуальных машин Veeam Backup & Replication v8. Теперь этот продукт сертифицирован на соответствие требованиям ФСТЭК, а значит его можно будет использовать в тех ИТ-системах, где выполнение этих требований является обязательным.

Безопасность резервного копирования с помощью решения компании Veeam Software подтверждена на государственном уровне, что позволяет заказчикам применять его при работе с информацией ограниченного доступа, не относящейся к государственной тайне.

Да, сертифицирована не последняя версия Veeam Backup & Replication, но многие из вас, кто знаком с темой, сами знают, сколько времени занимает сертификация ФСТЭК. Да и большинство пользователей в производственной среде сейчас используют именно восьмую версию.

Как многие из вас знают, начиная с 2013 года, программные средства резервного копирования, используемые при работе с информацией ограниченного доступа, не относящейся к государственной тайне, как в государственных структурах, так и в частных компаниях, должны проходить оценку соответствия требованиям безопасности в установленном законом порядке. В частности, согласно приказам ФСТЭК №17, №21 и №31 установлены требования на применение средств резервного копирования при обработке информации ограниченного доступа, не относящейся к государственной тайне в государственных информационных системах, при обработке персональных данных, а также в системах автоматизированного управления на объектах критически важной инфраструктуры. Кроме того, потребность заказчиков в программном обеспечении, прошедшем оценку соответствия, часто продиктована не только законодательством, но и отраслевой спецификой.

Особенно отметим, что на сегодняшний момент только решение Veeam обладает сертификатом на резервное копирование последних версий платформ виртуализации Microsoft и VMware: VMware vSphere 5.5 и 6.0 и Microsoft Hyper-V Server 2012 R2.

Проверка Veeam Backup & Replication v8 решения на соответствие требованиям нормативных актов осуществлялась в два этапа:

  • Сначала специалисты испытательной лаборатории ФСТЭК изучили работу решения и подтвердили, что его функциональность полностью соответствует предоставляемой технической документации (ТУ).
  • Далее в ходе анализа исходного кода продукта было установлено, что Veeam Backup & Replication v8 соответствует четвертому уровню контроля отсутствия недекларированных возможностей (НДВ4) и может применяться для защиты информации в государственных информационных системах до первого класса защищенности включительно, а также в информационных системах персональных данных до первого уровня защищенности включительно, для которых актуальны угрозы первого, второго или третьего типа.

Сертификат выдан сроком на три года, после чего возможно его дальнейшее продление. Приобрести сертифицированную версию можно через партнерскую сеть Veeam в России.


Таги: Veeam, Backup, Security

Как включить/отключить SSH на всех хостах ESXi в кластере при помощи PowerCLI


В этот раз мы рассмотрим сразу две функции Enable-VMHostSSH/Disable-VMHostSSH моего PowerCLI модуля для управления виртуальной инфраструктурой VMware Vi-Module.psm1. Очень часто администраторам виртуальной инфраструктуры требуется временно включить SSH на хосте/хостах ESXi, например, для запуска esxtop или для выяснения причин PSOD или для решения проблем с СХД...


Таги: VMware, PowerCLI, vSphere, PowerShell, Security

"ИТ-ГРАД" сертифицировал свое облако по стандарту PCI DSS


По завершении 2015 года группа компаний "ИТ-ГРАД" успешно прошла аудит на соответствие требованиям стандарта PCI DSS, сертифицировав не только физическое размещение, как это делает сегодня большинство поставщиков услуг, но и виртуальную инфраструктуру, а также процессы администрирования. "ИТ-ГРАД" стал одним из первых в России поставщиком услуг с управляемыми сервисами PCI DSS, или MSP-провайдером (PCI DSS Managed Service Provider). Такая сертификация позволяет предоставлять в соответствии с требованиями стандарта услуги не только по физическому размещению и аренде оборудования, но и по аренде виртуальной инфраструктуры в модели IaaS, а также администрированию и управлению этой инфраструктурой.

В рамках полученного MSP-статуса "ИТ-ГРАД" представляет сертифицированное по PCI DSS облако в модели IaaS, гарантируя безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне облачного поставщика, где хранятся, обрабатываются или передаются данные платежных карт. "ИТ-ГРАД" берет на себя ответственность по выполнению обязательных требований стандарта, начиная от физической защиты размещаемых серверов до администрирования операционных систем, а также обеспечивает соблюдение требований безопасности, гарантируя защиту облачной инфраструктуры и постоянный контроль за ее безопасностью.

"Миграция критически важных систем за пределы внутренней инфраструктуры компании связана с высоким уровнем доверия. В такой ситуации клиент должен быть уверен в надежности выбранного поставщика и в том, что обработка конфиденциальной информации происходит защищенным образом, а угрозы нарушения безопасности сведены к минимуму. В "ИТ-ГРАД" мы внедрили полный набор механизмов обеспечения безопасности, чтобы надежно контролировать и защищать клиентские системы. Мы следуем и соответствуем требованиям федерального законодательства в области информационной безопасности, обязательным индустриальным нормам и практикам проведения регулярных независимых аудитов. Благодаря внутренним регламентам и практикам компании "ИТ-ГРАД" сосредоточен на защите данных своих клиентов. Чтобы заработать доверие и обеспечить защиту систем и данных держателей платежных карт, мы прошли сертификацию на соответствие требованиям стандарта PCI DSS v.3.1", — комментирует Дмитрий Третьяков, менеджер по информационной безопасности "ИТ-ГРАД".

