воскресенье, 24 июля 2011 г.

vSphere Security


Давно собирался написать этот пост, но что-то руки не доходили. Вот, взял себя за шкирку и пишу :)
Правда, по хорошему его надо писать слегка по другому - не только в теории (как я это делаю сейчас), но и практики добавить - но время, время... Напишу как есть, а будет время попрактикуюсь и еще напишу.

Итак - вСфера и безопасность. Благодаря хозяйке virtualizationsecuritygroup.ru я узнал, что
  • существует довольно много решений, содержащих в своем описании "VMware vSphere" и "Security" одновременно.
  • они в чем-то сильно похожи, но и нюансов хватает.
  • ну и узнал немного подробностей про некоторые из них.
Введение

Для начала частично процитирую один из своих старых постов.

Есть вот такая картинка:
Семейство продуктов vShield
Это - продукты и функции VMware vSphere, имеющие отношение к безопасности.

Интерфейс vShield Manager, управлялки ко всему остальному
Во-первых - есть продукт vShield Zones. Это - межсетевой экран, позволяющий контролировать обмен трафиком, притом даже тем трафиком, что остается внутри ESX(i), когда им обмениваются две ВМ на одном вКоммутаторе. Еще он хорош тем, что правила создаются и контролируются в одном месте (появляется отдельная страница прямо в интерфейсе vSphere Client, см. картинку) - не требуется отдельно конфигурить правила в каждой гостевой ОС, если использовать внутри-гостевые межсетевые экраны.

Его плюс - он доступен нахаляву тем, у кого куплена vSphere Advanced и более высокие лицензии.
Его минус - это только брандмауэр.

Впрочем, его можно прокачать до vShield App. Этот апгрейд весьма заметно расширяет функционал - теперь контроль трафика возможен не только по правилам отслеживающим Source IP address, Destination IP address, Source Port, Destination port, protocol, но и по многим другим параметрам, а так же добавляются многие организационно полезные вещи. Список тут.

Подробнее про эти продукты можно на русском прочесть тут - Различия VMware vShield Zones и vShield App 4.1 update 1.
vShield Endpoint

Однако по прежнему это межсетевой экран.

И вот тут на сцену выходит vShield Endpoint.

Это - платная дырка в гостя. Благодаря этому интерфейсу, специально обученная виртуальная машина может:
  • перехватывать и контролировать трафик прочих ВМ на этом сервере
  • получать доступ к ОЗУ и к диску прочих виртуальных машин
Благодаря этому в упомянутой "специально обученной ВМ" могут работать антивирус\антималваре - и защищать ВМ на этом ESX(i). (Предполагается, что такая ВМ разворачивается на каждом ESX(i), это же относится к vShield Zones).

Кроме антивируса, по такой схеме заработают системы обнаружения и предотвращения вторжений, IDS\IPS, межсетевые экраны.

Ну а плюсы такого варианта развертывания этих систем - в централизации. У нас антивирус стоит не на каждой ВМ, а на каждом хосте - на порядок меньше потенциальных проблем и обслуживания.

Сама VMware предлагает лишь этот интерфейс, а создание "специально обученных ВМ" с реализацией тех или иных функций ложится на плечи профильных, предполагается, партнеров.

И вот про этих партнеров я, преимущественно, и хочу немного рассказать.

Продукты третьих фирм


Дисклаймер:
Приведенная здесь информация может изобиловать неточностями и неуказанными нюансами. Автор не является специалистом ни в области безопасности, ни в каком-либо из описываемых продуктов. Информация предоставляется в общеобразовательных целях, целевой аудиторией являются владельцы vSphere, которым область сторонних продуктов обеспечения безопасности vSphere незнакома.

Cisco

Дает нам свой виртуальный коммутатор - Nexus 1000V. Определенный функционал безопасности в нем можно найти.

Еще - Virtual Security Gateway. Это Virtual Appliance, с функциями, я так понимаю, контроля трафика. Устанавливается в дополнение к Nexus 1000V.

Презентация:



McAfee

Продукт McAfee Move(Management for Optimized Virtual Environments).

Вариантов два - или мы берем просто антивирусы, и их расставляем в ВМ - тогда центральная консоль управления дает возможность ограничить одновременные запуски сканирование на хост\LUN, для предотвращения шторма .

Или добавляем его на каждый хост Virtual Appliance (я не совсем разобрался, это подготовленный именно Appliance, или просто дистрибутив который сам устанавливаешь в самостоятельнуо подготовленную ВМ).
Затем в каждого гостя ставим "тонокого" агента. Такой агент, вроде как, умеет данные для антивирусного сканирования отправлять на Appliance - т.е. на каждую ВМ нагрузка меньше, и антивирус-шторма можно не так опасаться.

Однако - VMware Endpoint API не используется, связь между агентами в ВМ и выделенной ВМ со сканером просто по IP.
Тем не менее, обещают на порядок меньший объем памяти и нагрузку на процессор для каждой ВМ с таким "тонким" агентом.


Презентация:

Symantec

Symantec Endpoint Protection.

Сегодняшняя версия не интегрируется с API от VMware. В каждую ВМ устанавливаем привычного агента, с функцией антивируса. Под виртуализацию заявлена кое-какая оптимизация - исключение из сканирования файлов из мастер-образов, автоматическое обнаружение клиентов-ВМ и назначение им политик, которые могут отличаться от политик для физических клиентов. Обещают защиту от антивирус-штормов. Позволяют одинаковый файл проверять один раз на хост, не для каждой ВМ где он был найден.

