Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4540 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru | Ссылка дня: Конец продукта vRealize Log Insight for vCenter Server

Опция Erase disks before use при включении шифрования в кластере VMware vSAN.


Многие пользователи кластера отказоустойчивости хранилищ VMware vSAN замечали, что в настройках служб кластера есть такая опция "Erase disks before use", которая доступна при шифровании хранилища (vSAN Encryption).

Эта настройка позволяет очистить диск перед использованием шифрования на нем, чтобы соблюсти требования к безопасности хранения и обслуживания данных, например, NIST 800-88 Revision 1, определение "Clear":

Clear applies logical techniques to sanitize data in all user-addressable storage locations for protection against simple non-invasive data recovery techniques; typically applied through the standard Read and Write commands to the storage device, such as by rewriting with a new value or using a menu option to reset the device to the factory state (where rewriting is not supported).

В приложении A приведенного выше документа есть такая таблица (приведены только 2 строки из нее):

Media Type Media Types Guidance for Clear Operations
SCSI Hard Disk Drives Parallel SCSI, SAS, FC, UAS, and SCSI Express Overwrite media by using organizationally approved and validated overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may optionally be used.
SCSI Solid State Drives (SSSDs) Parallel SCSI, SAS, FC, UAS, and SCSI Express Overwrite media by using organizationally approved and tested overwriting technologies/methods/tools. The Clear procedure should consist of at least one pass of writes with a fixed data value, such as all zeros. Multiple passes or more complex values may alternatively be used.
Note: It is important to note that overwrite on flash-based media may significantly reduce the effective lifetime of the media and it may not sanitize the data in unmapped physical media (i.e., the old data may still remain on the media).

Чтобы соблюсти эти гайдлайны, кластер vSAN может вычищать предыдущие данные добавляемого диска перед первым использованием. Но при этом блоки заполняются не нулями или однотипными значениями - ведь это может вызвать сбой механизмов дедупликации и компрессии, поэтому в блоки записываются просто случайные данные.

Ставя галку "Erase disks before use" надо понимать, что процесс заполнения блоков случайными значениями занимает значительное время, которое зависит от типа используемого хранилища и инфраструктуры хранения в целом.

Также важно помнить, что включение vSAN Encryption влечет за собой шифрование только новых создаваемых дисковых объектов и не применяется к существующим на хранилище блокам (то есть их потенциально можно считать с диска, расшифровка их не потребуется). Таким образом, использование vSAN Encryption с настройкой "Erase disks before use" имеет смысл только при добавлении устройств, где ранее существовали данные.

Поэтому:

  • Включайте опцию "Erase disks before use", когда:
    • Включаете vSAN Encryption для существующуего vSAN кластера, в котором требуется вычистить свободные блоки.
    • Добавляете хост, который имел ранее данные на локальных дисках, в кластер vSAN.
    • Выполняете операцию rekey для инициации процедуры deep rekey (запрос нового KEK и новых уникальных DEKs для каждого устройства vSAN).
  • Не обязательно включать "Erase disks before use", когда:
    • Включаете vSAN Encryption для полностью нового кластера vSAN, в котором ранее не было данных на добавляемых дисках.
    • Добавляете в кластер vSAN хост, у которого на локальных дисках не было чувствительных данных.
    • Выполняете операцию rekey для инициации процедуры shallow rekey (только запрос нового KEK).

Таги: VMware, vSAN, Encryption, Storage, Hardware, Security

Вышла новая версия версия VMware Tools 10.3.0 - пофикшена уязвимость HGFS Out-Of-Bounds Read.


На днях компания VMware выпустила обновление своего пакета для гостевых систем VMware Tools 10.3.0. Напомним, что о прошлом обновлении VMware Tools 10.2.5 мы писали тут.

Главное нововведение тулзов версии 10.3 - это закрытая уязвимость HGFS Out-Of-Bounds Read, которая могла привести к повышению привилегий злоумышленника в гостевой ОС виртуальной машины (для этого должны быть включены сервисы File sharing на ВМ с Windows на борту). Более подробную информацию об этой уязвимости можно найти в статье CVE-2018-6969.

Также в VMware Tools 10.3.0 появились следующие новые возможности:

  • Интеграция с механизмом VMware AppDefense (о том, что это такое, мы писали вот тут).
  • Обновления в драйвере OpenGL - были сделаны оптимизации Vertex buffer object (VBO) и Display list drawing.
  • В драйвере VMXNET3 для Windows появилась поддержка Receive data ring.
  • Для Shared Folders в Linux появился клиент на базе FUSE (необходима версия ядра 3.10 и выше).
  • Компилятор для VMware Tools 10.3.0 for Windows был обновлен до Microsoft Visual Studio 2015.
  • Множество исправлений ошибок.

Скачать VMware Tools 10.3 можно по этой ссылке.


Таги: VMware, Tools, Update, Security

Новое на VMware Labs - SDDC Certificate Tool для замены сертификатов SSL в различных продуктах.


Компания VMware на сайте проекта VMware Labs опубликовала полезную утилиту SDDC Certificate Tool. Она позволяет автоматизировать процесс замены сертификатов SSL в различных продуктах VMware, который всегда был очень геморройным. Теперь, будем надеяться, за счет этой утилиты он превратится в нечто более дружественное.

Для замены сертификатов поддерживаются следующие решения:

Продукт Минимальная версия Максимальная версия
Platform Services Controller 6.0 U2 6.7
vCenter Server 6.0 U2 6.7
NSX-V 6.2.4 6.4.1
vRealize Log Insight 3.6 4.6
vRealize Operations Manager 6.3 6.7
vRealize Automation 7.4 7.4
vRealize Business for Cloud 7.1 7.4

Наверное вы заметили, что в списке нет ESXi - это обусловлено тем, что для замены сертификатов требуется эвакуация всех виртуальных машин с хоста, что может занять очень значительное время, поэтому поддержки пока такой нет (но, может быть, появится).

Надо отметить, что это довольно большой набор продуктов для первой версии, охватывающий практически всю линейку решений для управления, мониторинга и автоматизации датацентров (именно поэтому в названии утилиты есть SDDC - Software-Defined Data Center).

Помимо настройки сертификатов, утилита позволяет перенастроить трасты между компонентами по окончании процесса настройки. Утилита работает из командной строки (вам понадобится Linux-сервер с Java 1.8+) и автоматизирует многие шаги, которые ранее нужно было выполнять вручную с помощью Certificate Generation Utility (CertGen). На входе она принимает JSON-конфигурацию, в которой описывается требуемое множество поддерживаемых продуктов VMware.

Приятно, что в составе утилиты уже имеются множество пре-чеков перед заменой сертификатов - определение срока действия, валидация цепочки и прочее, а также сверка введенных параметров (например, число узлов vSAN) с фактическими. Для использования SDDC Certificate Tool подойдет PhotonOS, которую можно скачать отсюда.

Небольшая демка по использованию утилиты (кстати, напомним, что она на данный момент в статусе технологического превью):

Скачать в виде rpm-пакета можно по этой ссылке. Детальные инструкции по использованию утилиты находятся тут.


Таги: VMware, SDDC, Labs, Security

Новые Rollup Bulletins в VMware Update Manager для обновления инфраструктуры vSphere.


Как вы знаете, компания VMware часто выпускает обновления для платформы VMware ESXi, которые закрывают проблемы безопасности и содержат исправления ошибок. Эти обновления можно загрузить вручную через портал My VMware или автоматически накатить через VMware Update Manager (VUM). Обновление содержит коллекцию VIB-пакетов, которые последовательно накатываются в среде ESXi. Эта коллекция VIB объединяется в бюллетень (bulletin), чтобы соблюсти порядок установки и зависимости, которые между ними заложены. Одно обновление содержит один или несколько бюллетеней.

Есть два типа бюллетеней для обновления VMware vSphere: патчи (patches) и роллапы (rollups). При любом выпуске обновления для ESXi есть как минимум бюллетень, который содержит основные системные пакеты - esx-base, vsan, and vsanhealth. Также в обновление могут быть включены и другие бюллетени, если есть необходимость в их обновлении.

Если обновление небольшое, то оно называется патчем (patch) и содержит небольшой набор пакетов, который закрывает дырки безопасности и некоторые баги. Время от времени VMware выпускает большой набор обновлений, который содержит не только исправления ошибок, но и некоторые новые возможности - оно называется rollup.

Раньше администраторам довольно трудно было убедиться, что у них накатаны все необходимые патчи в промежутке времени между большими мажорными релизами VMware vSphere. Теперь же, начиная с июня этого года, вместе с каждым патчем выходит еще и rollup update, который содержит в себе все обновления пакетов, которые произошли с момента последнего релиза VMware vSphere.