"Услуги по предоставлению управляемых сервисов в контексте сертифицированного по PCI DSS облака в модели IaaS являются весьма актуальными для российского рынка. Особенность таких услуг заключается не только в предоставлении поставщиком оборудования в аренду, но и аренды виртуальной инфраструктуры, а также возможности ее администрирования в соответствии с требованиями стандарта PCI DSS. Такая услуга особенно полезна для небольших торгово-сервисных предприятий и поставщиков услуг, не имеющих собственных ИТ- и ИБ-подразделений. Обращение к сертифицированному поставщику, такому как "ИТ-ГРАД", поможет предприятиям существенно упростить процесс сертификации по стандарту PCI DSS и обеспечить защиту данных держателей платежных карт на высоком уровне", — отмечает Петр Шаповалов, инженер по защите информации ООО "Дейтерий", PCI QSA.

Используя сертифицированное по стандарту PCI DSS облако в модели IaaS, организации смогут значительно повысить уровень защищенности среды обработки карточных данных, снизив риски финансовых потерь от всевозможных инцидентов в сфере информационной безопасности. В рамках пройденного "ИТ-ГРАД" аудита на соответствие требованиям стандарта PCI DSS услуга по использованию сертифицированного облака в модели IaaS поможет компаниям наиболее полно воспользоваться преимуществами аутсорсинга в области выполнения требований стандарта, сосредоточив усилия на развитии своего бизнеса.


Таги: IT-Grad, IaaS, Security

Вышло обновление VMware vSphere 6.0 Update 1b.


Компания VMware выпустила первое после нового года обновление своей серверной платформы виртуализации - VMware vSphere 6.0 Update 1b, включая обновления vCenter и ESXi.

Новых возможностей, конечно же, немного, но все же компоненты vSphere рекомендуется обновить ввиду наличия критичных обновлений подсистемы безопасности.

Что нового в VMware vCenter Server 6.0 Update 1b:

  • Поддержка метода обновления URL-based patching с использованием zip-пакета. Подробнее в KB 2142009.
  • Пользовательские настройки для Client Integration Plugin или диалогового окна VMware-csd guard в vSphere Web Client могут быть переопределены. Подробнее в KB 2142218.
  • vSphere 6.0 Update 1b включает поддержку TLS версий 1.1 и 1.2 для большинства компонентов vSphere без нарушения совместимости с предыдущими версиями. Компоненты которые по-прежнему поддерживают только TLS версии 1.0:
    • vSphere Client
    • Virtual SAN Observer на сервере vCenter Server Appliance (vCSA)
    • Syslog на сервере vCSA
    • Auto Deploy на vCSA
    • Auto Deploy на iPXE
    О поддержке TLS-протоколов можно почитать подробнее в KB 2136185 .
  • Утилита certificate manager теперь автоматически вызывает скрипт updateExtensionCertInVC.py для обновления хранилищ сертификатов, которые построены не на базе VMware Endpoint Certificate Store (VECS).
  • Множество исправлений ошибок.

Что нового в VMware ESXi 6.0 Update 1b:

  • Поддержка TLS версий 1.1 и 1.2 для большинства компонентов без нарушения совместимости с предыдущими версиями.
  • Поддержка Advanced Encryption Standard (AES) с длиной ключа 128/256 бит для аутентификации через NFS 4.1 Client.
  • Исправления ошибок.

Скачать VMware vCenter Server 6.0 Update 1b и VMware ESXi 6.0 Update 1b можно по этой ссылке.


Таги: VMware, vSphere, Update, vCenter, ESXi, Security

Подробности о новых возможностях решения vGate 3.0 - дополнительная информация.


Недавно мы писали о новой функции решения vGate 3.0 for Hyper-V, предназначенного для защиты виртуальной инфраструктуры Microsoft от несанкционированного доступа и безопасной ее конфигурации средствами политик безопасности. В преддверии выхода vGate 3.0 для обеих платформ виртуализации, vSphere и Hyper-V, мы расскажем о некоторых новых функциях продукта, которые будут доступны в обоих изданиях в первом квартале 2016 года.


Таги: vGate, Security Code, Update, Security

Запись вебинара "vGate 3.0. Новая версия решения для защиты платформ vSphere и Hyper-V".


Некоторое время назад мы анонсировали вебинар компании Код Безопасности "vGate 3.0. Новая версия решения для защиты платформ vSphere и Hyper-V", посвященный новой версии решения vGate R2, который прошел 15 декабря.

Недавно появилась запись этого вебинара:

Послушать о новых возможностях решения очень интересно - кликайте.


