Сообщения
Давно собирался написать этот пост, но что-то руки не доходили. Вот, взял себя за шкирку и пишу :)
Правда, по хорошему его надо писать слегка по другому - не только в теории (как я это делаю сейчас), но и практики добавить - но время, время... Напишу как есть, а будет время попрактикуюсь и еще напишу.
Итак - вСфера и безопасность. Благодаря хозяйке virtualizationsecuritygroup.ru я узнал, что
- существует довольно много решений, содержащих в своем описании "VMware vSphere" и "Security" одновременно.
- они в чем-то сильно похожи, но и нюансов хватает.
- ну и узнал немного подробностей про некоторые из них.
Для начала частично процитирую один из своих старых постов.
Есть вот такая картинка:
 |
| Семейство продуктов vShield |
 |
| Интерфейс vShield Manager, управлялки ко всему остальному |
Его плюс - он доступен нахаляву тем, у кого куплена vSphere Advanced и более высокие лицензии.
Его минус - это только брандмауэр.
Впрочем, его можно прокачать до vShield App. Этот апгрейд весьма заметно расширяет функционал - теперь контроль трафика возможен не только по правилам отслеживающим Source IP address, Destination IP address, Source Port, Destination port, protocol, но и по многим другим параметрам, а так же добавляются многие организационно полезные вещи. Список тут.
Подробнее про эти продукты можно на русском прочесть тут - Различия VMware vShield Zones и vShield App 4.1 update 1.
 |
| vShield Endpoint |
Однако по прежнему это межсетевой экран.
И вот тут на сцену выходит vShield Endpoint.
Это - платная дырка в гостя. Благодаря этому интерфейсу, специально обученная виртуальная машина может:
- перехватывать и контролировать трафик прочих ВМ на этом сервере
- получать доступ к ОЗУ и к диску прочих виртуальных машин
Кроме антивируса, по такой схеме заработают системы обнаружения и предотвращения вторжений, IDS\IPS, межсетевые экраны.
Ну а плюсы такого варианта развертывания этих систем - в централизации. У нас антивирус стоит не на каждой ВМ, а на каждом хосте - на порядок меньше потенциальных проблем и обслуживания.
Сама VMware предлагает лишь этот интерфейс, а создание "специально обученных ВМ" с реализацией тех или иных функций ложится на плечи профильных, предполагается, партнеров.
И вот про этих партнеров я, преимущественно, и хочу немного рассказать.
Продукты третьих фирм
Дисклаймер:
Приведенная здесь информация может изобиловать неточностями и неуказанными нюансами. Автор не является специалистом ни в области безопасности, ни в каком-либо из описываемых продуктов. Информация предоставляется в общеобразовательных целях, целевой аудиторией являются владельцы vSphere, которым область сторонних продуктов обеспечения безопасности vSphere незнакома.
Cisco
Дает нам свой виртуальный коммутатор - Nexus 1000V. Определенный функционал безопасности в нем можно найти.
Еще - Virtual Security Gateway. Это Virtual Appliance, с функциями, я так понимаю, контроля трафика. Устанавливается в дополнение к Nexus 1000V.
Презентация:
Cisco VSG_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
McAfee
Продукт McAfee Move(Management for Optimized Virtual Environments).
Вариантов два - или мы берем просто антивирусы, и их расставляем в ВМ - тогда центральная консоль управления дает возможность ограничить одновременные запуски сканирование на хост\LUN, для предотвращения шторма .
Или добавляем его на каждый хост Virtual Appliance (я не совсем разобрался, это подготовленный именно Appliance, или просто дистрибутив который сам устанавливаешь в самостоятельнуо подготовленную ВМ).
Затем в каждого гостя ставим "тонокого" агента. Такой агент, вроде как, умеет данные для антивирусного сканирования отправлять на Appliance - т.е. на каждую ВМ нагрузка меньше, и антивирус-шторма можно не так опасаться.
Однако - VMware Endpoint API не используется, связь между агентами в ВМ и выделенной ВМ со сканером просто по IP.
Тем не менее, обещают на порядок меньший объем памяти и нагрузку на процессор для каждой ВМ с таким "тонким" агентом.
Презентация:
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
Symantec
Symantec Endpoint Protection.
Сегодняшняя версия не интегрируется с API от VMware. В каждую ВМ устанавливаем привычного агента, с функцией антивируса. Под виртуализацию заявлена кое-какая оптимизация - исключение из сканирования файлов из мастер-образов, автоматическое обнаружение клиентов-ВМ и назначение им политик, которые могут отличаться от политик для физических клиентов. Обещают защиту от антивирус-штормов. Позволяют одинаковый файл проверять один раз на хост, не для каждой ВМ где он был найден.
Про функционал кроме антивируса я не понял. Функции брандмауэра и IPS упоминаются, но понятной инфы я не нашел.
Презентация (на редкость невычитанная, я даже удивился низкому качеству вроде бы публичного источника информации. Смысл, к сожалению, без спикера тоже не очень легко уловить):
Symantec Endpoint Protection_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
Trend Micro
Trend Micro Deep Security.