Вот так это выглядит в VMware Update Manager:

Все эти обновления описаны в соответствующей статье базы знаний VMware. Например, взгляните на VMware KB 55917 - там описаны все бюллетени обновления ESXi670-201806001 с соответствующими ссылками на их KB, а также указан rollup bulletin, который содержит все обновления VIB-пакетов с момента последнего релиза, в данном случае VMware ESXi 6.7:

Теперь можно просто накатывать этот роллап и не волноваться, что в вашей инфраструктуре что-то не обновлено.

 


Таги: VMware, Update, vSphere, ESXi, Update Manager, Security

Новые возможности VMware Unified Access Gateway (UAG) версии 3.3.


В конце мая компания VMware выпустила обновленную версию продукта VMware Unified Access Gateway (UAG) версии 3.3. Это решение представляет собой шлюз для доступа к инфраструктуре VMware Workspace ONE и VMware Horizon. Шлюз используется для безопасного доступа внешних авторизованных пользователей ко внутренним ресурсам решения Workspace ONE, виртуальным десктопам и приложениям.

Давайте посмотрим, что нового появилось в этом продукте:

1. Поддержка механизма Device Certificate Authentication для обратного прокси-сервера.

Аутентификация на базе сертификатов вместе с поддержкой Web Reverse Proxy используется для защиты внутренних сайтов, таких как SharePoint, Outlook OWA и т.п. при доступе с внешних устройств.   

2. Логирование действий администратора.

Теперь все действия пользователя admin записываются в файл audit.log:

Также записываются и операции по скачиванию данного лога.

3. Отсутствие зависимости от Network Protocol Profile.

Раньше на платформе vSphere профиль Network Protocol Profile (NPP) или IP Pool должны были иметь соответствующие сети на стороне UAG с такими же настройками IP, шлюза и т.п. Теперь нет необходимости настраивать все это на стороне vSphere, а вместо этого при развертывании UAG нужно указать маску IPv4, префикс IPv6 и шлюз по умолчанию.

4. Поддержка TLS Port 443 Sharing.

Теперь такие сервисы, как Horizon Blast, туннель для конкретного приложения, Content Gateway и Web reverse proxy идут по одному порту 443. Это минимизирует требования к добавлению новых правил в сетевой экран в DMZ.

Этот механизм также можно отключить через настройку tlsPortSharingEnabled.

5. Одновременная работа с IPv4 и IPv6 (Dual Mode).

С помощью Dual Mode пользователи инфраструктуры VMware Horizon могут использовать смешанный парк устройств, работающих, как с IPv4, так и с IPv6 в рамках одного соединения (например, карточка IPv6 на мобильном устройстве и NIC с IPv4 на Connection Server).

6. Редактирование настроек сетевого адаптера через веб-интерфейс.

В веб-интерфейсе виртуального модуля UAG администратор теперь может задавать IP-настройки сетевого адаптера:

7. Новая операционная система виртуального модуля.

Теперь Virtual Appliance решения UAG работает на базе собственной операционной системы VMware - Photon OS. которая позиционируется как наиболее защищенная система для виртуальной инфраструктуры.

8. Настройки масштаба инфраструктуры.

Теперь при развертывании UAG можно задать одну из двух настроек масштаба:

  • Standard – рекомендуется при развертывании Horizon до 2000 одновременных подключений, либо для инфраструктуры Workspace ONE UEM (мобильные устройства) до 10 000 подключений.
  • Large – это нужно для инфраструктуры Workspace ONE UEM, когда нужно поддерживать более 10 000 одновременных подключений. Это позволяет механизмам Content Gateway, Per App Tunnel & Proxy и Reverse Proxy использовать один виртуальный модуль UAG.

Скачать VMware Unified Access Gateway 3.3 можно по этой ссылке.


Таги: VMware, Access Gateway, Update, Horizon, Workspace ONE, Network, Security

Вышло обновление продукта VMware vRealize Network Insight 3.8 - что нового?


Компания VMware на днях выпустила обновление своего средства для обеспечения сетевой безопасности витуальной инфраструктуры VMware vRealize Network Insight 3.8 (vRNI). Напомним, что о новых функциях версии vRNI 3.6 мы писали вот тут.

Давайте посмотрим, что нового появилось в vRNI 3.8:

1. Функции Outlier Detection.

Эта возможность позволяет обнаруживать аномалии в паттернах трафика каждой виртуальной машины, когда она является частью заданной группы, но при этом ведет себя, с точки зрения сетевой активности, не так, как остальные.

Такая активность анализируется аналитическим движком и визуализуется на графике. Также по подозрительным машинам показывается дополнительная информация, такая как объем трафика, число сессий и IP-адрес. Это позволяет выявить не только подозрительные активности, но и определить неправильно настроенные ВМ (например, балансировщики).

2. Улучшения работы с сервисом Amazon AWS.

Здесь было сделано множество мелких улучшений:

Очень важная фича для пользователей облачных инфраструктур AWS - поддержка зон доступности (Availability Zones) при просмотре окружения, поиске машин и их фильтрации. Также несколько поменялся интерфейс, облачные инстансы теперь обозначаются как AWS EC2, а AWS Manager переименован в AWS Account.

3. Интеграция с VMware Log Insight.

Про это средство для централизованного сбора и анализа логов мы много пишем в последнее время. Теперь в vRNI 3.8 можно посылать webhook-нотификации сразу же, как случается какое-то событие. Log Insight через этот механизм может посылать в сторону vRNI алерты, например, об изменении Security Groups в решении VMware NSX (эти изменения фиксируются в логах, которые обрабатывает Log Insight).

Также в VMware vRealize Network Insight 3.8 появилось несколько небольших нововведений, полный список которых указан в Release Notes. Скачать vRNI 3.8 можно по этой ссылке.


Таги: VMware, vRealize, Network Insight, Update, Security, Networking

Почему лучше ставить VMware vSphere на хосты заново, а не делать апгрейд с прошлой версии - на примере Secure Boot.


Мы иногда пишем о том, что большие обновления как хост-серверов VMware ESXi, так и управляющих компонентов VMware vCenter / vCenter Server Appliance всегда лучше ставить заново, а не делать апгрейд с предыдущих версий (если у вас, конечно, есть такая возможность). Да, вы не сохраните логи и исторические данные, но это позволит вам избежать различных проблем, связанных с устаревшими компонентами, которые останутся при обновлении и могут вступить в конфликт с новыми функциями при определенных обстоятельствах.

Такой вот пример приводит и Mike Foley в статье про механизм безопасной загрузки хостов vSphere Secure Boot. Когда он обновил свою инфраструктуру на VMware vSphere 6.7 с версии 6.5, он решил проверить функции Secure Boot и возможности модуля TPM 2.0.

Но когда он включил эти возможности в UEFI BIOS, он получил "розовый экран смерти" (PSOD) сервера ESXi:

Причина оказалась проста - для некоторых legacy-драйверов при обновлении не были обновлены их сигнатуры для VIB-пакетов, поэтому механизм Secure Boot не может эти сигнатуры проверить и выводит хост в PSOD при загрузке.

Чтобы найти эти драйверы, он запустил скрипт secureBoot.py, который показывает модули, препятствующие безопасной загрузке:

/usr/lib/vmware/secureboot/bin/secureBoot.py -c

Вывод оказался примерно таким:

[root@esxi-117] /usr/lib/vmware/secureboot/bin/secureBoot.py -c Secure boot CANNOT be enabled: 
Failed to verify signatures of the following vib(s): [
net-tg3
dell-configuration-vib
net-i40e
net-igb
net-ixgbe
vmware-esx-perccli-1.05.08
ima-qla4xxx
misc-cnic-register
net-bnx2
net-bnx2x
net-cnic
net-qlcnic
net-qlge
scsi-bnx2fc
scsi-bnx2i
scsi-qla4xxx
scsi-megaraid-sas
lsu-lsi-mptsas-plugin].
All tardisks validated. All acceptance levels validated

Посмотрев на каждый драйвер по отдельности, он понял, что все это старые Linux-драйверы, которые были заменены в новых версиях VMware vSphere своими Native-аналогами. Например, для драйвера net-tg3 есть аналогичный нативный драйвер ntg3, а для net-bnx2i есть bnxnet.

Поэтому далее Майк просто удалил все VIB-пакеты со старыми драйверами следующей командой:

esxcli software vib remove -n scsi-megaraid-sas
esxcli software vib remove -n net-tg3
esxcli software vib remove -n net-i40e
esxcli software vib remove -n net-igb
esxcli software vib remove -n net-ixgbe
esxcli software vib remove -n net-qlcnic
esxcli software vib remove -n scsi-bnx2i
esxcli software vib remove -n scsi-bnx2fc
esxcli software vib remove -n net-bnx2x
esxcli software vib remove -n scsi-qla4xxx
esxcli software vib remove -n net-cnic
esxcli software vib remove -n net-bnx2
esxcli software vib remove -n net-qlge
esxcli software vib remove -n misc-cnic-register
esxcli software vib remove -n lsu-lsi-mptsas-plugin
esxcli software vib remove -n ima-qla4xxx
esxcli software vib remove -n vmware-esx-perccli-1.05.08
esxcli software vib remove -n dell-configuration-vib

В итоге его хост смог безопасно загрузиться через Secure Boot. Также Майк далее в статье рассматривает решение еще одной специфической проблемы, которая встречается довольно редко.

