Upload
maksim-fedotenko
View
4.064
Download
9
Embed Size (px)
Citation preview
4.0 4.1
VMX01 R RПредотвращение сжатия
виртуальных дисков
Сжатие виртуальных дисков очищает неиспользованное
пространство в них. Если существует пустое пространство на
диске, этот процесс уменьшает количество пространства
виртуального диска занимаемого на дисках узла. Обычные
пользователи и процессы (без административных привилегий)
внутри виртуальной машины могут запустить эту процедуру.
Если это делать постоянно, виртуальный диск может стать
недоступным пока сжатие не выполнится, что повлечет отказ в
обслуживании. В большинстве цетрах обработки данных
сжатие дисков не производится, поэтому следует запретить
это свойство в параметрах.
Повторяемое сжатие дисков может
привети к недоступности виртуальных
дисков. Свойство доступно для
пользователей без администраторских
привилегий
Enterpriseisolation.tools.diskWiper.disable=TRUE
isolation.tools.diskShrink.disable=TRUE
VMX02 R R
Предотвращение
шпионажа других
пользователей на
администраторских
удаленных консолях
По-умолчанию, сессии удаленных консолей могут быть
связаны с более чем одним пользователем одновременно.
Когда множество сессий активировано, каждый терминальное
окно получает предупреждение о новой сессиии.
Если администратор виртуальной
машины вошел используя удаленную
консоль VMware (VMware remote
console) в течение своей сессии, то
пользователь без администраторских
полномочий в виртуальной машине
может подсоединиться к консоли и
наблюдать за действиями
администратора.
DMZ RemoteDisplay.maxConnections=1
Только одно соединения удаленной
консоли к виртуальной машине будет
разрешено. Другие попытки будут
отвергаться до разъединения первой
сессии.
VMX03 RQ
"
Запрещение возможности
копирования/вставки через
буфер обмена для
удаленных консолей
Когда Vmware tools выполняются в виртуальной машине, по-
умолчанию можно производить операции копирования и
вставки между гостевой операционной системой и
компьютером, где выполнятся удаленная консоль. Как только
консольное окно получает фокус ввода, непривилегированные
пользователи и процессы, выполняющиеся в виртуальной
машине, могут получить доступ к буферу обмена консоли
виртуальной машины. Рекомендуется запретить операции
копирования/вставки для гостевой операционной системы.
Если пользователь скопирует важную
информацию в буфер обмена перед
использованием консоли, то
пользователь - возможно неосознано -
покажет важные данные виртуальной
машины
Enterprise
isolations.tools.copy.disable=TRUE
isolation.tools.paste.disable=TRUE
isolation.tools.dnd.disable=TRUE
isolation.tools.setGUIOptions.enable=FALSE
Копирование/вставка в/из удаленной
консоли не будет работать.
R "
Вам следует гарантировать, что никакое посторонее
устройство не может быть подключено к виртуальной машине,
если это не требуется. Например, последовательный и
параллельный порты редко испльзуются в виртуальных
машинах в центрах обработки данных, а устройства чтения
CD/DVD дисков обычно подсоединяются временно для
установки программного обеспечения.
Для устройств, которые не требуются, соответствующий
параметр должен быть не прописан или его значение должно
быть FALSE.
Замечание: Приведенных параметров не достаточно для
гарантии, что устройство может использоваться, могут
потребоваться дополнительные параметры
Любое разрешенное и
подсоедииненное устройство
представляет собой потенциальный
канал для атаки
Enterprise
Следующие параметры не должны быть
прописаны, если устройство не требуется:
1. Floppy drives: floppyX.present
2. Serial ports: serialX.present
3. Parallel ports: parallelX.present
4. USB controller: usb.present
5. CD-ROM: ideX:Y.present
Q R —⁄⁄— —⁄⁄— —⁄⁄—
Следующие параметры не должны быть
прописаны или установлены в значение FALSE,
если устройство не требуется:
1. Floppy drives: floppyX.present
2. Serial ports: serialX.present
3. Parallel ports: parallelX.present
4. USB controller: usb.present
5. CD-ROM: ideX:Y.present
VMX 11 R R
Предотвращение
неавторизованного
удаления, соединений и
модификаций устройств
Обычные пользователи и процессы - те пользователи и
процессы, которые не обладают администраторскими
привилегиями (привилегиями root или administrator) - внутри
виртуальных машин способны подсоединять или отсоединять
устройства, такие как сетевые адаптеры или устройства чтения
CD-ROM устройств, также как и способны модифицировать
параметры устройств.
В общем, следует использовать редактирование параметров
виртуальных машин для удаления любых ненужных
аппаратных устройств. Однако, если вы захотите использовать
устройство снова, таким образом удалять устройство не всегда
хорошо. В этом случае вы можете запретить пользователю или
процессу в виртуальной машине подсоединять или
отсоединять устройство внутри гостевой операционной
системы, также как и модифицирование устройств, при
помощи добавления следующих параметров.
По-умолчанию, нарушитель без
администраторских привилегий в
виртуальной машине могут:
- Подсоединять отсоединенное
устройство чтения CD-ROM дисков и
получить доступ к важной информации
на диске в устройстве
- Отсоединять сетевые адаптеры для
изоляции виртуальной машины от сети,
что приводит к отказу в обслуживании
- Модифицировать параметры
устройства
Enterpriseisolation.device.connectable.disable=TRUE
isolation.device.edit.disable=TRUE
VMX 10
Запрещение
подсоединения
неавторизованных
устройств
Эффект ПроверкаВерсия
Код Название Описание Угроза
Виртуальные машины
VMware vSphere 4.1 Security Hardening Guide Revision A от января 2011Сравнение с VMware vSphere 4.0 Security Hardening Guide
Уровень Параметры Условия или шаги
Действия непривилегированных пользователей
Виртуальные устройства
VMX 12 R R
Запрет коммуникаций
между виртуальными
машинами через VMCI
интерфейс
Если интерфейс не ограничен, то виртуальная машина может
определить и быть определенной другими виртуальными
машинами с теми же параметрами и на том же узле.
Самописное программное обеспечение может быть
неожиданно уязвимо, что может потенциально вести к
эксплоиту. Дополнительно, виртуальная машина может
определить как много других виртуальных машин размещены
на том же ESX. Эта информация может быть потенциально
использована в злонамеренных целях.
По-умолчанию, значение - FALSE
Виртуальная машина может быть
видима другим виртуальным машинам
на том же узле до тех пор, пока, по
крайней мере, одна программа
соединена с VMCI интерфейсу
Enterprise vmci0.unrestricted=FALSE
Enterpriselog.rotateSize=1000000
log.keepOld=10
SSLF Isolation.tools.log.disable=TRUE
Журналы виртуальной машины
недоступны для поиска и устранения
неисправностей
VMX 21 R R
Ограничение
информационных
сообщений из виртуальной
машины в VMX файл
Конфигурационный файл, содержащий пары "имя-значение"
ограничивается 1 Mb. Размера в 1 Mb достаточно в
большинстве случаев, но вы можете изменить это значение
при необходимости. Можно увеличить это значение, если
большое количество дополнительной информации будет
сохраняться в конфигурационном файле. По-умолчанию
ограничение - 1 Mb; это ограничение применяется даже когда
параметр sizeLimit не указан в VMX файле.
Неконтролируемый размер VMX файла
может привести к отказу в
обслуживании при заполнении
хранилища данных
Enterprise tools.setInfo.sizeLimit=1048576
VMX 22 R R
Избегать использования
несохраняющихся
(nonpersistent) дисков
Проблема безопасности с режимом несохраняющихся дисков -
это, то что нарушитель простым выключением или
перезагрузкой виртуальной машины может отменить или
удалить любые журналы на виртуальной машине.
Для защиты от этого следует продуктивные виртуальные
машины использовать либо с постоянными (persistent)
дисками или с несохраняющимися дисками; дополнительно,
будьте уверены, что действия в виртуальной машине
журналируется удаленно на отдельный сервер, такой как
syslog-сервер или эквивалентный коллектор событий Windows
Без постоянных записей о деятельности
на виртуальной машине, администратор
может никогда не узнать о проведении
атаки
DMZ
Если удаленное журналирование событий и
действий не установлено для гостевой системы, то
scsiX:Y.mode следует быть:
- или не представлено
- или не установлено в "independent
nonpersistent"
Не будет использоваться nonpersistent
режим, который позволяет
откатываться к известному состоянию
когда перегружается виртуальная
машина
VMX 23 Q R
Использование
защищенных протоколов
для доступа к виртуальным
последовательным портам
Последовательные порты являются интерфейсами для
соединения периферии к виртуальной машине. Они часто
используются на физических системах для обеспечения
прямого низкоуровневого соединения с консолью сервера, а
виртуальный серийиный порт позволяет тот же доступ к
виртуальной машине
Последовательные порты позволяют
низкоуровневый доступ, который часто
не имеет строгого контроля наподобие
журналирования или разграничение
привилегий
Enterprise
Используйте защищенный протокол подобно
SSH вместо telnet для доступа к виртуальным
последовательным портам
VMX 24 Q RЗапрет определенных
скрытых свойств
Т.к. виртуальные машины разработаны для работы и на
vSphere и на Workstation и на Fusion, то существует несколько
VMX-параметров, которые не применимы при выполнении на
vSphere. Хотя эта функциональность не влияет на ESX, явное
запрещение уменьшит потенциальные уязвимости
Отключение этих свойств уменьшает
количество направлений, пот которым
гость может пытаться воздействовать на
узел и таким образом помогает
предоствратить взлом
DMZ
isolations.tools.unity.push.update.disable=TRUE
isolation.tools.ghi.launchmenu.change=TRUE
isolation.tools.hgfsServerSet.disable=TRUE
isolation.tools.memSchedFakeSampleStats.disable=T
RUE
isolation.tools.getCreds.disable=TRUE
Нет
R R
Информационный поток виртуальной машины
Прикладные интерфейсы управления виртуальными машинами
VMX 20
Ограничение размера и
количества журнальных
файлов виртуальной
машины
Можно использовать эти установки для ограничения полного
размера и количества журнальных файлов. Обычно новый
журнальный файл создается только когда узел перегружается,
так файл может расти до очень большого размера. Вы можете
гарантировать что новый журнальный файл создается более
часто посредством ограничения максимального размера
журнальных файлов. Если вы хотите ограничить полный
размер журналируемых данных, VMware рекомендует
сохранять 10 журнальных файлов с ограничением каждого в 1
000 Kb. Хранилища данных желательно форматировать с
размерами блоков в 2 Mb или 4 Mb.
Каждый раз когда запись пишется в журнал, размер файла
проверяется; если он выше предела, то следующая запись
пишется в новый журнал. Если максимальное количество
журнальных файлов уже существует, когда новый файл
создается наиболее старый файл удаляется. Атака типа отказа
в обслуживании, которую избегают эти ограничения, может
быть проведена посредством записи огромной журнальной
записи. Но каждая журнальная запись ограничивается 4 Kb,
поэтому журнальный файл не может превышать
конфигурационный лимит больше, чем на 4 Kb.
Вторая опция запрещает журналирование для виртуальной
машины. Запрещение журналирования для виртуальной
машины усложняет поиск и устранение неисправностей.
Неконтролируемое журналирование
может привести к отказу в
обслуживанию при переполнении
хранилища данных
VMX 30 R R
Запрет удаленных
операций в гостевой
системе
VIX API позволяет системным администраторам писать
программы и скрипты, которые автоматизируют операции с
виртуальными машинами, также как это делают сами гостевые
операционные системы в виртуальных машинах. Если это
разрешено, то системный администратор может выполнять
скрипты или программы, которые используют VIX API для
выполнения задач внутри гостевой операционной системы.
Нарушитель потенциально может
выполнить неавторизованные скрипты
внутри гостевой операционной системы
Enterprise guest.command.enabled=FALSE
VMX 31 R R
Запрещение отсылки
информации о
производительности узла
гостевым системам
Если разрешено, то виртуальая машина может получить
детальную информацию о физическом узле. По-умолчанию,
значение параметра FALSE
Нарушитель потенциально может
использовать эту информацию для
получения информации об узле для
осуществления дальнейших атак на хост
Enterprise tools.guestlib.enableHostInfo=FALSE
VMX 51 RQ
"
Ограничение доступа к
VMsafe CPU/Memory API
Вам следует гарантировать, что к VMsafe CPU/memory
диагностирующему виртуальному коммутатору подсоедины
только те виртуальные машины, которые специально
установлены для выполнения этой задачи
Нарушитель может скомпрометировать
все другие виртуальные машины
используя канал диагностики (анализа)
Enterprise
Если виртуальная машина не выполняет VMsafe
CPU/Memory продукт, то следующий параметр не
должен быть в VMX файле:
ethernetX.networkName="vmsafe-appliances"
где X - цифра
VMX 52 Q R
Управление доступом к
виртуальной машине через
VMsafe CPU/Memory API
Виртуальная машина должна быть сконфигурирована явно для
разрешения доступа через VMsafe CPU/Memory API. Это
включает три параметра: один - разрешение API; один -
установку IP-адреса, используемого виртуальным устройством
безопасности на диагностическом коммутаторе (vSwitch); и
один - устанавливает номер порта для этого IP-адреса. Так
следует сделать для виртуальных машин, для которых вы
хотите это сделать
Нарушитель может скомпрометировать
виртуальную машину используя канал
диагностики
Enterprise
Если виртуальная машина не предназаначена для
защиты при помощи VMsafe CPU/Memory
продукта, то следующие параметры не должны
быть в VMX файле:
vmsafe.enable=TRUE
vmsafe.agentAddress="www.xxx.yyy.zzz"
vmsafe.agentPort="nnnn"
Последние два параметра зависят от того, как
виртуальное устройство безопасности настроено
(IP-адрес и порт этого устройства)
VMX 54 RQ
"
Ограничение доступа к
VMsafe network API
Вам следует гарантировать, что к VMsafe network
диагностический виртуальный коммутатор подсоедины только
те виртуальные машины, которые вы специально установили
для выполнения этой задачи
Нарушитель может скомпрометировть
все другие виртуальные машины
используя канал диагностики
Enterprise
Если виртуальная машина не является VMsafe
устройством сетевой безопасности, то
гарантируйте, что следующий параметр не
представлен в VMX файле:
ethernetX.networkName="dvfilter-appliances"
где X - цифра
VMX 55 Q R
Управляйте доступом к
виртуальной машине через
VMsafe Network API
Виртуальная машина должна быть сконфигурирована явно для
разрешения доступа через VMsafe Network API. Так следует
сделать для виртуальных машин, для которых вы хотите это
сделать
Нарушитель может скомпрометировать
виртуальную машину используя канал
диагностики
Enterprise
Если виртуальная машина не предназначена для
защиты при помощи VMsafe Network продукта, то
следующие параметры не должны быть в VMX
файле:
ethernet0.filter1.name=dv-filter1
где
"ethernet0" - интерфейс сетевого адаптера
виртуальной машины, которая защищается;
"filter1" - номер фильтра, который используется;
"dv-filter1" - название модуля ядра
VMX 56 Q RОграничение доступа к
VMsafe network API
Вам следует гарантировать, что к VMsafe network
диагностический виртуальный коммутатор подсоедины только
те виртуальные машины, которые вы специально установили
для выполнения этой задачи
Нарушитель может скомпрометировть
все другие виртуальные машины
используя канал диагностики
Enterprise
Если VMsafe сетевое устройство безопасности
было развернуто на узле, то необходимо
гарантировать, что этот (и только этот) IP-адрес
виртуальной машины сконфигурирован для
использования этого API. Для этого следует
гарантировать, что только этот IP-адрес
виртуальной машины указан в следующем
параметре ядра:
/Net/DVFilterBindIpAddress
Это можно сделать используя vCLI, например,
введя команду:
vicfg-advcfg –g /Net/DVFilterBindIpAddress
VMP 01 R R
Защита виртуальной
машине так же как и
физической
Ключ к пониманию требований безопасности виртуального
окружения - это понимание того, что виртуальные машины, в
большинстве аспектов, эквивалентны физическим. Поэтому
критично, чтобы внедрялись те же меры безопасности в
виртуальных машинах, что и на физических серверах
Гостевая операционная система,
которая выполняется в виртуальной
машине, - это предмет тех же самых
рисков безопасности как и у физической
системы
Enterprise
Гарантируйте, что антивирус, антишпионское
ПО, обнаружение вторжений и другие
защитные продукты установлены на каждой
виртуальной машине в виртуальной
инфраструктуре. Сохраняйте все меры
безопасности актуальными (up-to-date),
включая применение актуальных обновлений
(patches). Важно сохранять следы обновлений
для выключенных виртуальных машин, т.к.