Про функционал кроме антивируса я не понял. Функции брандмауэра и IPS упоминаются, но понятной инфы я не нашел.

Презентация (на редкость невычитанная, я даже удивился низкому качеству вроде бы публичного источника информации. Смысл, к сожалению, без спикера тоже не очень легко уловить):



Trend Micro

Trend Micro Deep Security.

Доступен как в варианте с установкой обычного агента в каждую ВМ, так и вообще без установки агента(!). Последнее, насколько я могу судить - пока уникальная фича, притом функционал вполне себе.

Если на каждый сервер добавить Virtual Appliance Deep Security, а в ВМ активировать vShield Endpoint (сегодня это требует установки маленького компонента в каждую ВМ, потом обещают реализовать эти вещи прямо в VMware tools), то на всех этих ВМ мы получим функции:
  • антивируса
  • межсетевого экрана
  • IDS\IPS
Самым прямым конкурентом для Trend Micro выглядят антивирусные вендоры Symantec и McAfee. Я присутствовал на презентации Trend Micro, но отсутствовал на презентациях Symantec и McAfee, поэтому информации для сравнения у меня мало.

Но должен сказать, что Deep Security мне понравился больше прочих продуктов, с которыми я ознакомился очно или заочно.

Опять же дисклаймер - я понятия не имею, насколько качественно и полно реализован функционал того же антивируса или там IPS. А вот с точки зрения работы именно в контексте vSphere Deep Security мне понравился .

Что еще обратило на себя внимание с презентации по этому продукту:
  • в конце года обещают версию 8 под vSphere 5
  • управление Deep Security через веб-интерфейс (интеграции с vCenter нет)
  • если внутри ВМ есть агент, а на сервере - Appliance, то антивирус делается последним. а все остальное - агентом. Сегодня агент не умеет антивирус, зато умеет контроль событий (с файлами, папками, реестром) в госте - чего не умеет VA.
  • чтобы использовать Deep Security в варианте с VA, потребуется купить его самого, и еще лицензии на VMware Endpoint (впрочем этот пункт по идее должен быть одинаков для всех продуктов, которые использую эти API)
Презентация (очень информативная, рекомендую к ознакомлению):



Кстати, только для продукта Trend Micro нашел русскоязычную инструкцию по развертыванию стенда - Тестовая лаборатория. Как установить Trend Micro Deep Security?

HP

HP Tipping Point. Это vController, Virtual Appliance, предлагающий функции IDS\IPS. Притом, сама логика контроля трафика в этом VA не реализована - он лишь перехватывает трафик ВМ и переправляет его на физический IPS от HP.

Управлялкой к этим VA является продукт VMC, это OEM от Reflex.

Презентация:



IBM

IBM Virtual server protection for VMware.

Virtual  Appliance, работает через API от VMware.

Предоставляет все основные функции:
  • Брандмауэр
  • IPS (с виртуальным патчингом)
  • Защита от руткитов 
Антивируса нет, по крайней мере в текущей версии.

Презентация:



Код Безопасности

vGate.
Продукт с немного другой спецификой, чем упомянутые ранее. vGate встает "в разрез" между администраторами и vCenter, и позволяет более правильно закрутить гайки прав и возможностей. Кроме того, позволяет обеспечить контроль целостности конфигурации ВМ, их доверенную загрузку. Обеспечивает контроль целостности и доверенную загрузку хостов. Регистрирует события информационной безопасности.

На блоге компании VMC есть несколько хороших рекламных статей, ознакомиться имеет смысл там.

Презентация:
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR

ЗАО "ОКБ САПР"

Аккорд-В. Программно-аппаратный комплекс, реализует контроль целостности и доверенную загрузку копонентов vSphere и ВМ, разграничение доступа.

Презентация:

Выводы

Если интересует антивирус - присмотритесь к Deep Security, при прочих равных, этот продукт вроде как по максимуму использует все то, что VMware позволяет использовать для оптимизации процесса.

Функционал контроля трафика предлагают большинство упомянутых компаний. Рискну предположить, что с этой стороны выбирать следует исходя уже из нюансов.

Продукты от vGate и  ЗАО "ОКБ САПР" реализуют специфические задачи - думать не надо, есть задачи - надо использовать :-)

Кроме того, у некоторых продуктов есть сертификация перед российскими регуляторами, что делает их весьма интересными в контексте соответствия инфраструктуры 152-ФЗ и т.п.

P.S. Буду сильно рад отзывам тех, кто имел дело с упомянутыми продуктами в боевых и приближенных к ним условиях.


7 комментариев:

  1. Касперский вроде бы также обещал поддержку Endpoint.

    ОтветитьУдалить
  2. Какой хороший пост, сохранил :)

    ОтветитьУдалить
  3. 2Hober - да, пресс релиз от Касперского я видел. А вот хоть что-то еще - нет.

    ОтветитьУдалить
  4. Каспер уже второй год обещает... но так ничего виртуально-заточенного не выпустили...
    Но их можно понять - их рынок = домашние юзвери.

    ОтветитьУдалить
  5. Те, кто пользовал Trend Micro 2011 говорят, что из 5-ти вирусов не видит 4. Вирусы известные, не новые.
    Дара на дыре.

    ОтветитьУдалить
  6. Антивирусы не входят в список моих интересов, но периодически мои слушатели делятся опытом и про них.

    утверждения "кто-то где-то сказал что %antivirusname% так себе" я слышу регулярно, и, что удивительно, про все антивирусы по очереди.

    ОтветитьУдалить