Ну а мы еще раз напомним - если есть возможность поставить новую мажорную версию ESXi с нуля - лучше скачайте ISO-образ и сделайте это, вместо того, чтобы "быстро и безопасно" обновиться на новую версию.


Таги: VMware, Security, Upgrade, ESXi, vSphere, Blogs

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3).


Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152? На эти и другие вопросы ответим в сегодняшней статье...


Таги: IT-Grad, Security, Cloud, IaaS

Новые фишки безопасности VMware vSphere 6.7 - поддержка Virtualization Based Security.


Как все уже знают, недавно компания VMware выпустила обновленную версию платформы виртуализации VMware vSphere 6.7. Напомним наши статьи о нововведениях этого решения:

Ну а сегодня мы расскажем еще об одной возможности vSphere в плане безопасности - поддержке технологии Virtualization Based Security (VBS) операционных систем Microsoft. Механизм VBS позволяет превратить сервер или рабочую станцию на базе ОС Windows Server 2016 или Windows 10 в защищенные системы, исполняющиеся в рамках гипервизора Windows, при этом некоторые компоненты выносятся за пределы гостевой системы. Например, за рамки ОС выносится система управления хэшированными парами логин/пароль (креденшены), называющаяся Credential Guard.

Как мы видим на картинке, гипервизор обеспечивает виртуализацию гостевой системы на сервере или ноутбуке, а также канал обмена между внешними компонентами (Credential Guard, Device Guard) и ОС. Такая архитектура обеспечивает большие трудности при доступе злоумышленников к областям памяти, где хранятся хэши паролей различных пользователей - ведь эта область вынесена за пределы операционной системы.

Также аппаратное обеспечение компьютера должно иметь в своем составе модуль TPM 2.0 (Trusted Platform Module), который обеспечивает механику безопасной загрузки (Secure Boot). Ведь если не использовать механизм безопасной загрузки, то атаку можно провести на сам гипервизор, подменив его компоненты, а дальше уже иметь доступ к основной виртуальной машине и остальным компонентам гипервизора, в том числе хранилищу паролей. Таким образом, для полной защиты нужно использовать связку VBS+TPM 2.0 (вторая версия TPM поставляется уже со всем современным оборудованием).

Чтобы такая схема работала, нужно обеспечить выполнение следующих требований:

  • UEFI firmware (не BIOS).
  • Опция безопасной загрузки Secure Boot с поддержкой TPM.
  • Поддержка технологии Hardware virtualization (опция процессоров Intel VT/AMD-V) и функций IOMMU.

И самое главное - ОС Windows должна быть установлена со всеми этими включенными опциями, иначе потом настраивать VBS будет проблематично.

В случае с гипервизором ESXi для незащищенной виртуальной машины Windows все выглядит вот таким образом:

Чтобы защитить машину с помощью VBS, потребуется использовать вложенную (nested) виртуализацию - ведь гипервизор Windows Hypervisor надо запустить на платформе VMware ESXi. Для этого в настройках виртуальной машины надо выставить опцию Enable для пункта Virtualization Based Security:

Это позволит открыть все необходимые опции процессора для гостевой ОС виртуальной машины, в которой также будет работать гипервизор.

Выглядеть это будет следующим образом:

Чтобы эта схема работала, нужно выполнить 2 условия:

  • Виртуальная машина должна иметь виртуальное железо Virtual Hardware версии 14, которое появилось в vSphere 6.7.
  • Гостевую ОС виртуальной машины надо развертывать на базе UEFI и с уже включенной опцией Secure Boot (обратите внимание на эту опцию на панели Boot Options в разделе VM Options (см. скриншот настроек выше).

Ну и последняя деталь - это модуль TPM. Для физических систем этот модуль делается с расчетом на одну систему, имеет небольшой объем памяти защищенного хранилища (измеряется в килобайтах) и работает весьма медленно, так как это serial device.

Поэтому VMware сделала виртуальное устройство - vTPM 2.0, которое в качестве хранилища использует обычный файл .nvram. Физический TPM не рассчитан на то, чтобы поддерживать сотни виртуальных машин на одном сервере (просто не хватит объема хранилища и быстродействия), а виртуальный vTPM отлично справляется с этой задачей. К тому же, виртуальную машину с виртуальным vTPM можно переносить между серверами с помощью vMotion и делать ее резервные копии.

Но, само собой, файл nvram надо хорошо зашифровать, поэтому для виртуальной машины нужно включить VM Encryption. Это обеспечит работоспособность машины в защищенной среде совместно с опцией VBS. При этом диски ВМ шифрованными не будут, что позволит получить доступ к данным на уровне VMDK дисков в случае утери ключей.

Самое интересное, что vTPM 2.0 не требуется как-то отдельно устанавливать и настраивать - он автоматически обнаруживается средствами Windows со стандартными драйверами:

Утилита Device Guard and Credential Guard hardware readiness tool от компании Microsoft определяет этот vTPM, как совместимый, поэтому можете использовать его для виртуальных машин, к которым предъявляются повышенные требования к безопасности.


Таги: VMware, Security, ESXi, Microsoft, VMachines, Encryption

Принципы обработки персональных данных (персональные данные в облаке, часть 2).


Теперь, когда ситуация с трактованием персональных данных прояснилась (смотрите статью «Тонкости законодательства – что относится к персональным данным с точки зрения российского регулятора»), самое время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных». Рассмотрим наиболее значимые пункты:

  • Обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн.
  • Закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе.

Пример нарушения

Для понимания сказанного приведем пример, когда автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия – это классический пример обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • Состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением.

Пример нарушения

Как известно, кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования, когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • Следующий принцип обработки – точность, достаточность и актуальностьобрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права.
  • Последний принцип, на котором надо остановиться – закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

  • Наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн.
  • Обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности».
  • Наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн.
  • Без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.

Согласие субъекта – тонкости и особенности

Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.

Но и здесь не обходится без нюансов. Как показывает практика, наиболее частым способом выражения согласия являются конгруэнтные действия, когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?

В этом случае регулятор хочет видеть дисклеймер, который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • Включение персональных данных в общедоступные источники.
  • Обработка специальных категорий персональных данных.
  • Обработка биометрических персональных данных.
  • Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов.
  • Принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • Распространение персональных данных членов (участников) общественного объединения или религиозной организации.
  • Передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

Оригинал статьи в блоге ИТ-ГРАД.


Таги: IT-Grad, Security, Cloud

VMware выпустила обновления для ESXi и vCenter версий 5.5, 6.0 и 6.5 - исправления уязвимости Spectre.


Продолжаем информировать вас о выпусках обновлений и заплаток уязвимостей Meltdown и Spectre для виртуальной инфраструктуры VMware vSphere. Напомним наши прошлые посты:

На днях наш читатель Стас прислал новость о том, что VMware выпустила обновления, закрывающие уязвимость Spectre, на этот раз для ключевых компонентов виртуальной инфраструктуры - серверов vCenter и ESXi. Таким образом, согласно VMware Security Advisory VMSA-2018-0004.3, теперь от уязвимости Spectre защищены все основные продукты VMware трех последних поколений:

Начнем с обновлений для vCenter. Тут были выпущены следующие апдейты:

Для серверов VMware ESXi были выпущены следующие патчи:

  • ESXi550-201803001 (ESXi550-201803401-BG и ESXi550-201803402-BG)

  • ESXi600-201803001 (ESXi600-201803401-BG и ESXi600-201803402-BG)

  • ESXi650-201803001 (ESXi650-201803401-BG и ESXi650-201803402-BG)

Чтобы скачать эти обновления для ESXi, нужно пойти VMware Patch Portal и поискать там обновления для соответствующей версии ESXi.

Кроме наката патчей гипервизора VMware ESXi, вам также придется обновить микрокод серверов. Более подробная информация об этом приведена в KB 52085.

Помните, что порядок наката обновлений безопасности таков:

1. Накатываем обновления vCenter.

2. Обновляем ПО гипервизора на серверах VMware ESXi - накатываем апдейты, заканчивающиеся на 01-BG (позволяет гостевым ОС использовать новый механизм speculative-execution control), одновременно с этим обновляем и микрокод серверов (апдейты, заканчивающиеся на 02-BG), которое применяется в процессе загрузки ESXi. Оба патча накатываются в рамках одного профиля.