можно легко определить их.
VMsafe. CPU/Memory API
VMsafe. Network API
Общая защита виртуальных машин
VMP 02 R R
Запрет ненужных или
избыточных функций
внутри виртуальной
машины
Запретив избыточные системные компоненты, которые не
нужны для поддержки приложений или сервисов,
выполняемых на системе, вы уменьшаете количество частей
системы, которые могут быть атакованы. Виртуальные
машины часто не требуют так много сервисов или функций как
обычный физический сервер: так при виртуализации, вам
следует оценить необходим ли действительно данный сервис
или функция
Любой сервис, выполняющийся на
виртуальной машине, обеспечивает
потенциальный путь к атакам
Enterprise
Некоторые шаги:
* Запретить неиспользуемые сервисы в
операционной системе. Например, если
система выполняет файловый сервер,
выключите Web сервисы
* Отсоедините неиспользуемые физические
устройства, такие как CD/DVD драйвы, floppy
драйвы, USB адаптеры
* Отключите любые хранители экрана (screen
savers). Если используется Linux, BSD или Solaris
в качестве гостевой операционной системы, не
выполняйте X Window, если в этом нет
необходимости
VMP 03 R R
Используйте шаблоны для
развертывания
виртуальных машин когда
это возможно
Посредством создания образа защищенной операционной
системы (без установленных приложений), можно
гарантировать, что все ваши виртуальные машины создаются с
известным уровнем безопасности. Можно далее использовать
эти шаблоны для создания других шаблонов уже с
установленными приложениями
Ручная установка операционной
системы и приложений в виртуальную
машину открывает риски неправильного
конфигурирования из-за человеческих
ошибок или программных сбоев
Enterprise
Создайте шаблоны виртуальных машин,
которые содержат защищенные, обновленные
и соответственно настроенные операционные
системы. Если возможно, внедрите в шаблоны
перед развертыванием необходимые
приложения. В vSphere вы можете
конвертировать шаблон в виртуальную
машину и назад, что делает модернизацию
шаблона достаточно быстрой. VMware Update
Manager также может автоматически патчить
операционные системы и некоторые
приложения в шаблоне, чтобы гарантирвоать,
что они остаются актуальными
VMP 04 R R
Предотвращение
виртуальных машин от
захвата ресурсов
По-умолчанию, все виртуальные машины на ESX/ESXi узле
разделяют ресурсы одинаково. Посредством управления
ресурсами ESX/ESXi, таких как разделяемые ресурсы и
пределы, вы можете управлять серверными ресурсами,
которые виртуальные машины потребляют
Можно использовать этот механизм для
предотвращения отказа в
обслуживании, который вызывает одна
виртуальная машина потребляя так
много ресурсов узла так, что другие
виртуальные машины на том же самом
узле не могут выполнить их функции
DMZ
Используйте разделение или оставляйте в
запасе ресурсы для критичных виртуальных
машин. Используйте ограничения для
сдерживания потребления ресурсов
виртуальными машинами, которые
подвергаются высокому риску заражения или
атаки, или которые выполняют приложения
потенциально потребляющие большое
количество ресурсов.
VMP 05 R R
Минимизация
использования консоли
виртуальной машины
Консоль виртуальной машины позволяет соединиться с
консолью виртуальной машины (эффект показа монитора
физического сервера)
Консоль виртуальной машины также
обеспечивает управление питанием и
контролирует подсоединения съемных
устройств, которые могут потенциально
позволять нарушителю сломать
виртуальную машину. В дополнении,
также влияет на производительность
сервисной консоли, если открыто много
консольных сессий к виртуальным
машинам одновременно
Enterprise
Вместо консоли виртуальной машины,
используйте родные сервисы удаленного
управления, такие как терминальные сервисы
и ssh, для взаимодействия с виртуальными
машинами. Давайте доступ к консолям
виртуальных машин только когда это
действительно необходимо.
HIN 01 R R
Проверка целостности
программного обеспечения
перед установкой
Перед установкой любого программного обеспечения от
VMware его аутентичность и целостность следует быть
проверена. VMware обеспечивает цифровые подписи при
скачивании программного обеспечения, и физическое
опечатывание для программного обеспечения,
распространяемого посредством физических носителей
Подделка программного обеспечения
может использоваться для нарушения
защиты
Enterprise
Всегда проверяйте SHA1 хэш после закачки
образа ISO с download.vmware.com для
гарантии, что ISO образ аутентичен. Если вы
получили диск от VMware и печать сорвана,
возвратите программное обеспечение в
VMware для замены
HIN 02 Q RСвоевременное
обновление (patch) ESX/ESXi
Своевременная установка обновлений будет уменьшать
уязвимости гипервизора
Если атакующий может получить доступ
или повысить привилегии на ESX/ESXi
системах, он может затем получить
контроль над виртуальными машинами
на этом узле
Enterprise
Используйте ESX/ESXi вовремя модернизируя
(устанавливая заплатки) согласно
индустриальным стандартным практикам или
внутренним практикам организации. Vmware
Update Manager является автоматизированным
средством, помогающим в этом. Vmware также
публикует советы (Advisories) и предлагает
осуществить подписку по электронной почте на
них
HST 01 R R
Аутентификация по
протоколу CHAP в обоих
направлениях для iSCSI
трафика
vSphere позволяет использовать двунаправленную
аутентификацию для iSCSI исполнителя (сервера,
принимающего запросы) и узла. Имеет сысл не производить
более строгую аутентификацию, если вы создаете отдельную
сеть или VLAN для обслуживания всех ваших iSCSI устройств.
Если iSCSI устройство изолировано от сетевого трафика, оно
менее уязвимо.
Без использования двунаправленной
аутентификации создается
потенциальная возможность
проведения MiTM атаки, в которой
нарушитель может выдать себя за одну
из сторон соединения с целью
воровства данных
DMZ
Configuration->Storage Adaptors->iSCSI Initiator
Properties->CHAP->CHAP(Target Authenticates Host)
и Mutual CHAP(Host Authenticates Target). Оба
значения устанавливаются в "Use CHAP" и для
каждого устанавливается "Name" и "Secret"
DMZКонфигурация различных аутентификационных
секретов для каждого ESX/ESXi узла
HST 02
Уникальность секретов для
аутентификации по
протоколу CHAP
Общий аутентификационный секрет для каждого узла должен
различаться. Если возможно, секрет должен отличаться для
каждого клиента, аутентифицирующегося на сервере. Это
гарантирует, что если один узел будет скомпрометирован, то
злоумышленник не сможет создать другой произвольный узел
и аутентифицировать его на устройстве хранения
При использовании единого
разделяемого секрета компрометация
одного узла может позволить
злоумышленнику аутентифицироваться
на устройстве хранения
R R
Vmware ESX/ESXi узелУстановка
Хранилище
SSLF
Конфигурация различных аутентификационных
секретов для каждого клиента,
аутентифицирующегося на сервере
HST 03 R RМаскирование и
зонирование SAN ресурсов
Следует использовать зонирование и маскирование LUN для
изолирования SAN активности. Например, зоны для
тестирования независимы от продуктивных зон, или
независимы зоны разных департаментов. Зонирование
должно принимать во внимание каждую группу узлов, которая
установлена на SAN устройстве
Enterprise
Поддержка зонирования и маскирования на
каждом SAN коммутаторе и дисковом массиве
различна для каждого вендора также как и
инструменты для управления LUN
маскированием
HCM 01 R R
Запрет использования
дефолтных
самоподписанных
сертификатов для ESX/ESXi
соединений
Заменить дефолтные самоподписанные сертификаты на
сертификаты довернного центра сертификации
Использование дефолтных
сертификатов оставляет SSL соединение
открытым к MiTM атакам. Изменение
дефолтных сертификатов на
доверенные подписанные УЦ
сертификаты уменьшает возможность
MiTM атак
Enterprise
Информация, о том как заменить дефолтные
самоподписанные сертификаты, может быть
найдена в ESXi Configuration Guide и в ESX
Configuration Guide. Глава "Security", раздел
"Authentication and User Management", подраздел
"Encryption and Security Certificates for ESX/ESXi".
Эта глава покрывает следующие дополнительные
настройки:
* Настройка SSL таймаутов
* Настройка сертификатов по недефолтному
размещению
Гарантируйте, что любые сертификаты,
представленные узлом, могут быть
проверены доверенным
удостоверяющим центром
R "
Навигатор управляемых объектов предоставляет возможность
исследовать объектную модель, используемую VMkernel для
управления узлом; он так же позволяет изменение
конфигураций. Этот интерфейс используется изначально для
отладки vSphere SDK.
Этот интерфейс может потенциально
использоваться для выполнения
злонамерненых изменений
конфигурации.
SSLF
Выполнение следующих правок proxy.xml файла:
1. Удалить элемент навигатора управляемых
объектов. Этот элемент может быть
идентифицирован как элемент с записью
"<serverNameSpace>/mob</serverNamespace>".
Удалите или закоментируйте весь элемент, т.е. "<e
id='n'>" и все внутри него
2. Перенумеруйте подпоследовательность <у
id="n"> для отражения удаленного элемента, так
чтобы не было пропущенных номеров
3. Уменьшите значение "<_length>" элемента на
один
Перестартуйте агента на узле
Навигатор управляемых объектов будет
недоступен для диагностики
Q R —⁄⁄— —⁄⁄— —⁄⁄—
Инструкции как запретить Managed Object Browser
могут быть найдены в KB 1016039, с вариациями
для ESXi, описанными ниже.
Для ESXi используйте команду vim-cmd из Tech
Support Mode.
—⁄⁄—
HСM 03 R RЗапрещение vSphere Web
Access (Только для ESX)
vSphere Web Access обеспечивает скупую возможность
пользователям просматривать виртуальные машины на одном
ESX узле и выполнять простые операции, такие как включение
или приостановка виртуальных машин. Он также обеспечивает
возможность получение консольного доступа к виртуальным
машинам. Все эти действия контролируются
пользовательскими разрешениями на ESX узле.
В большинстве случаев, пользователям следует управлять
виртуальными машинами через vCenter Server, используя или
vSphere Client или vCenter vSphere Web Access.
Замечание: ESXi не имеет vSphere Web Access; эта
рекомендация не относится к ESX
Это является Web-интерфейсом и
поэтому существуют основные риски,
присущие Web-интерфейсам.
DMZ
В vSphere Client выберите узел, затем кликните на
вкладке Configuration и выберите пункт Security
Profile. Кликните на Properties; затем в список
сервисов, гарантируйте, что чекбокс "vSphere Web
Access" не отмечен
vSphere Web Access больше не доступен
HCM 04 RQ
"
Шифрование ESX-ом всех
сессий
Сессии с ESX сервером должны шифроваться, т.к. при передаче
по сети в незащищенном виде данные могут быть
просмотрены злоумышленником
Использование незащищенных
клиентских сессий между двумя
различными компонентами vSphere
может привести к реализации MiTM
атаки
Enterprise<httpPort> и <accessMode> настройки в файле
proxy.xml
В файле proxy.xml будьте уверены, что
для всех записей установлено
<httpPort>-1</httpPort> и что
параметры <accessMode>
</accessMode> не установлен для для
http. Эти параметры могут быть
установлены в httpsWithRedirect или
httpsOnly
HСM 05 Q R
Запрещение страницы
приветствия (Welcome Web
Page)
Если вы указываете Web браузеру на интерфейс управления
ESX/ESXi, статическая страница представляется, которая
содержит ссылки на Managed Object Browser, Host datastore
browser и различные закачки. Хотя представление этой
страницы фактически не меняет профиль безопасности узла,
может быть желательно не выводить ее
Эта страница может дополнительная
информация об узле для атакующегоDMZ
Инструкции как запретить Welcome web page
может быть найдена в KB 1016039, с вариациями
для ESXi, описанными ниже.
Для ESXi используйте команду vim-cmd из Tech
Support Mode.
Страница приветствия не будет доступна
HST 02
Уникальность секретов для
аутентификации по
протоколу CHAP
Общий аутентификационный секрет для каждого узла должен
различаться. Если возможно, секрет должен отличаться для
каждого клиента, аутентифицирующегося на сервере. Это
гарантирует, что если один узел будет скомпрометирован, то
злоумышленник не сможет создать другой произвольный узел
и аутентифицировать его на устройстве хранения
При использовании единого
разделяемого секрета компрометация
одного узла может позволить
злоумышленнику аутентифицироваться
на устройстве хранения
R R
HCM 02
Запрет навигатора
управляемых объектов
(managed object browser)
Взаимодействие узлов
Журналирование
HLG 01 R RНастройка удаленного
syslog
Удаленное журналирование на центральный узел заметно
улучшает административные возможности. Посредством
сбора журнальных файлов на центральный узел, вы можете
легко мониторить все узлы при помощи одного инструмента.
Вы можете также делать агрегированный анализ и поиск таких
вещей как скоординированные атаки на множество узлов
Журналирование на защищенный
централизованный сервер
журналирования может помочь
предотвратить манипуляции (подделку)
журналов. Он также обеспечивает
длительное хранение журнальных
записей
Enterprise
Удаленный syslog может быть настроен на ESXi
узле используя удаленную командную строку
такую как vCLI или PowerCLI или используя API
client
Проверяя конфигурацию syslog будьте
уверены, что правильный syslog-сервер
был сконфигурирован, включая
корректный порт
HLG 02 R RНастройка постоянного
журналирования
По-умолчанию, журналы ESXi сохраняются только в
оперативной памяти. Журналы теряются после перезагрузки;
журналы сохраняются в памяти только один день. Постоянное
журналирование в хранилище данных может быть настроено;
рекомендуется чтобы это было сделано так чтобы
определенные записи деятельности сервера были доступны
для этого узла
В дополнении к удаленному syslog
необходимо настроить запись
журнальных файлов сервера в
хранилище данных, обеспечивая
определенное множество журнальных
записей для этого сервера. Это
облегчает мониторинг серверной
активности для данного узла.