Таги: vGate, Security Code, Webinar, Security

Приглашаем на вебинар Кода Безопасности "vGate 3.0. Новая версия решения для защиты платформ vSphere и Hyper-V".


Недавно мы писали о том, какие новые возможности будут в обновленной версии vGate for Hyper-V, а на днях пришел анонс от компании Код Безопасности о проведении бесплатного вебинара "vGate 3.0. Новая версия решения для защиты платформ vSphere и Hyper-V".

Напомним, что vGate - это решение, которое позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности.

Мероприятие пройдет 15 декабря в 11:00 по московскому времени. Вебинар проведет Денис Полянский, менеджер по продукту компании «Код Безопасности».

В ходе вебинара будут подробно рассмотрены такие темы, как:

  • новый функционал продукта
  • редакции vGate и новая схема лицензирования
  • процессы обновления и перехода между редакциями

В конце вебинара в режиме чата участники смогут задать вопросы и оставить заявки на получение дополнительных материалов.

РЕГИСТРИРУЙТЕСЬ!


Таги: vGate, Security Code, Webinar, Security

Новая версия vGate for Hyper-V от Кода Безопасности - теперь с поддержкой Virtual Machine Manager.


Компания Код Безопасности подготовила своим пользователям и потенциальным клиентам отличный подарок под новый год - полностью обновленный продукт для защиты виртуальных сред vGate for Hyper-V, которые позволяет защитить вашу виртуальную инфраструктуру Microsoft от несанкционированного доступа и безопасно сконфигурировать ее средствами политик безопасности. Теперь vGate поддерживает средство управления виртуальными машинами System Center Virtual Machine Manager (SC VMM) от компании Microsoft.


Таги: Security Code, vGate, Update, SC VMM, Microsoft, Security

Как сбросить (восстановить) пароль root в VMware vRealize Operations 6.x.


Не так давно мы писали о полезном дэшборде для продукта VMware vRealize Operations, а сегодня расскажем, как восстановить забытый пароль от виртуального модуля vRealize Operations 6.x (vROPs).

Если вы не помните пароль, нужно просто перезагрузить Virtual Appliance и в меню загрузки в раздел Boot Options добавить после всех параметров следующую строчку:

init=/bin/bash

Далее загружаемся в консоль и просто пишем:

# passwd

После этого у нас запросят создать новый пароль пользователя root, далее перезагружаем модуль командой:

# reboot

Затем неплохо бы включить сервис SSH управлять модулем уже через putty:

Чтобы SSH работал постоянно, нужно выполнить команду:

# chkconfig sshd on

Обратите внимание, что это не только способ восстановить/сбросить пароль на vROPs, но и большая дыра в безопасности, так как любой, кто имеет доступ к консоли модуля, может провернуть это.


Таги: VMware, vROPs, Enterprise, Troubleshooting, Security

Режимы работы и эксплуатация vGate R2.


Продолжаем серию статей о решении vGate R2 от компании Код Безопасности, предназначенном для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. Сегодня мы поговорим о новой возможности vGate R2 версии 2.8 - режимах работы, которые позволяют обеспечивать развертывание решения, его эксплуатацию, а также обработку исключительных ситуаций.


Таги: Security Code, Security, vGate

Приглашаем на бесплатный вебинар по продуктам семейства vGate 20 октября.


Завтра, 20 октября, компания Код Безопасности проведет бесплатный вебинар по продукту vGate R2, который предназначен для защиты виртуальной инфраструктуры VMware vSphere и Microsoft Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик.

Тема вебинара - "Защита виртуальных инфраструктур: комбинация встроенных механизмов платформы виртуализации и сторонних средств". Мероприятие проведет Иван Колегов, системный аналитик компании «Код Безопасности». На вебинаре будет рассказано о защите виртуальных инфраструктур с помощью встроенных механизмов платформы виртуализации и сторонних средств.

Время и дата проведения: 20 октября в 11:00 по московскому времени.

Регистрируйтесь!


Таги: vGate, Security, Webinar, Security Code

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10    >   >>
Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
StarWind VMware Microsoft IT-Grad VMFS RVTools Citrix PowerCLI Veeam 5nine VM Guru Oracle Red Hat Parallels Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI HP Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Horizon Client Host Client VMDK App Volumes vROPs VTL vCloud Update iSCSI Labs IaaS SDDC vCSA NSX Virtual Appliance Backup VSA Whitepaper PowerShell Fusion Appliance DRS VUM Manager VVols V2V Tools Workstation Cache VMworld SRM Support Обучение XenDesktop Web Client Mobile OpenStack Automation Replication Desktop Log Insight Fault Tolerance DR Photon Vanguard SaaS Connector HA SSO Event Free Datacenter SQL VSAN Workspace Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV Performance Award Network AWS USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно Nested vExpert Beta SAN Exchange MAP ONE DaaS Networking vNetwork Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Plugin Troubleshooting DPM Director Book Memory Upgrade API SIOC Flex Mac Bug Open Source SSH Air VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS CLI Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Сравнение Oracle VirtualBox и VMware Workstation.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6


Veeam Backup 8


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.