Таги: VMware, vSphere, Security, Update, ESXi, vCenter

Вышла финальная версия VMware vSphere 6.5 Update 1 Security Configuration Guide (бывший Security Hardening Guide).


Прошлой весной компания VMware выпустила релиз своего основного документа по обеспечению безопасности виртуальной среды Security Configuration Guide для vSphere 6.5. Напомним, что ранее подобный документ назывался Hardening Guide и был основным руководством для сотрудников отделов ИТ-безопасности по настройке гипервизора ESXi и виртуальных машин.

На днях VMware выпустила финальную версию документа vSphere 6.5 Update 1 Security Configuration Guide, в котором приведены основные конфигурации для обеспечения безопасности уже Update 1, то есть последнего на данный момент мажорного обновления платформы vSphere.

В документе, помимо описания рекомендуемой настройки и лога изменений, есть следующие полезные колонки:

  • Hardening - указывает на то, что это действительно настройка, которой нужно уделить внимание при конфигурации.
  • Site Specific Setting - говорит о том, что задать конфигурацию должен сам пользователь, в зависимости от его окружения.
  • Audit Setting - указывает, что вам необходимо время от времени проверять эту настройку, чтобы убедиться, что значение по умолчанию не было изменено администратором необоснованно. 
  • Desired value - рекомендуемое значение, оно же и является значением по умолчанию, если это не site specific.

Надо отметить, что от релиза к релизу Security Configuration Guide становится все меньше, так как VMware продвигает идеологию, что платформа становится защищеннее из коробки (Secure By Default). На данный момент осталось всего 68 конфигураций для всей виртуальной среды.

При работе с гайдлайнами инженеры VMware каждый раз проверяют актуальность тех или иных настроек, изменяют их или удаляют. Кстати, удаляют они их вот по каким причинам:

  • Код vSphere постоянно ревьювится, и некоторые введенные улучшения делают так, что какой-то из описанных гайдлайнов больше не является вектором угрозы. Пример - настройка "disable-intervm-vmci". Сам по себе этот механизм был удален из состава vSphere, а значит ушла и рекомендация по этой настройке.
  • Также некоторые гайдлайны ранее были невыполнимыми (например, verify-kernel-modules) - многие пытались писать свои скрипты для верификации каждого модуля VMkernel при загрузке, пока VMware не сделала цифровые подписи VIB-модулей, за счет которых распространяются компоненты vSphere, и механизм Secure Boot.
  • Некоторые гайдлайны были написаны для фичей, которые некорректно понимались с точки зрения безопасности. Например, считалось, что настройка VM.disable-hgfs актуальна для vSphere, но оказалось, что она применяется только для Workstation и Fusion и никакой угрозы не несет.

Также поменялись некоторые дефолтные значения для настроек безопасности, которые ранее по умолчанию вообще не имели значений. Например, настройки ниже имеют указанные явно значения TRUE, чтобы не вводить пользователя в заблуждение - типа, а как это работает по умолчанию?

Давайте посмотрим на статистику того, что изменилось в гайдлайнах, и как они теперь выглядят:

Скачать VMware vSphere 6.5 Update 1 Security Configuration Guide можно по этой ссылке.


Таги: VMware, vSphere, Security, Hardening, Update

5nine Manager Datacenter для управления виртуальной инфраструктурой крупных предприятий и сервис-провайдеров.


Последние версии платформ виртуализации основных вендоров - VMware, Microsoft и OpenStack - фактически сравнялись по своим характеристиками, и сегодня клиент чаще всего выбирает решение не по максимальным характеристикам, а по цене, удобству управления инфраструктурой и различным рискам, в том числе, связанным с поставкой софта в Россию. Мы сделали принципиальный шаг вперёд, чтобы дать клиентам более широкий выбор вендоров при старте нового проекта или просчете рисков продления существующих лицензий. В июле 2017 года был представлен 5nine Manager Datacenter...


Таги: 5nine, Datacenter, Enterprise, Hyper-V, Manager, Cloud, Security

Как отслеживать производительность хостов VMware ESXi после патчей Meltdown и Spectre с помощью VMware vSphere Operations Manager.


Некоторые из вас знают, что VMware и другие производители в последнее время борются с уязвимостями Meltdown и Spectre в процессорах Intel, выпуская и отзывая патчи для различных компонентов ИТ-инфраструктуры. Мы писали об этом не так давно в следующих заметках:

Как вы знаете, из за патчей для данных уязвимостей на серверах ESXi иногда существенно проседает производительность (также подробно об этом написано тут), что необходимо отслеживать для того, чтобы не оказаться в ситуации неожиданного недостатка ресурсов в кластере после его апгрейда.

Напомним основные статьи VMware KB, касающиеся исправлений данных уязвимостей:

Еще в декабре 2017 некоторые из уязвимостей были пофикшены, но с тех пор у многих пользователей VMware vSphere появились проблемы с производительностью.

Один из сотрудников VMware опубликовал полезную заметку о том, как с помощью решения vRealize Operations Manager можно отслеживать производительность хостов ESXi в кластерах VMware HA/DRS и на основе этого принимать решения о патчинге тех или иных производственных сред и кластеров.

1. Трекинг версий BIOS и хостов ESXi для каждого сервера с использованием дэшборда Host Configuration.

Этот инструмент нужен, чтобы не забыть пропатчить хост-серверы ESXi:

2. Просмотр информации об использовании виртуальными машинами системных ресурсов.

Чтобы понять, как исторически изменилась производительность ВМ (CPU, Memory, IOPS и использование сети) после патчинга хостов ESXi, нужно смотреть именно на дэшборд VM utilization.

3. Также надо смотреть на изменения CPU и Memory Usage на уровне кластера с помощью дэшборда Capacity Overview.

4. С помощью дэшборда Heavy Hitters можно выяснить, какие из ВМ сейчас действительно сильно грузят оборудование.

5. Также если у вас есть 2 кластера, которые выполняют одну функцию в плане рабочих нагрузок - вы можете переместить нагрузки с помощью функции Workload Balance.

6. Возможность перераспределения емкости кластера можно узнать с помощью дэшборда Capacity Reclaimable.

7. Использование кастомных дэшбордов для Meltdown и Spectre.

Это возможно, если у вас издание vRealize Operations Advanced или более высокое, так как оно позволяет создавать кастомные дэшборды. Сотрудники VMware, Iwan Rahabok, Mark Scott и Luciano Gomes, разработали специальные дэшборды, которые сфокусированы на конфигурации, производительности, емкости и утилизации виртуальной инфраструктуры. Скачать все три дэшборда вместе с инструкциями можно по этой ссылке.

Эти следующие три дэшборда:

  • Performance Monitoring
  • Planning Guest OS Patching
  • Tracking vSphere Patching

7.1 Дэшборд Performance Monitoring.

Этот дэшборд позволяет отслеживать производительность CPU и памяти на всех уровнях - ВМ, хост, кластер. Соответственно, сравнивая исторические периоды, вы сможете сделать вывод о падении производительности.

7.2 Дэшборд Planning Guest OS Patching.

Этот дэшборд нужен для того, чтобы спланировать патчинг гостевых ОС. Сначала находятся все простаивающее ВМ, апдейт которых не сильно повлияет на функционирование виртуальной инфраструктуры, а в последнюю очередь идет обновление так называемых "heavy hitters" - рабочих лошадок вашего предприятия, апдейт которых должен проводиться с особой осторожностью.

7.3 Дэшборд Tracking vSphere Patching.

Этот дэшборд помогает планировать апгрейд различных версий VMware ESXi, а также версий виртуального аппаратного обеспечения (Virtual Hardware) виртуальных машин. Он решает 2 практические задачи:

  • Отслеживание номеров билдов VMware ESXi и прогресса патчинга серверов.
  • Отслеживание Virtual Hardware различных ВМ.

Совокупность всех этих инструментов позволит вам не только грамотно спланировать весь процесс патчинга гостевых ОС и хост-серверов, но и измерить влияние на производительность результата апгрейда хостов ESXi и прочих компонентов виртуальной инфраструктуры.


Таги: VMware, vROPs, Operations, Update, Upgrade, Security, Enterprise

Вышел VMware vCenter Server Appliance 6.5 Update 1f - исправлена уязвимость Meltdown и Spectre (частично).


Как вы знаете, некоторое время назад были обнаружены серьезные уязвимости в процессорах компании Intel, условно называемые Meltdown и Spectre. Вскоре после их обнаружения многие производители выпустили обновления микрокода оборудования, многие из которых оказались неготовыми к эксплуатации в производственной среде (происходили неожиданные перезагрузки, падала производительность и появлялись другие эффекты).

VMware тогда тоже выпустила обновления для VMware ESXi и vCenter, закрывающие потенциальные угрозы, но через несколько дней была вынуждена отозвать их обратно ввиду тех же самых эффектов.