Enterprise
Постоянное журналирование в хранилище для
ESXi узла может быть сконфигурировано
используя vSphere Client, vCLI или другой API
клиент. Больше информации, о том как это может
быть сделано, можно найти в vSphere Basic System
Administration Guide в главе "Configuring Hosts and
vCenter Server", в разделе "System Log Files:
Configure Syslog on ESXi Hosts"
Просмотреть содержимое настроенного
журнального файла на хранилище
данных на предмет обновления
журнальными записями
HLG 03 R RНастройка синхронизации
времени по протоколу NTP
Гарантируя, что все системы используют одинаковые источник
времени и что источник времени скоррелирован с
согласованными стандартами времени (напрмер, UTC), вы
можете просто отслеживать и коррелировать действия
нарушителей, когда просматриваете связанные журнальные
файлы
Некоректные установки времени могут
привести к трудностям инспектирования
и корреляции журнальных файлов для
определения атак
Enterprise
NTP может быть настроен на ESXi узле используя
vSphere Client или удаленную командную строку
такую как vCLI или PowerCLI. Для того, чтобы
избежать потенциальных уязвимостей в
программном обеспечении NTP, рекомендуется
синхронизировать ESXi часы с сервером времени,
который размещен в сети управления, а не в
публичной сети. Этот сервер времени может
затем синхронизироваться с сервером,
расположенном в публичной сети, используя
контролируемое межсетевым экраном сетевое
соединение.
* Запросите NTP настройки
(конфигурацию), чтобы быть уверенным
что правильный источник времени
указан
* Будьте уверены, что NTP сервис
выполняется на узле
HMT 01 R R
Управление доступом при
помощи инструментов
мониторинга аппаратного
обеспечения на основе
модели CIM
Система CIM обеспечивает интерфейс, который позволяет
управление уровня аппаратного обеспечения с удаленных
приложений с использованием множества стандартных API.
Для гарантии, что CIM интерфейс защищен, разрешайте только
минимально необходимый доступ для этих приложений. Не
давайте им прав учетной записи root или любой другой
учетной записи с полными административными правами.
Вместо этого предоставьте учетную запись, которая имеет
только очень ограниченные привилегии
Если приложению дали учетную запись с
правами root или полными
административными правами, то
компрометация этого приложения
может вести к полной компрометации
виртальной инфраструктуры
Enterprise
Не давайте root полномочий удаленным
приложениям для доступа к CIM интерфесу.
Вместо этого создайте служебную учетную запись
для этих приложений. Доступ только на чтение
для CIM информации назначается любой
локальной учетной записи на ESX/ESXi системе, а
также любой роли в vCenter Server.
Если приложение требует доступа на запись к CIM
интерфейсу, только две привилегии требуется.
Рекомендуется, чтобы вы создали роль для
служебной учетной записи только со следующими
привилегиями:
* Host > Config > SystemManagement
* Host > CIM > CIMInteraction
Эта роль может быть или локальной для узла или
централизованно определенной на vCenter Server
в зависимости от того как конкретное приложение
по мониторингу работает
Вход на узел под служебной учетной
записью (в т.ч. используя vSphere Client)
следует быть только с доступом только
на чтение или только с двумя
перечисленными выше привилегиями
HMT 02 R RПравильная настройка
SNMP (только для ESXi)
Если SNMP не используется, то его следует заблокировать.
Если SNMP используется, то соответствующий trap destination
следует настроить.
Если SNMP не правильно настроен, то
информация мониторинга может быть
послана на злонамеренный узел,
который может использовать эту
информацию для планирования атак
Enterprise
SNMP может быть настроен на ESXi узле используя
удаленную командную строку такую как vCLI или
PowerCLI или используя API клиент
Если SNMP не используется, будьте
уверены, что SNMP не запущен.
Если SNMP используется, то будьте
уверены, что параметр destination
правильно установлен
Управление
HMT 03 R R
Установка и поддержка
целостности
конфигурационных файлов
(только для ESXi)
ESXi устанавливает свои настройки во множестве
конфигурационных файлов. Вам следует мониторить
целостность всех этих файлов и неавторизованный доступ к
ним или посредством периодического скачивания и затем
отслеживания его содержимого или испоьзования
коммерческих инструментов, специально разработанных для
этого. Любые изменения должны быть увязаны с
административными действиями, такими как изменение
конфигурации.
Список файлов, влияющих на конфигурацию системы,
доступных с использованием vSphere API на ESXi (прямой
доступ):
* esx.conf
* hostAgentConfig.xml
* hosts
* license.cfg
* motd
* openwsman.conf
* proxy.xml
* snmp.xml
* ssl_cert
* ssl_key
* syslog.conf
* vmware_config
* vmware_configrules
* vmware.lic
Подделка этих файлов потенциально
может вести к неавторизованному
доступу к конфигурации узла и
виртуальных машин
DMZ
Доступные конфигурационные файлы в ESXi 4.0
могут быть найдены по адресу
https://<hostname>/host
Эти файлы могут быть просмотрены или
получены, используя Web-интерфейс или API
клиент (vCLI, PowerCLI). Это обеспечивает
сохранение отслеживания файла и его
содержимого, для гарантии, что они не
модифицированы.
Будьте уверены, что вы не мониторите
журнальные файлы или другие файлы, чье
содержимое ожидаемо регулярно меняется
при работе системы.
HMT 10 RQ
"
Предотвращение
непреднамеренного
использования VMSafe
CPU/memory API
Если вы не используете любые продукты, которые используют
Vmsafe CPU/memory API, VMsafe CPU/memory диагностический
виртуальный коммутатор даже не должен существовать.
Замечание:
Диагностический виртуальный коммутатор (introspection
vSwitch):
* vSwitch name: vmsafe
* Port group name: vmsafe-appliances
Если API разрешено, то злоумышленник
может попытаться подсоединить
виртуальную машину к нему, что
потенциально обеспечивает доступ к
процессору и памяти других
виртуальных машин на узле
Enterprise
Если Vmsafe CPU/memory продукт не используется
на узле, гарантируйте, что на узле отсутствует
виртуальный коммутатор с именем "vmsafe"
Проверка может состоять из:
* Проверка с использованием vSphere
Client GUI
* Запрос с использованием CLI (vCLI,
PowerCLI)
* Применение кода, который использует
vSphere API
HMT 11 RQ
"
Предотвращение
непреднамеренного
использования VMsafe
Network API
Если не вы используете любые продукты, которые могут
использовать VMsafe Network API, Vmsafe сетевой
диагностический виртуальный коммутатор не должен
существоввать.
Замечание:
Сетевой диагностический виртуальный коммутатор
(introspection vSwitch):
* vSwitch name: dvfilter
* Port group name: dvfilter-appliances
Если API разрешено, то злоумышленник
может попытаться подсоединить
виртуальную машину к нему, что
потенциально обеспечивает доступ к
сети других виртуальных машин на узле
Enterprise
Если устройство сетевой безопасности Vmsafe не
используется на узле, гарантируйте, что на узле
отсутствует виртуальный коммутатор с именем
"dvfilter"
Проверка может состоять из:
* Проверка с использованием vSphere
Client GUI
* Запрос с использованием CLI (vCLI,
PowerCLI)
* Применение кода, который использует
vSphere API
HMT 12 Q R
Предотвращение
непреднамеренного
использования VMsafe
Network API
Если не вы используете любые продукты, которые могут
использовать VMsafe Network API, Vmsafe сетевой
диагностический виртуальный коммутатор не должен
существоввать.
Если API разрешен, атакующий может
попытаться соединить виртуальную
машину с ним. Таким образом
потенциально обеспечивая доступ к сети
других виртуальных машин на узле
Enterprise
Если VMsafe сетевое устройство безопасности
используется на узле, то гарантируйте, что
следующий параметр ядра имеет пустое
значение:
/Net/DVFilterBindIpAddress
Это можно сделать используя vCLI, например,
введя команду:
vicfg-advcfg –g /Net/DVFilterBindIpAddress
HMT 15 Q R
Аудит загрузки
неавторизованных модулей
ядра (только для ESXi)
Vmware обеспечивает цифровые подписи для модулей ядра
третьих фирм, которые соответствуют определенным
требованиям. По-умолчанию, ESXi узел не разрешает загрузку
модулей ядра, у которых отсутствует правильная цифровая
подпись. Это поведение может быть изменено. Однако,
предупреждение будет посылаться в системные журналы,
сигналы тревоги - администратору каждый раз, когда
неаторизованный модуль был загружен
Злонамеренные модули ядра могут
использоваться для получения полного
сонтроля над ESXi узлом
Enterprise
Журнальный файл ядра "Messages" будет
показывать записи каждый раз когда
неподписанный модуль загружается в память.
Этот журнал следует мониторить
HMT 20 Q R
Автоматическая смена
пароля vpxuser должна
отвечать политике
По-умолчанию пароль vpxuser меняется автоматически
сервером vCenter один раз в 30 дней. Эта настройка должна
соответствовать политике организации. Если не соответствует,
то измените ее.
Замечание: Важно, чтобы политика значение возраста пароля
в устанавленной на ESX политике не было меньше, чем
интервал, который установлен для автоматической смены
пароля vpxuser для предотвращения возможности
блокирования vCenter на узле ESX
Если злоумышленник получает пароль
пользователя vpxuser, пароль может
использоваться только ограниченное
количество времени
DMZ
Установите следующие параметры в vCenter
Server Advanced settings при помощи vSphere
Client:
vCenterVirtualCenter.VimPasswordExpirationDays
На узле ESX гарантируйте, что данное значение
установлено меньшим, чем политика возраста
пароля в сервисной консоли
HMT 21 Q R
Длина пароля vpxuser
должна соответствовать
политике
По-умолчанию длина пароля пользователя vpxuser составляет
32 символа. Гарантируйте, что эта установка соответствует
политике; если не соответствует, то измените значение.
Длинные пароли более сложны для
атаки прямого перебораDMZ
Если длина пароля не соответствует вашей
политике, измените параметр
vpxd.hostPasswordLength в файле vpxd.cfg
Узловая консоль (Host Console)
HCN 01 RQ
"
Доступ к DCUI (direct
Console User Interface)
только для авторизованных
пользователей (только для
ESXi)
Пользователи, являющиеся членами локальной группы
"localadmin", могут войти в DCUI. Только авторизованные
пользователи должны быть членами этой группы
Кто-либо с полномочиями доступа к
DCUI может изменить конфигурацию
узла или перезагрузить его или
выключить
Enterprise
Проверьте пользователей в локальной группе
"localadmin" и гарантируйте, что только
авторизованные пользователи в ней
представлены
Неавторизованные пользователи не
должны иметь возможность войти на
консоль DCUI
R "
Lockdown режим может быть включен после того, как ESXi узел
добавлен в vCenter Server. Включение режима lockdown
запрещает весь удаленный root-доступ к ESXi. Любые
следующие локальные изменения на узле могут быть сделаны:
* Используя DCUI
* В vSphere Client сессии или используя vCLI комманд на
vCenter Server
* В vSphere Client сессии или используя vCLI комманд прямо на
ESXi систему
Лучшие практики безопасности говорят,
что пароль root-а должны знать как
можно менее людей. Учетная запись
root не должна использоваться, если
возможно ее не использовать. Это
анонимная учетная запись и активность
пользователя root не может быть прямо
ассоциирован с определнным
субъектом
Enterprise
Делайте это вручную, в vSphere Client, во вкладке
Configuration для узла, в Security profile setting
отметьте чекбокс "Lockdown Mode". Это может
быть также сделано используя PowerCLI или API
клиент. Режим lockdown может также быть
включен или выключен из DCUI
Включение режима lockdown
предотвращает любой API-based доступ
при помощи учетной записи root на ESXi
узел. Это включает: vSphere Client, vCLI,
Power CLI, любой API-based клиент. На
учетные запroo отличные от root это не
распространяется
Q R
Lockdown режим может быть включен после того, как ESXi узел
добавлен в vCenter Server. Включение режима lockdown
запрещает весь удаленный root-доступ к ESXi. Любые
следующие локальные изменения на узле могут быть сделаны:
* Используя DCUI
* В vSphere Client сессии или используя vCLI комманд на
vCenter Server
Существуют некоторые операции такие как резервное
копирование или поиск и устранение неисправностей, которые
требуют прямого доступа к узлу. В этих случаях Lockdown mode
может быть выключен на временной основе для
определенных узлов при необходимости, а затем снова
включен, когда соответствующая задача выполнена
Лучшие практики безопасности говорят,
что административные задачи должны
осуществляться и мониториться с
центральной консоли. Посредством
принуждения всего взаимодействия
происходить через vCenter Server, риск
того, что кто-то нечаянно получит
повышенные привилегии или выполнит
задачи, которые невозможно
аудировать, значительно уменьшается
—⁄⁄—
Делайте это вручную, в vSphere Client, во вкладке
Configuration для узла, в Security profile setting
выберите Lockdown Mode "Edit" и отметьте
чекбокс "Lockdown Mode". Это может быть также
сделано используя PowerCLI или API клиент.
Режим lockdown может также быть включен или
выключен из DCUI
Включение режима lockdown
предотвращает любой API-based доступ
при помощи учетной записи root на ESXi
узел. Это включает: vSphere Client, vCLI,
Power CLI, любой API-based клиент.
HCN 03 RQ
"
Ограничение добавления
пользователя root в
локальные группы (только
для ESXi)
Возможно добавить локальную учетную запись root в
локальные пользовательские группы на узле. Однако, это
может позволить обойти ограничения lockdown режима. Если
root является членом некоторой группы, и этой группе
назначена административная локальная роль, то root сможет
зайти даже, если lockdown режим включен
Помещение root в локальную группу и
затем назначение роли локального
доступа (local access role) этой группе
позволяет обойти lockdown режим т.к.
это позволяет пользователю root
продолжать входить на узел
Enterprise
Будьте уверены, что локальный пользователь root
не является членом других отличных от тех групп,
которые выдаются ему по-умолчанию
Когда lockdown режим включен,
гарантируйте, что root не может войти
или выполнить какие-либо задачи
HCN 04 RQ
"
Запрещение режима
технической поддержки
(technical support mode)
(только для ESXi)
Режим технической поддержки - интерактивная командная
строка, доступная только на консоли сервера. Режим не
поддерживается пока не используется консультации Vmware
Technical Support и должен быть активизирован перед
использованием. Доступ к этому режиму требует пароля root
сервера в дополнении к доступу к консоли сервера или
физическому или через удаленный KVM или ILO интерфейс
Любой, кто зашел в режим технической
поддержки, может получить полное
управление узлом, включая
перенастройку и захват виртуальной
машины
SSLF
Режим технической поддержки управляется
посредством параметра ядра
VMkernel.Boot.techSupportMode. Этот параметр
может быть сброшен через vSphere Client или API
клиент (в т.ч. PowerCLI). Детально процесс
запрещения режима технической поддержки
описан в VMware Knowledge Base статье 1017910
(http://kb.vmware.com/kb/1017910)
Если режим технической поддержки
запрещен, поддержка и диагностика
узла может быть сильно ограничена.