Доступен как в варианте с установкой обычного агента в каждую ВМ, так и вообще без установки агента(!). Последнее, насколько я могу судить - пока уникальная фича, притом функционал вполне себе.
Если на каждый сервер добавить Virtual Appliance Deep Security, а в ВМ активировать vShield Endpoint (сегодня это требует установки маленького компонента в каждую ВМ, потом обещают реализовать эти вещи прямо в VMware tools), то на всех этих ВМ мы получим функции:
- антивируса
- межсетевого экрана
- IDS\IPS
Но должен сказать, что Deep Security мне понравился больше прочих продуктов, с которыми я ознакомился очно или заочно.
Опять же дисклаймер - я понятия не имею, насколько качественно и полно реализован функционал того же антивируса или там IPS. А вот с точки зрения работы именно в контексте vSphere Deep Security мне понравился .
Что еще обратило на себя внимание с презентации по этому продукту:
- в конце года обещают версию 8 под vSphere 5
- управление Deep Security через веб-интерфейс (интеграции с vCenter нет)
- если внутри ВМ есть агент, а на сервере - Appliance, то антивирус делается последним. а все остальное - агентом. Сегодня агент не умеет антивирус, зато умеет контроль событий (с файлами, папками, реестром) в госте - чего не умеет VA.
- чтобы использовать Deep Security в варианте с VA, потребуется купить его самого, и еще лицензии на VMware Endpoint (впрочем этот пункт по идее должен быть одинаков для всех продуктов, которые использую эти API)
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
Кстати, только для продукта Trend Micro нашел русскоязычную инструкцию по развертыванию стенда - Тестовая лаборатория. Как установить Trend Micro Deep Security?
HP
HP Tipping Point. Это vController, Virtual Appliance, предлагающий функции IDS\IPS. Притом, сама логика контроля трафика в этом VA не реализована - он лишь перехватывает трафик ВМ и переправляет его на физический IPS от HP.
Управлялкой к этим VA является продукт VMC, это OEM от Reflex.
Презентация:
TippingPoint Virtual Controller +Virtual Firewall_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
IBM
IBM Virtual server protection for VMware.
Virtual Appliance, работает через API от VMware.
Предоставляет все основные функции:
- Брандмауэр
- IPS (с виртуальным патчингом)
- Защита от руткитов
Презентация:
Proventia Virtual Server Protection for VMware_Конкурс VirtualizationSecurityGroup.Ru
View more presentations from VirtSGR
Код Безопасности
vGate.
Продукт с немного другой спецификой, чем упомянутые ранее. vGate встает "в разрез" между администраторами и vCenter, и позволяет более правильно закрутить гайки прав и возможностей. Кроме того, позволяет обеспечить контроль целостности конфигурации ВМ, их доверенную загрузку. Обеспечивает контроль целостности и доверенную загрузку хостов. Регистрирует события информационной безопасности.
На блоге компании VMC есть несколько хороших рекламных статей, ознакомиться имеет смысл там.
Презентация:
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Аккорд-В. Программно-аппаратный комплекс, реализует контроль целостности и доверенную загрузку копонентов vSphere и ВМ, разграничение доступа.
Презентация:
Аккорд-В. Программно-аппаратный комплекс, реализует контроль целостности и доверенную загрузку копонентов vSphere и ВМ, разграничение доступа.
Презентация:
Аккорд-В_Конкурс продуктов портала VirtualizationSecurityGroup.Ru_продукт представлен вне Конкурса
View more presentations from VirtSGR
Если интересует антивирус - присмотритесь к Deep Security, при прочих равных, этот продукт вроде как по максимуму использует все то, что VMware позволяет использовать для оптимизации процесса.
Функционал контроля трафика предлагают большинство упомянутых компаний. Рискну предположить, что с этой стороны выбирать следует исходя уже из нюансов.
Продукты от vGate и ЗАО "ОКБ САПР" реализуют специфические задачи - думать не надо, есть задачи - надо использовать :-)
Кроме того, у некоторых продуктов есть сертификация перед российскими регуляторами, что делает их весьма интересными в контексте соответствия инфраструктуры 152-ФЗ и т.п.
P.S. Буду сильно рад отзывам тех, кто имел дело с упомянутыми продуктами в боевых и приближенных к ним условиях.
Касперский вроде бы также обещал поддержку Endpoint.
ОтветитьУдалитьКакой хороший пост, сохранил :)
ОтветитьУдалить2Hober - да, пресс релиз от Касперского я видел. А вот хоть что-то еще - нет.
ОтветитьУдалитьКаспер уже второй год обещает... но так ничего виртуально-заточенного не выпустили...
ОтветитьУдалитьНо их можно понять - их рынок = домашние юзвери.
Большое спасибо!
ОтветитьУдалитьТе, кто пользовал Trend Micro 2011 говорят, что из 5-ти вирусов не видит 4. Вирусы известные, не новые.
ОтветитьУдалитьДара на дыре.
Антивирусы не входят в список моих интересов, но периодически мои слушатели делятся опытом и про них.
ОтветитьУдалитьутверждения "кто-то где-то сказал что %antivirusname% так себе" я слышу регулярно, и, что удивительно, про все антивирусы по очереди.