Теперь, наконец, вышло обновление VMware vCenter Server Appliance 6.5 Update 1f, содержащее исправления для серверов управления на базе виртуального модуля с Photon OS на борту, исправляющее следующие дыры в безопасности:

  • Bounds-check bypass (уязвимость Spectre-1, CVE-2017-5753)
  • Rogue data cache load issues (уязвимость Meltdown, CVE-2017-5754)

Надо отметить, что уязвимость Spectre-2 (Branch target injection - CVE-2017-5715) по-прежнему не исправлена в данном релизе.

Патч VMware vCenter 6.5 Update 1f можно загрузить с VMware Patch Portal (VMware-VCSA-all-6.5.0-7801515.iso):

В процессе апдейта будут обновлены следующие пакеты:

  • linux 4.4.110-2
  • libgcrypt 1.7.6-3
  • c-ares 1.12.0-2
  • ncurses 6.0-8
  • libtasn1 4.12-1
  • wget 1.18-3
  • procmail 3.22-4
  • rsync 3.1.2-4
  • apr 1.5.2-7

Также помимо VMware vCSA патч доступен и для решения vSphere Integrated Containers 1.3.1. На данный момент матрица выхода апдейтов фикса Meltdown и Spectre выглядит весьма удручающе (более подробно - вот тут):

Пропатчить VMware vCSA можно также через GUI из дефолтного репозитория обновлений продукта.

Ну и мы все еще ждем обновления для хостов VMware ESXi, которые до сих пор в статусе "Patch Pending".


Таги: VMware, vCSA, Update, Security

Производительность хост-серверов VMware ESXi и других платформ после наката патчей для Meltdown и Spectre.


Почти все из вас в курсе, что недавно в процессорах Intel были найдены уязвимости Meltdown и Spectre. Недавно мы писали о том, то компания VMware выпустила патчи для хост-серверов VMware ESXi, а также для управляющего сервера vCenter. Вильям Лам даже написал скрипт PowerCLI для проверки накаченных обновлений на хосты и виртуальные машины.

Но...18 января VMware, получив некую "важную информацию" от Intel, отозвала выпущенные патчи и опубликовала специальную KB 117649, в которой описала сложившуюся ситуацию, не особенно ее проясняя. Пока мы ждем патчей от VMware и Intel, можно взглянуть на некоторые результаты тестов производительности (раз и два), где показано, как исправления микрокода серверов от описанных уязвимостей негативно влияют на производительность:

Говорят, что падение производительности для тяжелых нагрузок (особенно по вводу-выводу) может составить от 5% до 30%, что как бы очень много.

В связи с этими событиями (последствия от которых еще проявят себя в ближайшие недели), компания Login VSI сделала специальную бесплатную лицензию на свое одноименное средство тестирования (мы писали об одной из версий тут). Запросить бесплатную лицензию на инструмент Login VSI можно по этой ссылке. Она, кстати, абсолютно ничем не ограничена - ни числом хостов, ни виртуальных машин в вашей виртуальной инфраструктуре, а для тестирования доступны все рабочие нагрузки.

Единственное ее ограничение - бесплатная версия прекратит работать 31 марта этого года. С помощью Login VSI вы можете протестировать производительность таких платформ, как Citrix XenApp, XenDesktop, Microsoft RDS и, конечно же, VMware Horizon View. 

В целом, влияние обновлений безопасности на производительность особенно чувствительно именно для VDI-инфраструктур, где коэффициент консолидации виртуальных машин на хостах существенно выше, чем в серверной среде.

Запросить бесплатную лицензию на Login VSI можно здесь.


Таги: VMware, Intel, Security, Login VSI, Performance

Скрипт для проверки виртуальной инфраструктуры VMware vSphere на подверженность уязвимости Spectre.


На днях мы писали о том, что компания VMware выпустила обновления VMware vCenter и ESXi, закрывающие потенциальную угрозу безопасности Spectre (она же Hypervisor-Assisted Guest Mitigation - CVE-2017-5715), которая недавно была обнаружена в процессорах Intel. Для закрытия уязвимости нужно обновить не только серверы ESXi и vCenter, но и микрокод (BIOS/Firmware) серверов (более подробная информация также приведена в KB 52085).

На днях наш читатель Сергей прислал ссылку на скрипт от Вильяма Лама, который позволяет провести проверку компонентов виртуальной инфраструктуры VMware vSphere на данную уязвимость. Этот PowerCLI-скрипт содержит две функции:

  • Verify-ESXiMicrocodePatchAndVM
  • Verify-ESXiMicrocodePatch

Первая функция позволяет проверить хосты ESXi и виртуальные машины и сгенерировать отчет в разрезе виртуальных машин. Если в колонке Affected стоит значение False - значит обновления и микрокода сервера, и хоста ESXi были применены, а сами ВМ и хост-сервер не подвержены уязвимости Spectre.

Вторая функция проверяет только, что на хостах ESXi накачено обновление как микрокода, так и самого гипервизора ESXi, который видит обновленные CPU features.

Функция Verify-ESXiMicrocodePatchAndVM может быть запущена тремя способами:

  • Без параметров - проверяется все окружение VMware vSphere и все виртуальные машины в нем.
  • С параметром - ClusterName - проверяется конкретный кластер и всего его хосты и ВМ.
  • С параметром - VMName - проверяется только конкретная ВМ и ее хост, соответственно.

У функции Verify-ESXiMicrocodePatch также есть три способа вызова:

  • Без параметров - проверяются все хост-сервера в инфраструктуре vCenter.
  • С параметром - ClusterName - проверяется конкретный кластер и всего его хосты.
  • С параметром - VMHostName - проверяется конкретный хост-сервер ESXi.

Скачать этот PowerCLI-сценарий можно по этой ссылке: VerifyESXiMicrocodePatch.ps1.

Кстати говоря, этот скрипт был добавлен в полезный скрипт vCheck, который перед Новым годом обновился до версии 6.25, скачать его можно вот тут - https://github.com/alanrenouf/vCheck-vSphere.


Таги: VMware, Security, PowerCLI, Blogs, vSphere, ESXi, VMachines

Для VMware vSphere, Workstation и Fusion пофикшена уязвимость Spectre.


Те из вас, кто следят за ИТ-новостями, наверняка слышали о последних уязвимостях, обнаруженных в процессорах Intel. Одной из таких уязвимостей стала Spectre - она потенциально позволяет локальным приложениям (локальному атакующему, при запуске специальной программы) получить доступ к содержимому виртуальной памяти текущего приложения или других программ.

На днях компания VMware опубликовала обновления для своей платформы VMware vSphere, которые устраняют потенциальные проблемы со Spectre (сама уязвимость описана вот тут).

Исправления для серверов VMware vCenter можно скачать по этим ссылкам:

Вы можете скачать как установочный образ:

так и патч к vCenter с VMware Patch Portal (ищите обновление от 9 января):

Для серверов VMware ESXi надо пойти на VMware Patch Portal и загрузить оттуда обновление ESXi650-201801401-BG / ESXi650-201801402-BG. (номер билда 7526125). Подробная информация об обновлении приведена в KB 2151099.

Также данное исправление доступно и для настольных платформ виртуализации VMware:

Спасибо нашему читателю Стасу за новость об этих исправлениях.


Таги: VMware, ESXi, Security, vCenter, vSphere, Intel

vGate 4.0 уже в продаже: какие новшества стали доступны заказчикам?


«Код безопасности» анонсировал выход продукта vGate 4.0. Решение для защиты виртуальных инфраструктур будет востребовано компаниями, применяющими виртуальные платформы VMware vSphere или Microsoft Hyper-V последних версий. Продукт позволяет настроить инфраструктуру согласно различным требованиям с помощью наборов политик, разграничить права доступа администраторов, а также обеспечить защиту от несанкционированного доступа к виртуализованным ресурсам.


Таги: Security Code, vGate, Update, Security, VMware, vSphere

Как почистить избыточные вложенные права доступа в VMware vSphere - скрипт от LucD.


Известный своими скриптами блоггер Luc Dekens (LucD) опубликовал интересный сценарий PowerCLI для виртуальной инфраструктуры VMware vSphere, который позволяет вычистить права доступа на объекты, для которых уже существуют права на уровне родительских объектов.

Например, у вас есть такая картина:

Соответственно, нам нужно почистить пермиссии в папке Test1131 для пользователя Local\test, чтобы разрешения остались только на уровне родительского объекта Test1 (там, как мы видим, установлена опция применения разрешений вниз к дочерним объектам).