Т.к. включение режима технической
поддержки требует перезагрузки, в
некоторых случаях проблема не может
быть решена без выключения
виртуальных машин
HCN 05 Q R
Запрещение DCUI для
предотвращения всего
локального
административного
управления
DCUI позволяет осуществлять простую низкоуровневую
настройку, такую как изменение имени узла и пароля
суперпользователя, а также предоставляет диагностические
возможности такие как просмотр журнальных файлов,
перезапуск агентов и обнуление конфигураций. Для
ограничения локального доступа, DCUI может быть запрещен
Пользователь с локальной
административной ролью может
выполнить действия прямо в DCUI и они
не будут отслежены при помощи
vCenter. Даже, если Lockdown Mode
включен, кто-то с паролем
суперпользователя может выполнить
административные задачи в DCUI.
Запрещение суперпользователя
предотвращает локальные действия и и
таким образом принуждают
использовать vCenter для выполнения
необходимых действий, которые могут
централизовано мониториться
SSLF
Чтобы сделать это вручную, в vSphere Client в
закладке "Configuration" соответствующего узла, в
Security profile settings выберите "Properties" для
сервисов, выберите DCUI и нажмите "Options".
Появившееся окно позволит разрешить или
запретить сервис DCUI. Это может быть также
сделано с использованием PowerCLI или API client,
также как и с Host Profiles. Lockdown Mode может
также быть разрешен или запрещен из DCUI
DCUI больше не будет доступен. Если
Lockdown Mode разрешен, то пряvst
соединения с узлом не будут доступны
и все взаимодействие будет
происходить через vCenter Server
HCN 06 Q R
Запрещение Tech Support
Mode пока не нужна
диагностика
Tech Support Mode - это интерактивная командная строка
доступная только на консоли сервера или удаленно через SSH.
Доступ к этому режиму требоет пароля суперпользователя на
сервере. Еуср Support Mode может быть включен или
выключен для отдельных узлов и на продуктивных серверах
должен быть включен только, если необходимо решить задачи
поиска и устранения неисправностей
Кто-либо зашедший в Tech Support
Mode имеет полное управление узлом,
включая переконфигурирование и
захват виртуальных машин
Enterprise
Tech Support Mode может быть разрешен или
запрещен следующими путями:
- в DCUI узла, в меню Troubleshooting Options
- в vSphere Client, в закладке Configuration для
узла в секции Security Profile
- Используя Host Profiles, командные строки
управления (например, PowerCLI) или vSphere API
Local и Remote Tech Support Mode должен
разрешаться или запрещаться независимо один от
другого
Если Tech Support Mode запрещен,
поддержка и диагностика на узле
может быть ограничена
HCN 02
Включение lockdown
режима для ограничения
доступа root (только для
ESXi)
HCN 06 Q RУстановка таймаута для
Tech Support Mode
Таймаут может быть установлен для Tech Support Mode (и
локального и удаленного) так, чтобы после разрешения, он
будет автоматически запрещаться после прохождения
сконфигурированного времени. Значение в 10 минут
рекомендуется, хотя точное значение зависит от конкретного
окружения
Если Tech support Mode останется
включенным случайно, это увеличит
потенциальную возможность кого-то
получить привилегированный доступ к
узлу
Enterprise
Таймаут Tech Support Mode может быть
установлен в DCUI, в меню Troubleshooting
Options
Вы можете также установить значение таймаута
TSM в vSphere Client. На закладке Configuration
выберите Advanced Settings в секции Software.
Найдите параметр UserVars.TSMTimeOut и
установите его в значение между 0 и 86400
секунд. Значение 0 выключает таймаут TSM.
Если Tech Support Mode запрещен,
поддержка и диагностика на узле
может быть ограничена
Enterprise
Группа портов управления vSphere должна быть в
специальном VLAN на общем vSwitch. vSwitch
может быть разделен с продуктивным трафиком
(трафиком виртуальных машин),если VLAN группы
портов управления vSphere не используется
продуктивными виртуальными машинами
* Проверьте использование VLAN ID на
порт группах не предназначенных для
управления
* Проверьте, что сетевой сегмент не
маршрутизируется или
маршрутизируется только с другими
сетями управления. В частности,
проверьте, что трафик продуктивных
виртуальных машин не
маршрутизируется с сетью управления
SSLF
Группа портов управления vSphere должна быть
на отдельном vSwitch, предназначенном только
для управления
По крайней мере один дополнительный
физический сетевой интерфейс должен
быть выделен для управления (больше
при использовании объединения
(teaming) сетевых интерфесов). Это
может сильно увеличить стоимость
физической сетевой инфраструктуры; в
ресурсно-ограниченой среде (такой как
блейды (blades)), этого можно и не
достичь
В дополнении к проверкам уровня
Enterprise:
* Проверьте, что vSwitch,
предназначенный для управления, не
содержит какую-либо порт группу не для
управления
Enterprise
Группа портов vMotion должна быть в
специальном VLAN на общем vSwitch. vSwitch
может быть разделен с продуктивным трафиком
(трафиком виртуальных машин), до тех пор пока
VLAN группы портов управления vSphere не
используется продуктивными виртуальными
машинами
* Проверьте использование VLAN ID на
порт группах не предназначенных для
трафика vMotion
* Проверьте, что VLAN изолирован и не
маршрутизируется в физической сети
SSLFГруппа портов vMotion должна быть на
отдельном vSwitch, предназначенном только для
управления
По крайней мере один дополнительный
физический сетевой интерфейс должен
быть выделен для управления (больше
при использовании объединения
(teaming) сетевых интерфесов). Это
может сильно увеличить стоимость
физической сетевой инфраструктуры; в
ресурсно-ограниченой среде (такой как
блейды (blades)), этого можно и не
достичь
В дополнении к проверкам уровня
Enterprise:
* Проверьте, что vSwitch, на котором
находится группа портов vMotion, не
содержит какие-либо порт группа, не
предназначенные для управления
* Проверьте, что физическая сеть не
доступна из другой сети, не
предназначенной для управления
Enterprise
Группы портов файлового хранилища следуют
быть отдельным VLAN на общем виртуальном
коммутаторе. Виртуальный коммутатор может
быть разделен с продуктивнм трафиком
(трафиком виртуальных машин), до тех пор пока
VLAN группы портов файлового хранилища не
используется продуктивными виртуальными
машинами
* Проверьте использование VLAN ID на
порт группах предназначенных не IP
трафика файловых хранилищ
* Проверьте, что VLAN изолирован и не
маршрутизируется в физической сети
SSLF
Группа портов файлового хранилища должна
быть на vSwitch, предназначенном только для
управления
По крайней мере один дополнительный
физический сетевой интерфейс должен
быть выделен для управления (больше
при использовании объединения
(teaming) сетевых интерфесов). Это
может сильно увеличить стоимость
физической сетевой инфраструктуры; в
ресурсно-ограниченой среде (такой как
блейды (blades)), этого можно и не
достичь
В дополнении к проверкам уровня
Enterprise:
* Проверьте, что vSwitch, на котором
находится группа портов файлового
хранилища, не содержит какие-либо
группы портов, не предназначенные для
управления
* Проверьте, что физическая сеть не
доступна из другой сети, не
предназначенной для управления
DMZ
Конфигурируйте управляемый шлюз (gateway)
для доступа к сети управления. Например,
требуйте, чтобы администраторы соединялись
с ним через VPN и позволять доступ только
доверенным администраторам.
NAR 04
Строгое управление
доступом для сети
управления
Как бы сеть управления ни была ограничена, всегда будет
необходимость администраторов иметь доступ к сети для
управления vCenter и ESX/ESXi узлами. Вместо разрешения
клиентских систем в этой сети, существуют пути доступа к
функциональности управления со строгим контролем.
Если злоумышленник получает доступ к
сети управления, он получает
платцдарм для дальнейших атакR R
NAR 02 Изоляция трафика vMotion
Проблема безопасности с миграциями vMotion - это то, что
информация передается в нешифрованном виде и любой
субъект с доступом к сети, по которой передается
использование, может просмотреть ее. Гарантируйте, что
трафик vMotion отделен от продуктивного трафика на
изолированной сети. Эта сеть должна быть
немаршрутизируемой (предотвращать любой внешний доступ
к этой сети)
Злоумышленник может прослушать
трафик vMotion для получения
содержания памяти виртуальной
машины. Он может также потенциально
произвести MiTM атаку с модификацией
содержания во время миграции
NAR 03Изоляция IP трафика
файловых хранилищ
Виртуальные машины могут разделять виртуальные
коммутаторы и VLAN-ы с файловыми хранилищами с IP-
доступом.
Файловые хранилища с IP доступом включают:
* iSCSI
* NFS
Это тип конфигурации может показывать IP трафик файловых
хранилищ пользователям неавторизованных виртуальных
машин. Для ограничения неавторизованных пользователей от
просмотра IP трафика файловых хранилищ, IP сеть файловых
хранилищ следует логически разделить от продуктивного
трафика. Конфигурирование IP адапторов файловых хранилищ
для использования отдельных VLAN-ов или сетевых сегментов
от сети упраления VMkernel и служебной консоли будет
ограничивать пользователей от просмотра трафика
Файловое хранилище с IP доступом
часто не шифруется и поэтому может
быть просмотрено любым субъектом с
доступом к этой сети
R R
R R
NAR 01Трафик управления vSphere
находится в отдельной сети
Сеть управления vSphere обеспечивает доступ к интерфейсу
управления vSphere на каждом компоненте. Любая удаленная
атака наиболее вероятно начнется с получения доступа к
данной сети. Интерфейс управления vSphere включает:
* Интерфейс служебной консоли (Service Console) на ESX
* Интерфейс управления VMkernel на ESXi
Службы, выполняемые на интерфейсе
управления, дают возможность
нарушителю получить
привилегированный доступ к системам
Сетевая архитектура
R R
Виртуальная сеть (VMware vNetwork)
SSLF
Конфигурируйте jumpbox-компьютеры (jump
boxes), которые выполняют vSphere Client и
другие клиенты управления (в т.ч. vMA). Эти
системы размещаются на сети управления и не
выполняют какие-либо другие приложения. В
дополнении к контролируемому доступу к сети
управления требуйте, чтобы администраторы
использовали протоколы удаленного рабочего
стола (такие как RDP или VNC) для соединения
с jumpbox-компьютерами (jump boxes) и чтобы
этот доступ был через межсетевой экран,
который ограничивает сетевой трафик только
этими протоколами удаленного рабочего стола
или любыми другими требуемыми
протоколами. Только клиенты управления
должны выполняться на jumpbox-компьютерах
(jump boxes) должны управлять vSphere
инфраструктурой
NCN 02 R R
Запрет существования
неиспользуемых портов в
группах портов
распределенных
виртуальных коммутаторов
(distributed vSwitch)
Количество портов в распределенной группе портов должно
соответствовать количеству виртуальных машин, назначенных
на эту группу портов
Ограничение количества портов в
группе портов ограничивает
потенциальные возможности
администраторов виртуальных машин
преднамеренно или случайно
переключить виртуальную машину на
неавторизованную сеть
DMZПараметр "Number of Ports" на странице
параметров группы портов
Может быть проверено вручную через
vSphere Client.
1. При подсоединении к vCenter Server:
Home->Invenory->Networking и кликнуть
на vDS вопросе
2. Кликнуть на закладке "Ports"
3. Проверьте, что все порты из "Ports" в
списке имеют виртуальную машину
ассоциированную с ним в столбце
"connected"
Эта процедура может быть
автоматизирована используя скрипты
или SDK
NCN 03 R R
Установка политики "MAC
Address Change" в
отклонить (reject)
Для защиты от подмены MAC адреса эта опция должна быть
установлена в "отклонить" (reject), гарантируя что
виртуальный коммутатор не выполняет изменения
эффективного MAC адреса на другой отличный от начального
MAC адреса
Если операционная система
виртуальной машины изменяет MAC
адрес, она может посылать кадры
(фреймы) с подменным MAC адресом
источнка в любое время. Это позволит
ей производить злонамеренные атаки
на устройства в сети посредством
подмены сетевого адаптера,
авторизованного принимающей сетью
Enterprise
"MAC address changes" устанавливаются в
отклонение (reject) на всех vSwitch (по-умолчанию
- принимать (accept))
Это будет запрещать виртуальным
машинам изменять их эффективный
MAC адрес. Это будет влиять на
приложения, которые используют
данную функциональность. Примером
подобного приложения является
Microsoft Clustering, который требует
разделения между системами MAC
адреса. Это будет также влиять на то,
как мост (bridge) уроня 2 будет
работать. vShiels Zones не работает
правильно, если "MAC address change"
установлен в отклонить (reject). Это
будет также влиять на приложения,
которые требуют определенный MAC
адрес для лицензирования. Следует
делать исключения для групп портов, к
которым эти приложения
подсоединены
NCN 04 R R
Установка политики "Forget
Transmits" в отклонить
(reject)
Forged transmits по-умолчанию установлен в принять (accept).
Это означает, что виртуальный коммутатор не сравнивает
источник и эффективный MAC адрес. Для защиты от подмены
MAC адреса на всех виртуальных коммутаторах forget
transmits должны быть установлены в отклонить (reject)
Если операционная система
виртуальной машины изменяяет MAC
адрес, она может посылать кадры
(фреймы) с подменным MAC адресом
источнка в любое время. Это позволит
ей производить злонамеренные атаки
на устройства в сети посредством
подмены сетвого адаптера на
авторизованной принимающей сетью
Enterprise
"Forged Transmits" параметр должен быть
установлен в "Reject" на всех виртальных
коммутаторах
Это будет запрещать виртуальным
машинам изменять их эффективный
MAC адрес. Это будет влиять на
приложения, которые используют
данную функциональность. Примером
подобного приложения является
Microsoft Clustering, который требует
разделения между системами MAC
адреса. Это будет также влиять на то
как мост (bridge) уроня 2 будет
работать. vShiels Zones не работает
правильно, если "Forged Transmits"
установлен в отклонить (reject). Это
будет также влиять на приложения,
которые требуют определенный MAC
адрес для лицензирования. Следует
делать исключения для групп портов, к
которым эти приложения
подсоединены
NAR 04
Строгое управление
доступом для сети
управления
Как бы сеть управления ни была ограничена, всегда будет
необходимость администраторов иметь доступ к сети для
управления vCenter и ESX/ESXi узлами. Вместо разрешения
клиентских систем в этой сети, существуют пути доступа к
функциональности управления со строгим контролем.
Если злоумышленник получает доступ к
сети управления, он получает
платцдарм для дальнейших атак
Конфигурация виртуальной сети (vNetwork)
R R
NCN 05 R R
Установка политики
"Promiscuous Mode" в
отклонить (reject)
Promiscuous режим запрещен по-умолчанию на ESX сервере и
это является рекомендуемой установкой. Однако, может быть
легитимная причина для разрешения этого режима для
отладочного мониторинга или устранения неисправностей
Когда promiscuous режим разрешен для
частного виртуального коммутатора, все
виртуальные машины, соединенные с
частным виртуальным коммутатором
имеют потенциальную возможность
чтения всех пакетов, передаваемых по
сети
Enterprise
Параметр "Promiscuous Mode" должен быть
установлен в "Reject" на всех виртуальных
коммутаторах
vShield Zones и другие устройства
защиты, которым нужна возможность
видеть пакеты на виртуальном
коммутаторе не будут правильно
работать, если "Promiscuous Mode"
параметр установлен в "Reject".