Собственно, сам скрипт:

<#
.SYNOPSIS
  Find and remove redundant permissions on vSphere objects 
.DESCRIPTION
  The function will recursively scan the permissions on the
  inventory objects passed via the Entity parameter.
  Redundant permissions will be removed.
.NOTES
  Author:  Luc Dekens
.PARAMETER Entity
  One or more vSphere inventory objects from where the scan
  shall start
.EXAMPLE
  PS> Optimize-Permission -Entity Folder1 -WhatIf
.EXAMPLE
  PS> Optimize-Permission -Entity Folder?
.EXAMPLE
  PS> Get-Folder -Name Folder* | Optimize-Permission
#>
 
  [cmdletbinding(SupportsShouldProcess=$true)]
  param(
    [parameter(ValueFromPipeline)]
    [PSObject[]]$Entity
  )
 
  Begin{
    function Optimize-iVIPermission{
      [cmdletbinding(SupportsShouldProcess=$true)]
      param(
        [parameter(ValueFromPipeline)]
        [VMware.Vim.ManagedObjectReference]$Entity,
        [VMware.Vim.Permission[]]$Permission = $null
      )
 
      Process{
        $entityObj = Get-View -Id $Entity
        $removePermission = @()
        $newParentPermission = @()
        if($Permission){
          foreach($currentPermission in $entityObj.Permission){
            foreach($parentPermission in $Permission){
              if($parentPermission.Principal -eq $currentPermission.Principal -and
                 $parentPermission.RoleId -eq $currentPermission.RoleId){
                $removePermission += $currentPermission
                break
              }
              else{
                $newParentPermission += $currentPermission
              }
            }
          }
        }
        else{
          $newParentPermission += $entityObj.Permission
        }
        if($removePermission){
          if($pscmdlet.ShouldProcess("$($entityObj.Name)", "Cleaning up permissions")){
            $removePermission | %{
              $authMgr.RemoveEntityPermission($Entity,$_.Principal,$_.Group)
            }
          }
        }
        $Permission += $newParentPermission
       
        if($entityObj.ChildEntity){
            $entityObj.ChildEntity | Optimize-iVIPermission -Permission $Permission
        }
      }
    }
  }
 
  Process{
    foreach($entry in $Entity){
       if($entry -is [System.String]){
        $entry = Get-Inventory -Name $entry
       }
       Optimize-iVIPermission -Entity $entry.ExtensionData.MoRef
    }
  }
}

Скрипт работает так, что пробегается по дереву объектов, обнаруживает избыточные разрешения и удаляет их. У скрипта есть удобный параметр WhatIf, который выводит операции по очистке разрешений, которые как бы применяются к дочерним объектам, но на самом деле не применяет их:

Optimize-VIPermission -Entity Test1 -WhatIf

Результатом будет список объектов, где разрешения будут очищены, в данном случае, если посмотреть на пример выше, это будет папка Test1131:

Можно запустить скрипт и на 2 папки сразу:

Optimize-VIPermission -Entity Test1,Test2 -WhatIf

Результат будет таким (в папке Test22 также есть дублирующиеся разрешения):

Также можно использовать и конструкции с масками, например:

Get-Folder -Name Test? | Optimize-VIPermission -WhatIf

Теперь неплохо было бы, если бы кто-то написал GUI к этой штуке, а также добавил туда функции поиска и удаления произвольных разрешений в выбранных объектах.


Таги: VMware, vSphere, PowerCLI, PowerShell, VMachines, Security

Предотвращение создания виртуальных машин на определенных датасторах в VMware vSphere Storage Policy Based Management (SPBM).


Довольно давно мы уже рассказывали о механизме применения политик для хранилищ при развертывании виртуальных машин - VMware vSphere Storage Policy Based Management (SPBM). А недавно Кормак Хоган опубликовал интересную заметку, касающуюся возможности выбора политик SPBM конкретным пользователем во время развертывания новой виртуальной машины.

Прежде всего, в vSphere нет механизма назначения прав доступа пользователей на конкретную политику SPBM - все пользователи видят все политики. Но сам механизм разграничения прав существует - его можно реализовать на уровне прав доступа к хранилищам.

Например, пользователю ben мы даем доступ Read-only к хранилищу VVols1, то есть создавать виртуальные машины он на нем не может:

А на хранилище VVols2 делаем его администратором:

В итоге, при развертываниии виртуальной машины пользователь ben видит оба хранилища - VVols1 и VVols2 и все доступные политики хранилищ (комбобокс VM storage policy):

Однако, обратите внимание, что при выборе хранилища VVols1 в разделе Compatibility написано о том, что пользователь не имеет достаточных привилегий, чтобы создать машину на этом датасторе.

You do not hold the privilege to allocate space on the selected datastore

Между тем, кнопка Next активна. Но если нажать ее, мастер все равно дальше не пустит:

Вверху мы увидим:

Specify a valid location

Ну а если выбрать VVols2, то все проверки пройдут успешно, и пользователь сможет там создать виртуальную машину:


Таги: VMware, Storage, Security, SPBM, vSphere

Шифрование виртуальных машин VMware vSphere и обеспечение доступности KMS (Key Management Service).


С момента выхода последнего мажорного релиза платформы виртуализации VMware vSphere 6.5 мы много писали о шифровании виртуальных машин (и, кроме того, затрагивали тему производительности этого процесса), а также техниках шифрования кластеров vSANнекоторых особенностях этого). Сегодня мы поговорим о самом важном компоненте инфраструктуры шифрования vSphere - Key Management Service (KMS).

Прежде всего, KMS - это сервисы шифрования не только для виртуальных машин, но и любых других объектов ИТ-инфраструктуры. Поэтому KMS уже может быть в вашей организации, при этом он может не быть прикрученным к VMware vSphere. Вы можете использовать любой KMS-сервер, но VMware сертифицировала лишь следующие системы из списка (см. вот этот документ VMware):

Если же у вас другой KMS-провайдер, не расстраивайтесь - он, скорее всего, будет работать, если поддерживает протокол управления ключами KMIP 1.1.

Начать надо с вопросов доступности KMS-сервера. Как вы понимаете, это самый важный сервер в вашей инфраструктуре, важнее DNS или контроллера домена. Если у вас недоступен DNS, все тоже не работает, как и в случае с KMS, но если оказались недоступными данные хранилища KMS - это катастрофа для организации. И нет абсолютно никакого пути восстановить их. Совершенно никакого. Обо всем этом рассказывает видео ниже:

Таким образом, KMS становится бизнес-критичной точкой не только инфраструктуры, но и бизнеса в целом. И вопросы бэкапа и его доступности - это вопросы номер 1. Давайте посмотрим на несколько базовых понятий KMS:

  • KMIP (Key Management Interoperability Protocol) - это стандарт, по которому клиент KMIP может общаться с серверами KMS. Каждый год он проходит серьезную проверку на конференции RSA.
  • DEK (Data Encryption Key). Это ключ, который хост ESXi генерирует, когда требуется зашифровать виртуальную машину. Этот ключ используется также и для расшифровывания данных ВМ, он записан в VMX/VM Advanced settings в зашифрованном виде.
  • KEK (Key Encryption Key). Это ключ, которым зашифрован DEK. KEK key ID также находится в VMX/VM Advanced settings.
  • Key Manager Cluster/Alias - это коллекция адресов FQDN/IP всех реплицируемых между собой серверов KMS. Она также хранится вместе с зашифрованной машиной в VMX/VM Advanced settings, чтобы после ее включения можно было обратиться к нужному кластеру KMS, получить KEK для cервера vCenter, который разлочит ВМ.
  • VM и vSAN encryption - это, на самом деле, с точки зрения реализации механизма шифрования одно и то же. То есть, для обоих типов шифрования используются одни и те же библиотеки, конфигурации и интерфейсы.

Когда мы говорим о кластере KMS - это всего лишь KMS-серверы, реплицирующие между собой хранилища ключей. Они не обеспечивают доступность друг друга, как, например, это делает VMware HA. Например, есть серверы KMS-A, KMS-B и KMS-C, в хранилищах которых при добавлении ключа новой ВМ он появляется мгновенно.

Если KMS-A недоступен как сервер, то сервер vCenter запрашивает ключи у хоста KMS-B. Если же KMS-A недоступен как сервис (то есть сервер работает, а служба KMS не отвечает), то vCenter ждет 60 секунд восстановления работоспособности сервиса и только потом переключается на KMS-B. Это поведение изменить нельзя.

Лучшие практики по использованию KMS таковы:

  • По возможности нужно делегировать обязанности по поддержке инфраструктуры KMS отдельной команде (Security Team) или человеку.
  • Не класть KMS-серверы в виртуальной машине в тот же кластер (например, vSAN), который также зашифрован. Иначе коробочка закроется (выключится кластер), а ключ от нее останется внутри нее же. То есть, необходимо держать хотя бы один из KMS-серверов за пределами такого домена отказа.
  • Предыдущий пункт относится и к серверам vCenter и PSC. Чтобы они могли расшифровать другие сервера, они должны быть доступны в случае сбоя.

Теперь надо сказать о катастрофоустойчивости серверов KMS. Типичный кластер в рамках одной площадки выглядит так:

Но если на этой площадке будет авария, которая затронет все 3 сервера - бизнесу может настать конец. Поэтому в идеале надо использовать конфигурацию с двумя площадками:

Понятное дело, что у малого и среднего бизнеса резервных площадок, как правило, нет. В этом случае помочь может публичное облако Amazon AWS или Microsoft Azure. Чтобы поддерживать там одну резервную машину, много денег не нужно.

Ну и если вы используете конфигурацию с несколькими площадками, то обязательно нужно учитывать в конфигурации порядок обращения к серверам KMS в рамках площадки. Если на первой площадке находятся сервера KMS-A, KMS-B и KMS-C, а на второй - KMS-D, KMS-E и KMS-F, то в первом случае порядок должен быть A,B,C,D,E,F, а во втором - D,E,F,A,B,C.

Если на второй площадке вы будете использовать конфигурацию аналогичную первой, сервер vCenter может ходить по серверам другой площадки, которая может быть недоступна, а только обойдя все ее серверы, начнет использовать локальные KMS.


Таги: VMware, vSphere, KMS, Security, VMachines

Сохранять и извлекать учетные данные с помощью PowerCLI


Рано или поздно каждый администратор приходит к тому, что ему необходимо каким-то образом сохранить, а потом и извлечь учётные данные. Причём это должно быть быстро, эффективно, удобно и самое главное безопасно. Ни один из известных мне способов не отвечал всем этим требованиям одновременно. Я стал искать и нашел свой способ, которым и хочу поделиться с вами. Это PowerCLI! Удивлены? Порой самое простое решение лежит на поверхности.


Таги: VMware, PowerCLI, Security, ESXi, vSphere

Как работает механизм оповещения об устаревающих сертификатах VMware vCenter.


Как многие из вас знают, в рамках платформы VMware vSphere коммуникация между ее компонентами происходит на базе SSL-сертификатов. Если на сервере vCenter вы используете собственные сертификаты с ограниченным сроком действия, то их надо регулярно продлять и обновлять, иначе однажды вы не сможете выполнять привычные операции в виртуальной инфраструктуре.

Например, если сертификат vCenter устареет, то при попытке выполнить горячую миграцию vMotion, вы получите сообщение о невозможности соединения с демоном vpxd и ошибкой "server certificate chain not verified" в консоли vSphere Client. Если при этом посмотреть вот в этот лог-файл:

/var/log/vmware/vmware-sps/sps.log

то можно увидеть там подобные сообщения:

com.vmware.vim.vmomi.client.exception.SslException: com.vmware.vim.vmomi.core.exception.
CertificateValidationException: Server certificate chain not verified

Чтобы посмотреть сроки действия текущих сертификатов, нужно воспользоваться следующими командами на хосте vCSA (vCenter Server Appliance):

/usr/lib/vmware-vmafd/bin/vecs-cli entry list –store MACHINE_SSL_CERT –text |less

/usr/lib/vmware-vmafd/bin/vecs-cli entry list –store machine –text |less

По умолчанию сервер vCenter предупреждает администратора об истечении срока действия сертификатов за 30 дней. О том, как заменить сертификаты хорошо рассказано вот тут.

Этот срок можно поменять, для этого:

  • Зайдите в vSphere Web Client.
  • Выберите vCenter Server, перейдите на вкладку Manage и далее в подвкладку Settings.
  • Нажмите Advanced Settings, далее Edit и введите в фильтр слово "threshold".
  • Измените значение ключа vpxd.cert.threshold на нужное количество дней.

Ну а чтобы аларм об истечении сертификатов точно сработал, нужно зайти в Alarm settings –> Certificate Status и убедиться, что установлена галка Enable this alarm.

Источник.


Таги: VMware, vCenter, Security, Certificate, VMachines, Обучение, Blogs

Что такое Veeam Powered Network (VeeamPN), и для чего нужен.


Еще на VeeamON 2017 весной этого года компания Veeam Software рассказала о новом решении Veeam Powered Network (Veeam PN), которое стало первым продуктом Veeam в области сетевого взаимодействия.

Вот его небольшой видеообзор от Anthony Spiteri, евангелиста Veeam:

Veeam PN - это простое средство для организации VPN между всеми компонентами вашей инфраструктуры - главным офисом, филиалами и подразделениями, удаленными работниками и т.п. Решение построено на базе открытой технологии OpenVPN и представляет собой специальную виртуальную машину, работающую в облаке Microsoft Azure (Veeam PN Server) или на стороне частного облака клиента, а также компоненты на стороне оконечных потребителей (Veeam PN Gateway):

Помимо готовой машины Veeam PN на стороне Azure, в качестве центрального координационного сервера, выполняющего функции маршрутизации, можно использовать обычную ВМ в онпремизной инфраструктуре VMware vSphere. Для этого нужно загрузить и развернуть виртуальный модуль Veeam PN Appliance в формате OVA.

Надо отметить, что Veeam PN - это полностью бесплатный продукт, который является сетевой подложкой для комплексного решения по обеспечению катастрофоустойчивости датацентров Veeam Recovery to Microsoft Azure. Но Veeam PN можно использовать и как простой VPN для предприятий, которым необходима простая в развертывании инфраструктура виртуальной частной сети.

Архитектура сетевой инфраструктуры Veeam PN может быть любой, например, может быть топология, где есть виртуальная машина Veeam PN Server на стороне Azure, клиентское ПО Veeam PN Gateway в трех географически разделенных датацентрах, а также отдельные внешние пользователи частной сети, подключающиеся с помощью клиента OpenVPN Client.

При развертывании продукта нужно выбрать одну из двух опций:

Network Hub - это сервер Veeam PN, который развертывается в облаке Azure или в частной инфраструктуре, а Site gateway - это виртуальная машина, выступающая как шлюз для Veeam PN. Для коммуникации используются 2048-битные самоподписанные сертификаты. Первоначальная настройка сервера выглядит так:

Далее мы задаем опции сетевой коммуникации:

  • Network hub public IP or DNS name - это публичный адрес, к которому должны иметь доступ все члены частной сети, включая удаленных клиентов вне частных облаков, которые будут подключаться к инфраструктуре.
  • Enable site-to-site VPN - эту опцию надо поставить, если необходима коммуникация между датацентрами (между Veeam PN Gateways).
  • Enable point-to-site VPN - эти настройки выставляются для коммуникации между клиентом OpenVPN Client и компонентом Veeam PN Gateway на стороне датацентра.

После того, как вы развернете Veeam PN сервер, нужно сгенерировать настройки для сетей датацентров (сценарий site-to-site) и отдельных компьютеров (сценарий point-to-site). Для этого нужно зарегистрировать сайты и компьютеры на стороне Veeam PN Server (Hub portal):

В итоге мы получим список зарегистрированных площадок и отдельных клиентов:

После того, как вы зарегистрируете клиентов, надо будет скачать настройки VPN для площадок и клиентов в формате XML. Далее эти настройки нужно будет импортировать при развертывании Site Gateway:

Если сервер Network Hub развернут в онпремизной сети, вам нужно добавить новый маршрут на шлюзе по умолчанию (Default gateway) в онпремизной сети, где у вас развернут Veeam PN Server, а также в сетях площадок, где есть Site Gateways, чтобы обе стороны VPN-туннеля знали маршрут (подробнее об этом написано тут).

Когда вы регистрируете Site Gateways на стороне Network Hub и добавляете XML-конфигурацию сетевого хаба на стороне площадки, то вы даете им возможность узнать, за какие сетевые зоны отвечают Site Gateways, и где находится Network Hub. Однако виртуальные машины на площадках также должны иметь возможность достучаться до виртуальных машин в других зонах через шлюзы по умолчанию, для того и нужно добавлять статические маршруты. Ведь после того, как трафик через Site Gateway одной площадки доходит до Network Hub, он уже корректно перенаправляется к соответствующей площадке через ее Site Gateway.

Например, у вас есть такая инфраструктура (пример взят отсюда):

Тогда таблица статических маршрутов на сайте MEL будет выглядеть так:

В качестве Next hope тут указан Site Gateway данной площадки, который далее отправит трафик к Veeam PN Server, дальше он будет направлен к машине на другой площадке. Аналогично маршруты будут выглядеть и на других площадках.

Если вы используете Veeam PN Server на стороне Azure добавлять новые маршруты не потребуется - Veeam PN сам добавит все необходимые маршруты в таблицы маршрутизации. Кстати, в качестве компонентов сетевой инфраструктуры Veeam PN можно использовать инфраструктуры на стороне публичных IaaS-сервисов AWS, IBM или Google, а также любого другого публичного облака.

Загрузить бесплатное решение Veeam PN можно по этой ссылке. Там же можно скачать и пробную версию продукта Veeam Recovery to Microsoft Azure.