Необходимо сделать исключение для
групп портов, к которым эти
приложения подсоединены для того,
чтобы разрешить полную видимость
трафика на этом виртуальном
коммутаторе
NCN 06 R R
Запрет установки у групп
портов значений VLAN в
значения родных (native)
VLAN
ESX не использует концепцию native VLAN. Кадры с VLAN,
определенном в группе портов, будут иметь тег, но кадры с
VLAN, не определенном в группе портов, не теггируются и по
этой причине будут определяться как принадлежащие к native
VLAN физического коммутатора.
Например, кадры VLAN 1 с физического коммутатора Cisco не
будут иметь тега, т.к. он рассматривается как native VLAN.
Однако, кадры с ESX определенные как VLAN 1 будут
теггированы с меткой "1"; Поэтому трафик с ESX, который
предназначен для native VLAN не будет корректно
маршрутизироваться (т.к. он теггирован с меткой "1" вместо
того, чтобы быть вообще без метки) и трафик с физического
коммутатора приходящий с native VLAN не будет виден (т.к. он
не тегирован)
Если группа портов виртуального
коммутатора использует native VLAN ID,
трафик с этих виртуальных машин не
будет виден в native VLAN на
коммутаторе, т.к. коммутатор ожидает
нетегированный трафик
Enterprise
Если для native VLAN используется умалчиваемое
значение "1", группы портов виртуальных
коммутаторов должны быть сконфигурированы с
любым значением от 2 до 4094. Иначе,
гарантируйте, что группа портов не
сконфигурирована для использования какого-
либо значение, установленного в native VLAN
NCN 07 R R
Запрет установки у группы
портов значение VLAN в
4095 за исключением
Virtual Guest Tagging (VGT)
Когда для группы портов установлен VLAN 4095,
активизируется VGT режим. В этом режиме виртуальный
коммутатор пропускает все кадры к гостевой виртуальной
машине без модификации VLAN тегов, предоставляz гостевой
виртуальной машине разбираться самой. VLAN 4095 должен
использоваться только, если гостевая виртуальная машина
специально сконфигурирована для управления VLAN тегами.
Если VGT включен случайно, это может
вызвать отказ в обслуживании или
позволить гостевой виртуальной
машине взаимодействовать с трафиком
на неавторизованном VLAN
EnterpriseVLAN ID на всех группах портов не следует
устанавливать в 4095, если VGT не требуется
NCN 08 R R
Запрет установки у групп
портов значения VLAN в
зарезервированные
значения VLAN физических
коммутаторов
Некоторые физические коммутаторы резервируют
определенные VLAN ID для внутренних целей. Например,
коммутаторы Cisco Catalyst обычно резервируют VLAN-ы 1001-
1024 и 4094, в то время как коммутаторы Nexus обычно
резервируют 3968-4047 и 4094. Посмотрите документацию на
ваш физический коммутатор
Использование зарезервированных
VLAN может привести к отказу в
обслуживании на сети
Enterprise
VLAN ID на всех группах портов не следует
устанавливать в зарезервированные физическими
коммутаторами значения
NCN 10 R R
Установка понятной
сетевой метки у каждой
группы портов
Сетевая метка идентифицирует каждую группу портов именем.
Эти имена важны т.к. они служат в качестве функционального
описания для группы портов
Без этих описаний идентифицировать
группы портов и их функции становится
сложнее, когда сеть становиться все
более сложной
Enterprise
Это может быть сделано с использованием
vSphere Client вручную проверяя названия
различных групп портов. Для проверки имен
групп портов в vSphere Client соединитесь с
vCenter сервером и перейдите в Home-
>Inventory->Networking. Вы сможете
просмотреть все различные группы портов и
определить понятны ли названия этих групп
Скриптовый метод (vCLI команда):
vicfg-vswitch -l
NCN 11 R R
Установка понятной
сетевой метки у кааждого
виртуального коммутатора
Виртуальные коммутаторы в ESX сервере требуют заполнения
поля имени коммутатора. Эта метка важна, т.к. она служит в
качестве функционального дескриптора для коммутатора как
hostname используется для физического коммутатора
Маркирование виртуальных
коммутаторов будет определять
функции или IP подсети виртуальных
коммутаторов. Напрмер, маркирование
виртуального коммутатора как "internal"
(внутренний) будет определять, что
виртуальный коммутатор предназначен
только для внутренней сети между
виртуальными машинами без привязки
к физическому сетевому адаптеру
Enterprise
Это может быть сделано через vSphere Client
посредством ручной проверки названий
различных коммутаторов. Для проверки
названий групп портов в vShere Client
подсоединитесь к vCenter Server и перейдите в
Home-> Inventory->Networking. Вы сможете
просмотреть различные виртуальные
коммутаторы и определить понятны ли их
названия
Скриптовый метод (vCLI команда):
vicfg-vswitch -l
NCN 12 R R
Документирование всех
VLAN, используемых на
коммутаторах
При настройке транкового порта физического коммутатора
необходимо внимательно проследить, чтобы были
сконфигурированы только определенные VLAN-ы. Лучшие
практики рекомендуют ограничить только этими VLAN-ами
транковое соединение
Риск неполного документирования всех
VLAN-ов на виртуальном коммутаторе
заключается в том, что физический
транковый порт может быть
сконфигурирован без необходимых
VLAN-ов или с ненужными VLAN-ами,
потенциально разрешая
администратору случайно или
преднамеренно соединить виртуальную
машину с неавторизованным VLAN
Enterprise
Конфигурация и стандартного и
распределенного виртуального коммутатора
может быть просмотрена в vSphere Client или
используя vSphere API.
Для стандартного виртуального коммутатора
команда vicfg-vswitch -l выводит список всех
групп портов и ассоциированные с ними VLAN.
Сравните этот список с конфигурацией
физического коммутатора.
NCN 13 R R
Разрешение доступа к
компонентам виртуальных
сетей только
авторизованным
администраторам
Важно использовать ролевое управление доступом в vSphere
для гарантии, что только авторизованные администраторы
имеют доступ к различным компонентам виртуальных сетей.
Например, администраторы виртуальных машин должны
иметь доступ только к группам портов, в которых
размещаются их виртуальные машины.Сетевые
администраторы должны иметь полномочия ко всем
компонентам виртуальных сетей, но не иметь доступ к
виртуальным машинам. Это управление будет сильно зависеть
от политики организации по разделению обязанностей и
ответственности, принципа минимизации привилегий.
Такое управление уменьшает риск
неправильного конфигурирования,
случайного или преднамеренного, и
применяет ключевые концепции
безопасности - разделение
ответственности и минимизации
привилегий.
Enterprise
Гарантируйте, что полномочия vSphere к
определенным группам портов назначаются
только тем субъектам, кому это необходимо.
NPN 01 R R
Запрет Spanning tree на
портах физических
коммутаторов
EST (external switch tegging) режим имеет связь "один-к-
одному": количество VLAN-ов, поддерживаемых на ESX
сервере, ограничивается количеством портов физических
сетевых адаптеров, назначенных для VMkernel. EST разрешен,
когда VLAN ID группы портов установлен в 0 или пустое поле.
Из-за интеграции ESX сервера в физическую сеть, на
физических сетевых адапторах неоходимо запретить spanning
tree или portfast должен быть сконфигурирован на внешних
коммутаторах, т.к. VMware виртуальные коммутаторы не
поддерживают STP (spanning tree protocol). Аплинки
виртуальных коммутаторов не создают петли на физической
сети.
Если spanning tree разрешен, то
потенциально проблемы с
производительностью и связностью
могут возникнуть
Enterprise
Зайдит на физический коммутатор и отключите
spanning tree протокол и/или portfast
сконфигурирован для всех физических портов,
подсоединенных к ESX/ESXi узлам
NPN 02 R R
Включение non-negotiate
опции для транковых
соединений между
внешними физическими
коммутаторами и
виртуальными
коммутаторами в VST
(virtual switch tagging)
режиме
Для того чтобы взаимодействовать с виртуальными
коммутаторами в VST (virtual switch tagging) режиме внешние
физические порты должны быть сконфигурированы как
транковые порты. VST режим не поддерживает Dynamic
Trunking Protocol (DTP), поэтому транк должен быть
статическим и без ограничений. Настройки физического
коммутатора "auto" или "desirable" не работают с ESX
сервером, т.к. при этом физический коммутатор
взаимодействует с ESX сервером используя DTP. "Non-
negotiate" и "on" опции безусловно разрешают VLAN транкинг
на физическом коммутаторе и создают VLAN транк между ESX
сервером и физическим коммутатором. Различия между "non-
negotiate" и "on" опциями - это то, что "on" режим посылает во
вне DTP кадры, в то время как "non-negotiate" режим - нет.
Non-negotiate опцию следует
использовать для всех VLAN транков для
минимизации излишнего сетевого
трафика для виртуальных коммутаторов
в VST режиме
Enterprise
Зайдите на физический коммутатор и
отключите DTP на портах физического
коммутатора, соединенного с ESX/ESXi узлу
NPN 03 R R
Соединение VLAN-транков
только с теми портами
физического коммутатора,
которые функционируют
как транковые
При подсоединении виртуального коммутатора к VLAN-
транковому порту необходимо быть осторожным, чтобы
правильно сконфигурировать виртуальный коммутатор и
физический коммутатор на uplink порте. Если физический
коммутатор не правильно сконигурирован, кадры с VLAN
802.1q заголовком будут передаваться на коммутатор не
ожидающий их. vSphere администратор должен всегда
гарантировать, что аплинки виртуального коммутатора,
являющиеся VLAN-транками, соединены только с теми
портами физического коммутатора, которые функционируют
как транковые порты
Неправильная конфигурация портов
физического коммутатора может
принести нежелаемому поведению,
включая удалению или неправильной
адресации кадров
Enterprise
Регулярно проверяйте порты физических
коммутаторов на предмет правильной
конфигурации в качестве транковых портов
VSH 01 R R
Эксплуатация
поддерживаемой
операционной системы,
базы данных и аппаратного
обеспечения vCenter
vCenterr Server размещается на операционной системе
Windows и поэтому требует поддерживаемую версию
Windows
Если vCenter работает на
неподдерживаемой операционной
системе, он может работать
некорректно. Злоумышленник может
принять это во внимание при
проведении DoS атаки
Enterprise
Для определения совместимости
операционной системы и базы данных
смотрите vSphere Compatibility Matrixes white
paper
http://www.vmware.com/pdf/vsphere4/r40/vsp_
compatibility_matrix.pdf
Для определения требований к аппаратному
обеспечению смотрите ESX and vCenter Server
Installation Guide white paper
http://www.vmware.com/pdf/vsphere4/r40/vsp_
40_esx_vc_installation_guide.pdf
VSH 02 R R
vCenter Server должен
своевременно обновляться
(patch)
Своевременное обновление Windows позволяет уменьшить
уязвимость операционной системы
Если нарушитель может получить доступ
и поднять привилегии на vCenter Server
системе, то он может прибрать к рукам
всю инфраструктуры vSphere
EnterpriseСвоевремеено обновляйте систему vCenter
Server
VSH 03 R RЗащита Windows системы
на узле vCenter Server
При помощи защиты уровня операционной системы
уязвимость операционной системы может быть уменьшена.
Эта защита включает антивирус, антишпионское ПО и другие
подобные меры
Если нарушитель может получить доступ
и поднять привилегии на vCenter Server
системе, то он может прибрать к рукам
всю инфраструктуры vSphere
EnterpriseОбеспечение защиты Windows системы такой
как антивирусная защита и т.п.
VSH 04 R R
Минимизация
использования
пользователями узла
vCenter Server
После входа кого-либо в узел vCenter Server становится более
сложно предотвратить то, что он в нем может сделать. Вход в
узел vCenter Server должен быть ограничен
привилегированными администраторами и только в целях
администрирования vCenter Server или узловой операцинной
системы
Кто-либо входящий в vCenter Server
может потенциально нанести ущерб при
помощи изменения настроек и
модификации процессов. Они также
имеют потенциальный доступ к
мандатам vCenter, таким как SSL
сертификат
Enterprise
Ограничьте вход на узел vCenter Server только
тому, кто выполняет реальные задачи.
Гарантируйте, что они входят в систему только
когда им это необходимо и аудируйте эти
события
Физическая сеть
Узел vCenter ServerVMware vCenter
VSH 05 R R
Установка vCenter Server
под сервисной учетной
записью вместо встроенной
в Windows учетной записи
Вы можете использовать встроенную учетную запись Microsoft
Windows или пользовательскую учетную запись для запуска
vCenter Server. Используя пользовательскую учетную запись
можно разрешить Windows-аутентификацию для SQL сервера
и она также обеспечивает лучшую защиту.
Пользовательская учетная запись должна быть
администратором на локальной машине. В мастере установки
вы определяете имя учетной записи как
DomainName\Username. Если вы используете SQL Server для
базы данных vCenter, вы должны сконфигурировать базу
данных SQL Server для разрешения доступа доменных учетных
записей к SQL Server.
Даже если вы не планируете использовать Windows
аутентификацию на SQL Server или если вы используете базу
данных Oracle, вы можете захотеть установить vCenter Server
под локальной учетной записью. В этом случае существует
только одно требование - пользовательская учетная запись
должна быть администратором на локальной машине
Встроенная системная учетная запись
Microsoft Windows имеет больше
привилегий и прав на сервере чем
требуется vCenter Server, что может
вызвать проблемы с безопасностью.
DMZ
Перед установкой vCenter Server создайте
специализированную учетную запись на узле
Windows и назначьте ей только роль локального
администратора на узле. Эта учетная запись
должна иметь "Act as part of the operating system"
привилегию и доступ на запись к локальной
файловой системе. Задайте эту учетную запись в
процессе установки vCenter Server
* Проверьте что процессы vCenter
выполняются под сервисной учетной
записью
* Проверьте, что сервисная учетная
запись имеет только роль локального
администратора
Enterprise
1. Создайте обычную пользовательскую
учетную запись, которая будет использоваться
для управления vCenter (например, vi-admin)
2. Пользователь не должен принадлежать к
любым локальным группам, таким как
administrator
3. Войдите в vCenter как Windows
администратор и назначьте роль
администратора (global vCenter administrator)
учетной записи, созданной на шаге 1для
высокоуровневых узлов и кластерных папок
4. Выйдите из vCenter и зайдите в vCenter при
помощи учетной записи, созданной на шаге 1;
проверьте, что пользователь может выполнить
все задачи, которые доступны для vCenter
администратора
5. Удалите полномочия в vCenter для
локальной администраторской группы
Просмотрите назначенные полномочия в
vSphere; будьте уверены что никакой
"Administrator" и никакая другая учетная
запись не имеют каких-либо привилегий
DMZ
После выполнения шагов "Enterprise" уровня
защитите учетную запись vi-admin от
регулярного использования и вместо нее
используйте персонифицированные учетные
записи. Это делается следующим образом:
1. Войдите под vi-admin, назначьте полные
административные права минимальному
количеству субъектов, которым доступ
необходим
2. Выйдите из под vi-admin и защитите ее
паролем
Существует много вариантов защиты пароля;
например, используйте очень строгий пароль и
затем держите его в сейфе или используйте
систему разделения пароля по частям между
двумя субъектами
VSH 07 Q R
Проверка переназначения
привилегий после
перезапуска vCenter Server
Во время перезапуска vCenter Server, если пользователь или
группа пользователей, которой назначена роль Administrator
на папку Root не может быть верифицирована как правльный
пользователь/группа, то привилегии пользователя/группы как
Administrator будут удалены. В этом случае vCenter Server
назначает роль Administrator локальной группе Administrators
в Wiindows, для работы в качетсве нового администратора
vCenter Server.
Но не рекомендуется назначать права vCenter Server
Administrator для администраторов Windows. Это влечет к
ситуации, которая должна быть исправлена посредством
переназначения легитимной учетной записи администратора
Разделение обязанностей говорит о том,
что полные vSphere администраторские
права должны быть назначены только
тем администраторам, которым это
требуется. Эта привилегия не должна
назначаться какой-либо группе, члены
которой не строго контролируются.
Поэтому администраторские права
должны быть удалены с учетной записи
локального администратора Windows и
вместо этого дать их специально
выделенной учетной записи
Enterprise
Каждый раз, когда vCenter Server
перезапускается, журнальные файлы следуеь
просмтреть для гарантии, что никакие
привилегии не были переназначены.
Размещение журнальных файлов vCenter
Server указано в KB:
http://kb.vmware.com/kb/1021804
RVSH 06
Ограничение
использования привилегии
администратора в vSphere
По-умолчанию, vCenter Server назначает полные
администраторские права для локальной администраторской
учетной записи, которая может быть доступной доменным
администраторам
Разделение обязанностей говорит о том,
что полные vSphere администраторские
права должны быть назначены только
тем администраторам, которым это
требуется. Эта привилегия не должна
назначаться какой-либо группе, члены
которой не строго контролируются.
Поэтому администраторские права
должны быть удалены с учетной записи
локального администратора Windows и
вместо этого дать их специально
выделенной учетной записи
R
VSH 10 Q R
Удаление журнальных
файлов после неудачной
попытки установки vCenter
Server
В определенных случаях, если установка vCenter оказалась
неудачной, журнальный файл (с именем "hs_err_pidXXXX")
создается, который содежит пароль базы данных в
незащищенном виде
Злоумышленник, который проник на
сервер vCenter, может потенциально
узнать этот пароль и получить доступ к
базе данных vCenter
Enterprise
Каждый раз, когда установка vCenter Server
оказывается неудачной, журнальные файлы
должны быть удалены безопасно перед
переводом узла в продуктив.
Размещение журнальных файлов vCenter
Server указано в KB:
http://kb.vmware.com/kb/1021804
R "
Самоподписанные сертификаты автоматически генерируются
vCenter Server в течение процесса инсталяции и не
подписываются каким-либо коммерческим удостоверяющим
центом и могут не обеспечивать сильной защиты. Замените
дефолтные самоподписанные сертификаты на подписанные
доверенным удостоверяющим центром
Использование дефолтных
сертификатов оставляет SSL соединения
открытыми для MiTM атак. Изменние
дефолтных сертификатов на
доверенные подписанные УЦ защищает
от потенциальных MiTM атак
Enterprise
Для установки новы сертификатов на vSphere
смотрите "Replacing vCenter Server Certificates"
white paper:
http://www.vmware.com/pdf/vsp_4_vcenter_cer
tificates.pdf
Для существующих инсталяций сертификатов
на vSphere смотрите "vSphere Upgrade Guide"
white paperЖ
http://www.vmware.com/pdf/vsphere4/r40/vsp_
40_upgrade_guide.pdf
Гарантируйте, что все сертификаты
представленные на узле могут быть
проверены доверенным
удостоверяющим центром
Q R —⁄⁄— —⁄⁄— —⁄⁄—
Для получения инструкций о том, как изменить
самоподписанные сертификаты, смотрите
статью "Replacing vCenter Server Certificates".
http://www.vmware.com/resources/techresourc
es/10124
—⁄⁄—
VSC 02 R RМониторинг доступа к SSL
сертификатам
Директория, которая содержит SSL сертификаты, должна быть
доступна только сервисной учетной записи на регулярной
основе. Иногда, администратор vCenter Server может
нуждаться в доступе в данную директорию в целях поддержки
SSL сертификат может использоваться
для подмены vCenter и расшифрования
пароля к базе данных vCenter
DMZ
Используйте мониторинг журнала событий для
предупреждения доступа несервисной учетной
записи к директории с сертификатами
VSC 03 R RОграничение доступа к SSL
сертификатам
По-умолчанию, любой пользователь vCenter Server имеет
доступ к директории, содержащей SSL сертификаты.
Директория, содержащая SSL сертификаты, должна быть
доступна только при помощи сервисной учетной записи на
регулярной основе. Иногда, когда собираются данные для
целей поддержки, администратор vCenter Server может
нуждать в доступе к ней.
SSL сертификат может использоваться
для подмены vCenter и расшифрования
пароля к базе данных vCenter
SSLF
Измените права доступа к директиии с SSL
сертификатами на уровне Windows, так чтобы
только сервисная учетная запись vCenter имела
доступ к ней
Поддерживаемые ограничения:
* Предотвращение сбора полного
журнала поддержки, когда скрипт vc-
support выполняется
* Предотвращение администратора от
изменения пароля на базу данных
vCenter
VSC 04 R R Проверка SSL сертификатов
Когда происходит соединение с vCenter Server с
использованием vCenter Client клиент смотрит, если
сертификат представлен, то он может проверить доверие к
серверу. Если сертфиката нет, то пользователю показывается
предупреждение и опция игнорировать проверку. Это
предупреждение не следует игнорировать. Если
администратор показывается это сообщение, то следует
запрашивать и в дальнейшем об этом перед соединением в
сервером
Без проверки сертифката пользователь
может быть подвергнут MiTM атаке,
которая потенциально может
скомпрометировать через
пользовательские полномочия весь
vCenter Server
Enterprise
Инструктируйте любого пользователя vSphere
Client никогда не игнорировать
предупреждения проверки сертификатов
VSC 05 R RОграничение сетевого
доступа к vCenter Server
Ограничьте сетевой доступ только для тех компонент, которым
нужен доступ к vCenter Server
Блокировка доступа компонент,
которым не нужен доступ к vCenter
Server, уменьшает атаки на Windows
систему
DMZ
Вам следует защитить vCenter Server используя
локальный межсетевой экран операционной
системы Windows на vCenter Server или используя
сетевой межсетевой экран. Эта защита должна
включать ограничения доступа по IP так, чтобы
только необходимые компоненты могли
взаимодействовать с vCenter Server
VSC 06 R R
Блокировка доступа к
неиспользуемым vCenter
портам
Локальный межсетевой экран на Windows узла vCenter или
сетевой межсетевой экран может использоваться для
блокировки доступа к неиспользуемым vCenter портам
Блокировка неиспользуемых портов
может уменьшить атаки на windows
систему
DMZ
Список портов, используемых vCenter может быть
найден в статье VMware Knowledge Base:
http://kb.vmware.com/kb/1012382
Ниже пример какие порты могут блокироваться:
* 636/TCP: если vCenter не является частью
слинкованной группы vCenter серверов
* 1521/TCP: если VCDB - не Oracle
VSC 07 R R
Запрещение браузера
управляемых объектов
(managed object browser)
Браузер управляемых объектов обеспечивает навигацию
модели объектов, используемой vCenter для управления
vSphere инфраструктурой; он также позволяет менять
конфигурации. Этот интерфейс используется для устранения
неполадок vSphere SDK
Этот интерфейс может потенциально
использоваться для выполения
злонамеренных действий и изменений
конфигураций
DMZ
Для запрещения браузера управляемых объектов
отредактируйте vpxd.cfg файл и гарантируйте, что
следующий элемент установлен:
<enableDebugBrowse>false</enableDebugBrowse>
Следует искать вхождение этого элемента, оно
должно быть внутри
<vpxd>
…
</vpxd>
в vpxd.cfg
Браузер управляемых объектов больше
не будет доступен для диагностики
VSC 01
Запрет использования
дефолтных
самоподписанных
сертификатов
Взаимодействия vCenter Server
VSC 08 R RЗапрещение vSphere Web
Access
vSphere Web Access обеспечивает возможность для
пользователей просматривать виртуальные машины и
выполнять простые операции такие как включение или
приостановка виртуальных машин. Он также обеспечивает
возможность получение консольного доступа к виртуальным
машинам. Все это регулируется пользовательскими
полномочиями на vCenter Server
В некоторых случаях, вы можете захотеть запретить vSphere
Web Access для исключения рисков, связанных с открытым
интерфейсом, который не используется
Это Web интерфейс и поэтому
существуют риски обычные для Web
интерфейсов
DMZ
Для полного удаления vSphere Web Access сервиса
с vCenter Server:
1. Выберите Start->Programs->Administrative Tools-
>Services
2. Остановите сервис VMware VirtualCenter
Management Webservices
3. Используйте проводник Windows для открытия
C:\Program
Files\VMware\Infrastructure\tomcat\webapps и
удалите ui директорию
4. (Необязательно) Используйте проводник
Windows для открытия c:\Program
Files\VMware\tomcat\work\Catalina\localhost и
удалите ui директорию
5. Запустите сервис VMware Virtual Management
Webservices
Смотрите статью VMware Knowledge Base №
1009420 для больши деталей.
Замечание: Любая модернизация (апгрейд)
vSphere Web access более не будет
доступен
VSC 09 R RЗапрет браузера хранилища
данных (datastore browser)
Браузер хранилища данных позволяет вам просматривать все
хранилища данных, ассоциированные с vSphere
инфраструктурой, включая все папки и файлы содержащиеся в
них, такие как файлы виртуальных машин. Он управляется с
использованием пользовательских полномочий на vCenter
Server.
В некоторых случаях, вы можете захотеть запретить браузер
хранилищ данных для уменьшения риска использования
ненужного интерфейса
Это Web интерфейс и поэтому
существуют риски обычные для Web
интерфейсов
SSLF
Для запрещения браузера хранилища данных
отредактируйте vpxd.cfg файл и гарантируйте, что
следующий элемент установлен:
<enableHttpDatastoreAccess>false</enableHttpData
storeAccess>
Следует искать вхождение этого элемента, оно
должно быть внутри
<vpxd>
…
</vpxd>
в vpxd.cfg
Вы не сможете больше просматривать
файлы хранилища данных, используя
Web браузер, подсоединенный к
vCenter
Замечание: Браузер хранилища данных,
доступный на каждом ESX/ESXi узле, не
затрагивается данной настройкой. Он
может быть запрещен отдельно
используя установки уроня узла
VSD 01 R R
Минимизация привилегий
для пользователя базы
данных vCenter Server
vCenter требует только определенных специфических
привилегий в базе данных. Более того, конкретные
привилегии требуются только для установки и модернизации и
могут быть удалены при выполнении обычных операций. Эти
привилегии следует добавить снова, если модернизацию
следует выполнить
Минимизация привилегий уменьшает
риск атак, если учетная запись vCenter в
базе данных была скомпрометирвоана
Enterprise
Привилегии, необходимые vCentr-у на Oracle и
SQL Server, описываются в vSphere Upgrade Guide,
глава "Preparing for the Upgrade to vCenter server",
раздел "Prerequisites for the vCenter Server
Upgrade", подраздел "Database Prerequisites"/
Этот документ можно найти по адресу:
http://www.vmware.com/pdf/vsphere4/r40_u1/vsp
_40_u1_upgrade_guide.pdf
Замечание: Этот раздел определяет какие
привилегии необходимы для инсталяции и
модернизации, а какие необходимы только для
постоянных операций
VCL 01 R R
Ограниченное
использование Linux-
клиентов
Хотя SSL шифрование используется для защиты коммуникаций
между клиентскими компонентами и vCenter Server или
ESX/ESXi Linux-версии этих компонент не выполняют проверку
сертификата
Даже если вы заменили
самоподписаный сертификат на vCenter-
е и ESX/ESXi легитимными
сертификатами, подписанными вашим
локальным корневым УЦ или третьей
стороной, коммуникации с Linux-
клиентами все же уязвимы к MiTM
атакам.
При правильном управлении это
ограничение может быть ослабленно.
Это управление включает:
* Ограничение доступа к сети
управления только авторизованных
систем
* Использование межсетевых экранов
для ограничения доступа к vCenter
только авторзованных узлов
* Использование компьютеров (jump-
box систем) для эксклюзивного доступа
к vCenter
DMZ
Варианты:
* Инструктаж администраторов, особенно тех,
кто имеет высокие привилегии, не
использовать Linux клиенты для соединения с
vCenter
* Используйте jump-box архитектуру, чтобы
Linux клиенты были за jumpbox-компютерами
(jump boxes)
VCL 02 R RПроверка целостности
vSphere Client-а
vCenter Server включает расширяемую структуру vSphere Client,
которая обеспечивает способность расширять vSphere Client
меню или панель инструментов элементами, которые
обеспечивают доступ дополнительным компонентам vCenter
Server или внешней Web функциональности
Расширения vSphere Client выполняются
с теми же привилегиями, с которыми
пользователь зашел. Злоумышленные
расширения могут имитировать
полезные, но выполнять
злонамеренные действия, такие как
кража мандатов или неправильное
конфигурирование системы
Enterprise
Будьте уверены, что установка vSphere Client,
используемая администраторами, включает
только авторизованные расширения,
полученные от доверенных источников. Вы
можете проверить какие расширения
действительно установлены для данного
vSphere Client посредством просмотра меню
Plug-ins -> Manage Plug-ins и выбора закладки
Installed Plug-ins
База данных vCenter Server
Компоненты vSphere Client
VUM 01 R R
Минимизация привилегий
для пользователя базы
данных Update Manager
Update Manager требует определенных привилегий для
пользователя его базы данных для установки и установщик
автоматически проверяет их. Это документировано в VMware
Update Manager Administration Guide.