Таги: Veeam, Veeam PN, Security, vNetwork, Networking, VPN

Анонсы VMworld 2017 - новая версия VMware vRealize Network Insight 3.5.


На прошедшей конференции VMworld 2017 компания VMware сделала несколько интересных анонсов, в том числе было объявлено о выходе новой версии решения для обеспечения сетевой безопасности VMware vRealize Network Insight 3.5.

Этот продукт полностью интегрирован с решением VMware NSX и позволяет выполнять следующие задачи:

  • Разрабатывать план и оценивать воздействия микросегментации на эффективность защиты виртуальной среды.
  • Ускорять выполнение микросегментации с помощью рекомендаций правил сетевого экрана.
  • Осуществлять непрерывный мониторинг и аудит соответствия нормативным требованиям.

Что нового появилось в VMware vRNI 3.5:

  • Новый дэшборд PCI Compliance (только в издании Enterprise). Решение vRealize Network Insight помогает обеспечить соответствие стандарту PCI для окружений с сетевыми экранами NSX-V. Этот дэшборд предоставляет анализ данных для отдельных секций стандарта PCI.
  • Поддержка NSX IPFIX. vRNI поддерживает NSX IPFIX вместе с VDS IPFIX для сброшенных потоков (dropped flows), а также сетевой экран NSX DFW для маппинга потоков.
  • Улучшенный дэшборд NSX Edge. Он предоставляет расширенные средства исследования топологии Layer 3 и новые виджеты, показывающие правила NAT, параметры шлюза и роутеров восходящей маршрутизации.
  • Улучшения платформы:
    • vRealize Network Insight теперь позволяет миграцию датасорсов от одного коллектора к другому и удаление коллектора из платформы.
    • Коллекторным ВМ можно давать имена для быстрой идентификации.
    • Увеличенные лимиты по емкости сбора данных коллекторных ВМ и платформы.
    • Поддержка нескольких типов лицензий и кумулятивного назначения этих лицензий.
  • Поддержка ECMP в дэшборде VM to VM Path, что позволяет визуализовать все пути. Также можно закрепить топологию на экране при скроллинге дэшборда.
  • Расширенная поддержка сторонних датасорсов:
    • Check Point Firewall (виртуальных и физических)
    • HP One View
    • Brocade MLX

Загрузить VMware vRealize Network Insight 3.5 и получить больше информации можно на официальной странице продукта.


Таги: VMware, vRNI, Security, NSX, Update

Анонсы VMworld 2017 - VMware представила продукт AppDefense.


На проходящей сейчас в Лас-Вегасе конференции VMworld 2017 компания VMware, как обычно, представляет главные анонсы новых продуктов и технологий этого года. Один из первых - объявление о новой технологии VMware AppDefense, которая представляет собой новую модель защиты приложений в виртуализованных и облачных средах. Кто помнит, о ней было еще объявлено на VMworld 2016 под рабочим названием Project Goldilocks.

AppDefense предназначена для организаций, которым требуется повышенный уровень защиты для приложений. Для защиты сетевого взаимодействия от атак типа уже есть техники на базе микросегментации со стороны решения VMware NSX (см. service insertion и guest introspection), а теперь вот и AppDefense будет реализовывать этот подход дальше, но уже на уровне приложений (естественно, при полной интеграции с vSphere и NSX). Также среди интеграций заявлены решения IBM Puppet, RSA & SecureWorks и другие.

Суть технологии AppDefense заключается в том, что она изучает нормальное поведение операционной системы и приложений при обычных условиях, а в случае выявления отклонений от этого состояния, оповещает об этом администратора и автоматически предпринимает некоторые шаги по защите окружения. Эти шаги можно оркестрировать, то есть управлять их составом и последовательностью. Вот какие действия можно предпринимать для скомпрометированного приложения:

  • Заблокировать сетевую коммуникацию конкретного процесса
  • Сделать снапшот виртуальной машины для последующего анализа
  • Отправить виртуальную машину с приложением в Suspend или выключить ее

По-сути, это whitelisting подход (добавление доверенных компонентов в список) вместо blacklisting (блокирование вредоносных компонентов). Надо отметить, что AppDefense работает на уровне гипервизора ESXi, поэтому до нее трудно дотянуться со стороны вредоносного ПО внутри виртуальных машин.

AppDefense не будет генерировать много алармов, но если ее аларм сработает - значит действительно произошло что-то серьезное, и администратору следует обратить на это внимание.

На данный момент технология AppDefense уже доступна для пользователей в США на базе годовой подписки, стоит это $500 в год на один процессор хост-сервера ESXi. Основная страница продукта находится по этой ссылке.


Таги: VMware, AppDefense, Security, Cloud

Особенности размещения государственных информационных систем в облаке.


Это гостевой пост облачного сервис-провайдера ИТ-ГРАД. Для размещения в облаке информационной системы, участвующей в обработке, хранении или передаче персональных данных (ИСПДН), необходимо, чтобы инфраструктура IaaS-провайдера была защищена в соответствии с требованиям ФЗ-152 «О защите персональных данных». Помимо ИСПДН, это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними...


Таги: IT-Grad, Cloud, Cloud Computing, IaaS, Security

Вирус-вымогатель Petya: как избежать заражения и защитить собственные системы


Это гостевой пост компании ИТ-ГРАД. Во вторник, 27 июня Россия, Украина, Индия и ряд стран Евросоюза столкнулись с новой вирусной атакой, затронувшей сотни компьютеров различных предприятий. В России о заражении сообщили «Башнефть», «Роснефть», «Рязанская нефтеперерабатывающая компания», «Хоум Кредит» банк, металлургическая компания Evraz и другие.


Таги: IT-Grad, Security, VMachines

Особенности шифрования кластеров VMware vSAN при апгрейде с прошлых версий.


Как вы знаете, в новой версии решения организации отказоустойчивых кластеров VMware vSAN 6.6 появилась возможность шифрования хранилищ. В целях увеличения эффективности и скорости работы в этой технологии используется концепция "encryption at rest". Сначала данные в незашифрованном виде идут по сети (в целях ускорения и работы сжатия), затем они в зашифрованном виде падают в кэш. После чего, перед тем, как отправиться на постоянное хранение (destaging), они будут расшифрованы, дедуплицированы/сжаты и снова зашифрованы уже на целевом устройстве.

Очевидно, что это удобно и эффективно с точки зрения экономии дискового пространства, но несколько небезопасно, так как из кэша можно потенциально достать незашифрованные данные. Поэтому и существует технология VM Encryption, лишенная этого недостатка, но неэффективно расходующая диск.

Для работы шифрования vSAN нужно, чтобы в кластере была версия on-disk format 5 или выше, при этом пятая версия появилась только в vSAN 6.6. Здесь возможны 3 сценария использования шифрования vSAN:

  • Развертывание кластера с нуля на vSAN 6.6.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 со сменой on-disk format на версию 5.
  • Апгрейд кластера с vSAN 5.x./6.x на 6.6 без изменения версии on-disk format.

В первом случае шифрование данных можно будет включить сразу же для нужного хранилища. Это добавит специальный тэг в метаданные тома, после чего все новые данные, передаваемые из кэша на диск, будут зашифрованы.

Во втором случае мастер миграции может выполнить процедуру DFC (disk format change), что поменяет on-disk format на версию 5. Далее также можно будет включить шифрование в любой момент, и с этого момента новые данные тома будут шифроваться. При этом не потребуется убирать виртуальные машины с хранилища

Ну а вот в третьем случае (когда в процессе апгрейда вы не прошли процедуру DFC), понадобится переместить все виртуальные машины с нужного тома, чтобы включить на нем шифрование. Это может вызвать некоторые неудобства, поэтому лучше всего воспользоваться вариантом один или два.


Таги: VMware, Encryption, vSAN, Security, Upgrade

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11    >   >>
Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

11/09/2018:  Облака 2018: настало время PaaS
13/09/2018:  IDC Security Roadshow 2018
14/09/2018:  Big Data Conference 2018

Быстрый переход:
VMware IT-Grad Veeam 5nine Hardware Citrix StarWind VeeamON Nutanix vSphere RVTools Enterprise Security Code Offtopic Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Horizon vSAN Labs Tools SDDC Virtual Appliance Workstation Update Backup vCloud DRS App Volumes OpenStack Forum PowerShell SRM HA LSFS Lifecycle Client Workspace vCSA Datacenter vROPs Workspace ONE Visio NSX Intel Agent Networking esxtop VVols Book Photon VMworld Fusion Cloud Computing SSD Comparison Blast Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free SQL VSAN Sponsorship Finance FT Converter XenApp Snapshots VCP vGPU Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Upgrade Director API Troubleshooting Android Graphics Migration Diagram Bug Air CLI Plugin DPM Memory SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Сравнение Oracle VirtualBox и VMware Workstation.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2018, Александр Самойленко. Правила перепечатки материалов.