Однако, после установки, только небольшое количество
привилегий требуется для функционирования. Привилегии
пользователя базы данных VUM могут быть уменьшены при
выполнении обычных операций. Эти привилегии должны быть
добавлены снова, если модернизацию или удаление (uninstall)
должны быть произведены
Минимизация привилегий уменьшает
риск, если учетная запись базы данных
Update Manager скомпрометирована
Enterprise
Для Oracle:
После установки только следующие привилегии
необходимы для обычных операций:
create session, create any table, drop any table
Для SQL Server: После установки роль dba_owner
или sysadmin могут быть удалены из базы данных
MSDB (она все еще требуется, однако, для базы
данных Update Manager)
Посмотрите крайнюю версию VMware Update
Manager Administration Guide на предмет
изменений этих конфигураций
VUM 02 R R
Своевременное
обновление системы
Update Manager
За счет своевременной установки обновлений Windows
уязвимости операционной системы могут быть уменьшены
Если злоумышленник может получить
доступ и повысить привилегии на
системе Update Manager, то он может
скомпрометировать процесс
обновлений
Enterprise
Используйте систему Update Manager в
соответствии со стандартными руководствами
и внутренними практиками
VUM 03 R RЗащита Windows в системе
Update Manager
За счет защиты на уровне операционной системы уязвимости
могут быть уменьшены
Если злоумышленник может получить
доступ и повысить привилегии на
системе Update Manager, то он может
скомпрометировать процесс
обновлений
Enterprise
Обеспечьте защиту Windows, такую как
антивирус, в соответствии со стандартными
руководствами и внутренними практиками
VUM 04 R R
Ограничение
пользовательских входов в
систему Update Manager
После того как кто-то зашел в систему Update Manager
становится более сложным предотвратить его возможные
действия. Вход в систему Update Manager должен быть
ограничен только для наиболее привилегированных
администраторов и только для целей администрирования
Update Manager или узловой операционной системы
Кто-либо вошедший в Update Manager
может потенциально нанести ущерб,
изменив настройки и модифицировав
процессы
Enterprise
Ограничьте вход в Update Manager только для
того персонала, который имеет легитимные
задачи. Гарантируйте, что они входят только
когда необходимо и проверяйте эти события
VUM 05 R R
Запрет управления Update
Manager его виртуальной
машиной или виртуальной
машиной его vCenter Server
Хотя вы можете установить и Update Manager и vCenter Server
на виртуальных машинах и разместить их на одном и том же
ESX/ESXi узле, вам не следует конфигурировать Update
Manager для управления обновлениями на этих виртуальных
машинах
При сканировании и исправлении
виртуальная машина, на которой Update
Manager и vCenter Server установлены,
может перезагрузиться и вся
инфраструктура будет остановлена
Enterprise
Если Update Manager и vCenter Server установлены
на виртуальных машинах, гарантируйте, что
Update Manager не управляет обновлениями
виртуальных машин, на которых они
выполняются.
VUM 06 Q R
Запрет использования
самоподписанных
сертификатов
Самоподписанные сертификаты автоматически генерируются
Update Manager-ом в течение процесса инсталяции и не
подписываются каким-либо коммерческим удостоверяющим
центром и могут не обеспечивать сильной защиты. Замените
дефолтные самоподписанные сертификаты на подписанные
доверенным удостоверяющим центром
Использование дефолтных
сертификатов оставляет SSL соединения
открытыми для MiTM атак. Изменние
дефолтных сертификатов на
доверенные подписанные УЦ защищает
от потенциальных MiTM атак
Enterprise
Для получения инструкций о том, как изменить
самоподписанные сертификаты в Update Manager,
посмотрите следующую KB статью:
http://kb.vmware.com/kb/1023011
EnterpriseНастройте Web-proxy для Update Manager вместо
прямого выхода в сеть Интернет
Провербте корректность установки
прокси для Update Manager. Смотрите в
руководстве главу Configuring Update
Manager раздел Configuring Update
Manager Proxy Setting
DMZ
Настройте Update Manager на использование
Download Service и настройте Web server для
передачи файлов на Update Manager server (semi-
air-gap model)
Гарантируйте, что Download Service
функционирует и что Update Manager не
получает обновления напрямую из сети
Инетрнет
SSLF
Настройте Update Manager на Download Service и
используйте физический носитель для передачи
файлов на Update Manager (air-gap model)
Гарантируйте, что Download Service
функционирует и что Update Manager не
получает обновления напрямую из сети
Инетрнет
CON 01 R R
Установка межсетевого
экрана ESX в значение
высокой безопасности (high
security)
ESX включает встроенный межсетевой экран между сервисной
консолью и сетью. Установки высокой безопасности
запрешают весь исходящий трафик и разрешают только
выбранный входящий трафик
Защищает от сетевых эксплоитов Enterprise
Следующий команды устанавливают высокий
уровень безопасности на межсетевом экране:
esxcfg-firewall - blockIncoming
esxcfg-firewall - blockOutgoing
Проверьте, что исходящие соединения
блокированы и только выбранные
входящие соединения разрешены
CON 02 R R
Ограничение сетевого
доступа к приложениям и
сервисам
В соответсвтии с лучшими практиками запретите или удалите
сервисы и приложения, которые не целесообразно
использовать. Сервисная консоль ESX, по-умолчанию, имеет
некоторое количество сервисов, которые следует запретить,
если они не нужны для работы. Таким образом гарантируется
ограниченное использование внешнего программного
обеспечения в сервисной консоли. Примеры дополнительного
программного обеспечения, которое может быть приемлемо
для выполнения в сервисной консоли - управляющие агенты и
агенты резервного копирования.
Для большей информации и рекомендаций по выполнению
программного обеспечения третьих фирм в сервисной консоли
смотрите http://www.vmware.com/vmtn/resources/516
Защищает от сетевых эксплоитов EnterpriseВсе сервисы, которые не нужны для работы,
следует выключить
Выполните "esxcfg-firewall -query" для
определения какие сервисы разрешены.
Для запрещения сервисов выполните
"esxcfg-firewall -d <service name>"
R R
Консольная операционная система (COS)
vCenter Update Manager
Сетевая защита консоли
VUM 10
Ограничение соединения
между Update Manager и
публичным репозиторием
обновлений
В обычной инфраструктуре Update Manager соединяется с
публичными репозиториями обновлений в сети Интернет для
загрузки обновлений. Это соединение должно ограничиваться
как можно больше для предотвращения доступа снаружи к
Update Manager
Любой канал в сеть Интернет
предоставляет угрозу
CON 03 R R
Запрещение NFS и NIS
клиентов в сервисной
консоли
Из-за реализации сервисов NFS и NIS разрешение их клиентов
в сервисной консоли открывает исходящий UDP и TCP трафик
по портам 0-65535; поэтому приходится разблокирвоать все
исходящие IPv4 соединения.
Замечание: Некоторые реализации NFS позволяют серверу
установить определенные порты для соединений. Эти порты
могут быть выборочно открыты на межсетевом экране
сервисной консоли, но не через конфигурацию встроенных
сервисов.
Включение этих сервисов запрещает
фильтровать межсетевому экрану
сервисной консоли исходящих
соединений
Enterprise
Выполните "esxcfg-firewall - query" для
определения разрешен ли nfsClient или nisClient.
Для запрещегия сервиса выполните "esx-cfg-
firewall -d <service name>"
COM 01 R R
Запрет применения
обновлений Red Hat Linux к
сервисной консоли
Хотя сервисная консоль ESX основана на Red Hat Linux, важно
чтобы вы не рассматривали ее как Linux узел, когда вы ее
обновляете. Никогда не применяйте обновления, выпущенные
Red Hat или другими вендорами.
Сервисная консоль создана из Red Hat
Linux, который был модифицирован для
обеспечения функциональности,
необходимой для соединения и
управления Vmkernel. Любое
установленное дополнительное
программное обеспечение не должно
зависеть от наличия стандартных RPM
пакетов. В некоторых случаях
существующие пакеты были специально
модифицирвоаны для ESX.
Enterprise
Устанавливайте только те обновления,
которые опубликована Vmware специально
для соответствующей версии ESX, которую вы
используете. Они периодически публикуются
для скачивания также как необходимые
обновления безопасности. Вы можете получить
предупреждения о обновлениях безопасности
подписавшись на них по электронной почте на
http://www.vmware.com/security
COM 02 R R
Не использовать
инструменты, которые
проверяют только Rad Hat
обновления
Вам не следует использовать сканер для анализа безопасности
сервисной консоли, если сканер не разработан специально
для работы с вашей версией ESX.
Сканеры, которые воспринимают
сервисную консоль как стандартный Red
Hat Linux регулярно показывают ложные
срабатывания. Эти сканеры обычно
ищут только по строкам с названиями
программного обеспечения; они
поэтому не считаются с тем фактом, что
Vmware выпускает индивидуальные
версии пакетов со специальными
названиями. Т.к. эти специальные
названия неизвестны сканеру, то он
помечает как уязвимость, хотя в
действительности это не так
Enterprise
Вам следует использовать только те сканеры,
которые специально разработаны для
сервисной консоли ESX. Для большей
информации смотрите раздел "Security Patches
and Security Vulnerability Scanning Software" в
главе "Service Console Security" ESX Server 4
Configuration Guide
COM 03 R R
Запрет управления
сервисной консолью как
Red Hat Linux узлом
Обычные redhat-config-* команды не существуют также как и
другие компоненты, такие как X server
Попытки управлять сервисной консолью
как обычным Red Hat Linux узлом могут
привести к неправильной конфигурации,
которая повлияет на безопасность,
включая доступность
Enterprise
Управляйте сервисной консолью, используя
встроенные команды, такие как vmkfstools и
esxcfg-*, для расширенных возможностей
используйте другие встроенные команды при
необходимости. Только в случаях крайней
необходимости развертывайте
дополнительные пакеты для управления.
COM 04 R R
Использование vSphere
Client и vCenter Server для
администрирвоания узлов
вместо сервисной консоли
Лучшая мера по предотвращению инцидентов безопасности в
сервисной консоли - это избегать доступа к ней, если это
возможно. Вы можете выполнять многие необходимые задачи
по конфигурированию и обслуживанию ESX узла используя
vSphere Client, либо подсоединяясь напрямую к узлу, либо, что
лучше, через vCenter Server. Другая альтернатива - это
использование интерфейса удаленных скриптов такого как
vCLI или PowerCLI. Эти интерфейсы написаны с
использованием того же API, что и vSphere Client и vCenter
Server
При использовании альтернатив
сервисной консоли необходимость в
прямом доступе уменьшается, что ведет
к минимизации рисков неправильного
использования
Enterprise
В политиках безопасности следует быть
отражено требование по использованию
удаленных API инструментов, когда это
возможно. Количество учетных записей с
прямым доступом к сервисной консоли
должно быть минимизирвоано.
Некоторые дополнительные задачи, такие как
начальное конфигурирование парольных
политик, не могут выполняться через vSphere
Client. Для выполнения таких задач вы должны
зайти в сервисную консоль. Также, если вы
потеряли ваше соединение с узлом,
выполнение некоторых команд через
интерфейс командной строки может быть
единственным выходом. Например, если
сетевое соединение не работает и вы не
можете соединиться с узлом
Консольное управление
Политика консольных паролей
R "
Расширенная конфигурация и устранение неисправностей на
ESX узле может требовать локального привилегированного
доступа к сервисной консоли. Для выполнения этих задач вам
следует настроить отдельные учетные записи пользователя
для конкретного узла и группы для нескольких
администраторов, отвечающих за вашу виртуальную
инфраструктуру. Идеально, эти учетные записи должны
соответствовать реальным личностям и не быть учетными
записями, разделяемыми между множеством персон. Хотя вы
можете создать на сервисной консоли каждого узла
локальные учетные записи, которые соответствуют такой же
глобальной учетной записи, существует проблема управления
пользовательскими именами и паролями во множестве мест.
Луше использовать службу каталогов, такую как NIS и LDAP,
для определения и аутентификации пользователей на
сервисной консоли, так что вы не должны создавать
локальные пользовательские учетные записи.
Если организация не использует сервисную консоль для
конфигурирования или количество пользователей, которым
разрешен доступ к сервисной консоли, небольшое, то
поддержка локальных учетных записей не представляет
большие накладные расходы. В этом случае использование
службы каталогов не столь необходимо. Это решение следует
зафиксировать в локальной политике безопасности
Централизованное управлвение
пользовательской аутентификацией
сильно уменьшает шансы неправильной
конфигурации или несоответствующего
доступа
Enterprise
В установке по-умолчанию, ESX 3.5-4.0 не может
использовать Active Directory для определения
пользовательских учетных записей. Однако,
возможно использовать Active Directory для
аутентификационных пользователей. Другими
словами, вы можете определить учетные записи
пользователей на узле и затем использовать
локальный домен Active Directory для управления
статусом паролей и учетных записей. Вы должны
создать локальную учетную запись для каждого
пользователя, который требует локальный доступ
на сервисную консоль. Это не должно быть
сложным. В общем, только несколько человек
должны иметь доступ к сервисной консоли, так
лучше, чтобы по-умолчанию, ни для кого не было
доступа, пока вы не создадите учетную запись для
конкретного пользователя.
AD, NIS, Kerberos и LDAP - поддерживаемые
службы каталогов. Аутентификация на сервисной
консоли управляется посредством команды esxcfg-
auth. Вы можете найти информацию об этой
команде на ее странице man. Напишите man
esxcfg-auth в командную строку сервисной
консоли. Для информации об аутентификуции при
помощи Aсеive Directory, смотрите техническую
заметку
http://www.vmware.com/vmtn/resources/582
Также возможно использование пакетов третьих
фирм, таких как Winbind или Сутекшан для
Команда esxcfg-auth -probe выводит
список всех файлов, которые
сгенерированы и редактируются при
помощи команды esxcfg-auth. Записи в
этих файлах будут отличаться в
зависимости от используемых
аутентификационных механизмов
Q R —⁄⁄— —⁄⁄— —⁄⁄—
Смотрите ESX Configuration Guide, Главу 13
"Authentification and User Management" для
получения инофрмации о том как
конфигурировать Active Directory для
аутентификации
(http://www.vmware.com/pdf/vsphere4/r41/vsp_41
_esx_server_config.pdf)
COP 02 R R
Использование парольной
политики по сложности
паролей
Эта политика гарантирует, что пользователи создают пароли,
которые являются сложными. Вместо использоания слов
обыкновенная техника усложнения паролей - это
использования запоминаемой фразы и затем получения из нее
пароля. Например, использование первой буквы каждого
слова.
Дефолтный плагин pam_cracklib.so обеспечивает достаточную
сложность паролей для большинства инфраструктур. Однако,
если плагин pam_cracklib.so не достаточен для ваших нужд, то
вы можете изменить параметры, используемые
pam_cracklib.so плагином или использовать pam_passwdqc.so
плагин. Вы можете изменить плагин используя команду esxcfg-
auth-usepamqc
Эта рекомендация направлена на риски
раскрытия паролейDMZ
esxcfg-auth --usepamqc
Эта команда требует 6 параметров в следующем
порядке:
* Минимальная длина пароля, использующего
символы одного класса
* Минимальная длина пароля, использующего
символы двух классов
Минимальное количество слов во фразе
* Минимальная длина пароля, использующего
символы трех классов
* Минимальная длина пароля, использующего
символы четырех классов
* Максимальное количество символов уже
используемых в предыдущем пароле
Если вы ввели значение -1 для любого из этих
параметров, то это запрещение этого опции.
Например:
esxcfg-auth --usepamqc=-1 -1 -1 12 8 -1
запрещает первые три параметра, требует 12-
символьный пароль, использующий символы из
трех классов или 8-символьный пароль,
использующий символы из четырех классов, и
Проверьте следующую строку в файле
/etc/pam.d/system-auth-generic:
"password required
/lib/security/$ISA/pam_passwdqc.so":
Если такой строки нет, то сложность не
установлена. Если строка существует, то
гарантируйте, что это соответствует
вашей политике
COP 03 R R
Использование парольной
политики для истории
паролей
Сохранение истории паролей уменьшает риск использования
пользователем вновь предыдущих паолей
Эта рекомендация направлена на риски
раскрытия паролейDMZ
Если он еще не существует, создайте файл
парольной истории:
touch /etc/security/opasswd
chmod 600 /etc/security/opasswd
Установите количество паролей, которые могут
сохраняться для проверки:
Отредактируйте файл /etc/pam.d/system-auth-
generic и добавьте строку "remember=x" в конец
следующей строки, где x - количество хранимых
паролей:
"password sufficient /lib/security/$ISA/pam_unix.so"
проверьте наличие строки "remember="
и гарантирвоать, чтобы значение было
выбрано в соответствии с внутренней
политикой организации
COP 01
Использование для
аутентификации службы
каталогов
СOP 04 R R
Использование политики
максимального возраста
пароля
Эта политика регулирует как долго пользователтьский пароль
может быть активным перед тем как от пользователя
потребует изменить его
Политика помогает гарантировать, что
изменение паролей происходит
достаточно часто
DMZ
Для установки максимального возраста паролей
используйте следующую команду:
esxcfg-auth --passmaxdays=n
где n - максимальное количество дней жизни
пароля
Выполните следующую команду, чтобы
увидеть какое максимальное время
жизни паролей установлено:
grep -i max_days /etc/login.defs
Это значение должно соответствовать
вашей политике
COP 05 R R
Использование парольной
политики минимального
возраста пароля
Кроме максимального возраста пароля, важно и минимальное
количество дней возраста пароля. Это будет уменьшать риск
изменения пользователями много раз подряд пароля для
получения возможности вновь использовать их наиболее
удобный пароль
Эта рекомендация направлена на риски
раскрытия паролейDMZ esxcfg-auth --passmindays=n
Выполните следующую команду для
проверки установки минимального
времени жизни пароля:
"grep -I min_days /etc/login.defs"
Это значение должно соответствовать
вашей политике
COP 06 RQ
"
Соответствие политике
автоматического изменения
пароля для vpxuser в
vCenter
По-умолчанию, пароль vpxuser автоматически изменяется
vCenter-ом каждые 30 дней. Гарантируйте, что эта установка
соответствует вашей политике. Если нет, то измените это
значение.
Замечание:
Важно, чтобы политика возраста пароля не была короче, чем
интервал, который установлен для автоматической смены
пароля vpxuser. Это предотвратит возможность того, что
vCenter может заблокировать ESX узел
Если злоумышленник получает пароль
vpxuser при помощи brute force атаки, то
этот пароль может быть использован
только ограниченное количество
времени
DMZ
Сконфигурируйте следующий параметр в
дополнительных установках vCenter Server при
помощи vSphere Client:
vCenterVirtualCenter.VimPasswordExpirationInDays
Гарантируйте, что установлено ниже, чем возраст
пароля парольной политикой сервисной консоли
COL 01 R RКонфигурация
журналирования syslog
Удаленное журналирование на центральный узел
обеспечивает значительное увеличение возможностей
администратора. Получая журнальные файлы на центральный
узел, вы можете легко мониторить все узлы при помощи
единого инструмента
Журналирование на защищенный
централизованный журнальный сервер
может помочь предотвратить подмену
журнала и обеспечить хранение записей
аудита
Enterprise
Поведение syslog управляется конфигурационным
файлом /etc/syslog.conf. Если вы хотите отсылать
журналы на удаленный узел, добавьте строку с
@<loghost.company.com> после типа сообщения,
где <loghost.company.com> - имя узла,
сконфигурированного для получения журналов.
Будьте уверены, что это имя узла может быть
правильно разрешено.
Пример:
local6.warning@<loghost.company.com>
После модификации файла скомандуйте syslog-
демону перечитать файл конфигурации, выполнив
следующую команду:
kill -SIGHUP 'cat /var/run/syslogd.pid'
Как минимум следующий файлы должны быть
логированы на удаленный syslog-сервер:
/var/log/vmkernel
/var/log/secure
/var/log/messages
/var/log/vmware/*log
/var/log/vmware/vpx/vpxa.log
Для проверки, что удаленное
журналирование сконфигурировано:
cat /etc/syslog.conf | grep @
Для проверки, что трафик удаленного
логирования разрешен на межсетевом
экране узла:
esxcfg-firewall -q | grep 514
Для проверки, что syslog-сервис
выполняется:
срлсщташп -list | grep syslog
COL 02 R R
Конфигурация
синхронизации времени по
NTP
Гарантируя, что все системы используют один источник
времени (включая часовой пояс) и что источник времени
может быть скоррелирован с согласованным временным
стандартом (таким как UTC), вы можете просто отслеживать и
коррелировать действия злоумышленников, когда
просматриваете связанные журнальные файлы
Некорректные установки времени могут
осложнить инспектирование и
корреляцию журнальных файлов для
опеределения атак и сделать аудит
ошибочным
Enterprise
NTP может быть сконфигурирован на ESX узле
используя vSphere Client или используя удаленную
командную строку такую как vCLI или PowerCLI
* Просмотрите NTP конфигурацию,
чтобы быть уверенным, что правильный
источник времени сконфигурирован
* Будьте уверены, что NTP сервис
выполняется на узле
R "
Если корневая файловая система переполнится, могут
серьезно деградировать характеристики ESX.
Когда вы устанавливаете ESX 4.0 по-умолчанию создается
только 3 раздела. Для защиты корневой файловой системы от
переполнения, вы можете создать дополнительные отдельные
разделы для директорий /home, /tmp, /var/log. Это все
директории, которые потенциально заполняются и, если они
не изолированы от корневого раздела, то вы можете получить
отказ в обслуживании, если корневой раздел заполнится и
станет недоступным для каких-либо записей. Глава "ESX
Partitioning" в "ESX and vCenter Server Installation Guide"
рассказывает более детально об этом:
http://pubs.vmware.com/vsp40u1/install/c_esx_partitioning.html
#1_9_18_1
Предотвращает отказ в обслуживании
против управления этим узломEnterprise /etc/fstab
Выполните "df" команду и гарантируйте,
что директории /home, /tmp и /var/log
монтированы в их собственные разделы
Защита консоли
Консольное журналирование
COH 01
Разделение диска для
предотвращения
переполнения корневой
файловой системы
Q R
Если корневая файловая система переполнится, могут
серьезно деградировать характеристики ESX.
Когда вы устанавливаете ESX 4.0 по-умолчанию создается
только 3 раздела. Для защиты корневой файловой системы от
переполнения, вы можете создать дополнительные отдельные
разделы для директорий /home, /tmp, /var/log. Это все
директории, которые потенциально заполняются и, если они
не изолированы от корневого раздела, то вы можете получить
отказ в обслуживании, если корневой раздел заполнится и
станет недоступным для каких-либо записей. Глава "ESX
Partitioning" в "ESX and vCenter Server Installation Guide"
рассказывает более детально об этом:
http://pubs.vmware.com/vsphere-esx-4-
1/install_guide/c_esx_partitioning.html
—⁄⁄— —⁄⁄— —⁄⁄— —⁄⁄—
COH 03 R RЦелостность файловой
системы
Необходимо мониторить целостность некоторых критических
системных файлов в сервисной консоли ESX. В дополнении,
права на некоторое количество системных файлов должны
быть сконфигурированы для предотвращения ненужного
доступа
Подделка конфигурационных файлов
может быть результатом
незафиксированных изменений
DMZ
Конфигурационные файлы должны
мониториться на предмет целостности и
неавторизованного изменения используя
коммерческие инструменты такие как Tripwire
или используя инструменты контрольных сумм
такие как sha1sum, которые включаются в
сервисную консоль. Эти файлы также должны
подвергаться резервному копированию
регулярно или при помощи агентов резервного
копирования или при помощи файлового
копирования
Файлы:
/etc/profile
/etc/ssh/sshd_config
/etc/pam.d/system-auth
/etc/grub.conf
/etc/krb.conf
/etc/krb5.conf
/etc/krb.realms
/etc/login.defs
/etc/openldap/ldap.conf
/etc/nscd.conf
/etc/ntp
/etc/ntp.conf
/etc/passwd
/etc/group
/etc/nsswitch.conf
/etc/resolv.conf
/etc/sudoers
/etc/shadow
В дополнении файлы конфигурации ESX
размещены в директории /etc/vmware
(хранят всю информацию VMkernel)
R "
Различные файлы и утилиты, установленные со
специфическими правами на их файлы, для разрешения
определенной функциональности без требования излишнего
уровня привилегий для пользователя для доступа к ним
Изменение прав по-умолчанию этих
важных файлов может влиять на
функциональность ESX узла и может
потенциально вызывать неправильное
их выполнение, что ведет к отказу в
обслуживании
DMZ
Команды /usr/sbin/esxcfg-* установлены по-
умолчанию с правами 555.
Журнальные файлы все имеют права 600 за
исключением /var/log/vmware/webAccess,
который имеет права 755 и журнальный файлы
виртуальных машин, которые имею права 644
Системные команды, которые имеют SUID бит
приведены в:
http://pubs.vmware.com/vsp40u1/server_config/r_d
efault_setuid_applications.html
Для этих файлов пользователь и группа владельца
должна быть root.
Q R —⁄⁄— —⁄⁄— —⁄⁄—
Команды /usr/sbin/esxcfg-* установлены по-
умолчанию с правами 555.
Журнальные файлы все имеют права 600 за
исключением /var/log/vmware/webAccess,
который имеет права 755 и журнальный файлы
виртуальных машин, которые имею права 644
Системные команды, которые имеют SUID бит
приведены в:
http://pubs.vmware.com/vsphere-esx-4-
1/server_config/r_default_setuid_applications.html
Для этих файлов пользователь и группа владельца
должна быть root.
COA 01 R RПредотвращение подмены
во время загрузки
Пароль на загрузчик (grub) может использоваться для
предотвращения пользователей от загрузки в
однопользовательском режиме или прохождения опций в
режим ядра по время загрузки
Обход параметров загрузки может
повлиять на узел так, что он будет вести
себя неправильно
DMZ
Во время установки ESX дополнительные опции
позволяют вам установить пароль на загрузчик
(grub). Он также может быть установлен
посредством прямого редактирования
/boot/grub/grub.conf. Смотрите главу "Installing
VMware ESX" в "ESX and vCenter Server Installation
Guide"
Пока пароль не будет введен, сервер
загрузит только яддо с опциями по-
умолчанию
Доступ к консоли
COH 01
Разделение диска для
предотвращения
переполнения корневой
файловой системы
COH 04
Неизменность прав на
важные файлы и
командные утилиты
(относительно прав по-
умолчанию)
COA 02 R R
Аутентификация для
однопользовательского
режима
Кто-либо с физическим доступом может иметь доступ к
сервисной консоли как root, если пароль не установлен для
однопользовательского режима доступа
При следовании данной рекомендации,
если злоумышленник получает доступ к
консоли, он сможет зайти в консоль
только как обычный пользователь
SSLF
Добавьте строку
--S:wait:/sbin/sulogin
в /etc/inittab
Если пароль root потерян, то не пути
доступа к системе
COA 03 R RЗапрет доступа root через
SSH
Т.к. пользователь root сервисной консоли имеет
неограниченный возможности, то защита этой учетной записи
наиболее важный шаг, который вы можете сделать для
защиты ESX узла. По-умолчанию, все незащищенные
протоколы, такие как FTP, Telnet и HTTP запрещены.
Удаленный доступ через SSH разрешен, но не для учетной
записи root
Разрешая доступ root через SSH
возможность аудировать кто выполняет
команды или задачи сводится на нет.
Предпочтительно требовать, чтобы
пользователи входили в систему
используя собственные учетные записи,
затем повышали привилегии для
выполнения задач, которые требуют
этого используя "su" или "sudo"
EnterpriseСтрока "PermitRootLogin" в /etc/sshd_conf должна
быть установлена в "no"
Пользователь root не сможет войти
через SSH
COA 04 R RЗапрещение входа на
консоль под root
Вы можете запретить доступ root, даже на консоль ESX узла.
Т.е. когда вы заходите используя экран и клавиатуру,
присоединенных к серверу или при помощи удаленной сессии
к серверной консоли. Этот подход вынуждает того, кто хочет
зайти в систему сначала зайти используя обычную
пользовательскую учетную запись, а затем использовать
"sudo" или "su" для выполнения задач.
Эффект - администраторы могут продолжать доступ к консоли,
но они никогда не будут заходить как root. Вместо этого они
используют "sudo" для выполнения задач или "su" для
выполнения команд
При следовании данной рекомендации,
если злоумышленник получает доступ к
консоли, он сможет зайти в консоль
только как обычный пользователь
SSLF
Для предотвращения прямого доступа на консоль
модифицируйте файл /etc/securetty в пустой. Для
этого зайдя root введите следующую команду:
cat /dev/null > /etc/securetty
Вам следует сначала создать
непривилегированную учетную запись на узле,
иначе вы можете заблокировать себя на узле
совсем. Эта непривилегированная учетная запись
должна быть локальной учетной записью, т.е.
такой учетной записью, которая не требует
удаленной аутентификации, так что если сетевое
соединение к службе каталогов потеряно, доступ
к узлу все еще возможен. Также нужно установить
пароль на данную локальную учетную запись
используя passwd команду
После того, как вы это сделаете, только
непривилегирвоанным учетным
записям будет разрешено заходить на
консоль. Вход под учетной записью root
на консоль не будет больше возможен
COA 05 R RОграничение доступа к "su"
команде
Т.к. "su" - мощная команда, вам следует ограничить доступ к
ней. По-умолчанию, только пользователи, являющиеся
членами группы wheel в сервисной консоли, имеют право на
выполнение "su". Если пользователь пытается выполнить "su -"
для получения привилегий root и этот пользователь не
является членом группы wheel, то "su -" попытка будет
неудачной и соответствующее событие попадет в журнал
Enterprise
За исключением контроля, кто имеет доступ к "su"
команде, через аутентификационный модуль
(PAM) мы можем определить какой тип
аутентифкации требуется для успешного
исполнения команды. В случае команды "su"
соответствующий файл конфигурации PAM -
/etc/pam.d/su. Для разрешения только членам
групп wheel выполнять команду "su" и только
после аутентификации с паролем, найдите строку,
начинающуюся с "auth required" и удалите символ
# в начале строки, чтобы это выглядело примерно
так:
auth required /lib/security/$ISA/pam_wheel.so
use_uid
COA 06 R R
Использование "sudo" для
управления
административным
доступом
Утилита "sudo" должна использоваться для управления какие
привилегирвоанные команды пользователь может выполнять
когда зашел в сервисную консоль.
Enterprise
Параметры конфигурируются в файле /etc/sudoers
Среди команд вам следует регулировать все из
команд esxcfg-* также как те, которые
конфигурируют сеть и другое аппаратное
обеспечение на ESX узле. Вам следует решить
какое множество команд должно быть доступным
для более молодых администраторов, а какие
команды вам следует позволить выполнять
зрелым администраторам.Вы можете также
использовать "sudo" для ограничения доступа к
команде "su"
Проверьте конфигурацию в файле
/etc/sudoers и гарантируйте, что она
отвечает вашей политике
R -
" -
Q -
" -
Федотенко Максим
07 февраля 2011г.
Легенда:
пункт отсутствует
пункт удален из текущей версии
пункт присутствует в текущей версии
пункт изменен