VMware публікує посібник із конфігурації безпеки для платформи віртуалізації vSphere

Найбільш помітною в новому посібнику є дуже сильна пропозиція використовувати модулі trusted platform (TPM), які все ще є опцією на деяких серверах або не включені за замовчуванням. "TPM 2.0 - це недорогий спосіб отримати дуже просунуту безпеку на VMware vSphere і ESXi, і ми твердо переконані, що ви не повинні купувати нове обладнання без них",  – сказав архітектор технічного маркетингу VMware.

Особлива увага приділяється посиленню контролю та ізоляції: «Xclarity, iLO і iDRAC відмінно працюють, але іноді їх можна налаштувати таким чином, щоб надати можливості зловмисникам». Також були додані рекомендації щодо переадресації шини PCIe в віртуальній машині, щоб зловмисники не намагалися використовувати її для безпосереднього доступу до апаратного забезпечення. Новий посібник також додає список застарілих елементів керування, які не рекомендуються. Наприклад, якщо ви неправильно налаштували, у вашій віртуальній машині не буде віртуального дисплея, і ви можете пропустити важливі повідомлення.

Що змінилося з посібником із конфігурації безпеки 7

Посібник з конфігурації безпеки vSphere 7 був оновлений з досить великою кількістю сукупних відгуків. Дякую за все це. Документ всередині комплекту .zip файлу підкаже, як подати відгук.

• Виправлено помилки в керівництві PowerCLI для аудиту віртуальних машин (я неправильно вставив Get-VMHost замість Get-VM)
• Перший vSphere SCG 7 представив вкладки електронних таблиць для елементів керування ESXi, vCenter Server, віртуальних машин і елементів керування In-Guest. Ця версія додає вкладку для "Застарілий." Велике питання, яке завжди нависало над нами, - "куди подівся контроль безпеки?" Наш намір, щоб, рухаючись вперед, коли щось більше не є гарною ідеєю, ми виставляємо його на пасовище на вкладці Застарілий. Це робить його видимим і дозволяє нам задокументувати, ЧОМУ ми робимо ці зміни.
• Перемістив елемент керування svga.vgaOnly на вкладку "Застарілий". Це управління обмежує віртуальну машину лише роздільною здатністю VGA, і багатьом сучасним гостьовим ОС це не подобається. Це джерело тертя і плутанини і причина безлічі закликів до підтримки (нашої та інших). Однак, крім цього, сучасні гостьові ОС іноді взагалі нічого не відображають, коли вони не можуть отримати відеорежим, який їм подобається, а це означає, що важлива діагностична інформація може залишитися неспостережуваною. Безпека - це компроміс, і мізерні вигоди, які ми можемо отримати від цього контролю, повністю переважують проблеми, які викликає контроль. Ви, звичайно, можете використовувати елемент керування, якщо хочете, але ми більше не рекомендуємо його для загального використання.
• Додано та оновлено керівництво по відключенню демонів служби SLP і CIM на ESXi. Консультації з безпеки часто є хорошими можливостями для оцінки стану речей, і більшість клієнтів не використовують ці протоколи. Жодні продукти VMware також не використовують ці протоколи. Тепер у нас є хороші методи та вказівки щодо їх відключення.
• Додано елементи керування для ізоляції мережі. Зазвичай це вважалося свого роду "племінним знанням", що ви повинні ізолювати управління, vMotion та vSAN. Ми його нарешті записали. Ми також включаємо вказівки щодо поширення цього на апаратне забезпечення. Позадіапазонні контролери керування, такі як Xclarity, iLO та iDRAC, чудові, але іноді їх можна налаштувати таким чином, щоб надати зловмисникам можливості, і ми хотіли б, щоб ви подумали про це як про частину дизайну вашої системи.
• Додано вказівки щодо закриття лазівки в SCG. Протягом багатьох років ми включали вказівки щодо виправлення, тому що багато організацій використовують SCG як контрольний список, і ми хотіли б, щоб усі поставили галочку навпроти пункту «Я виправлений!», оскільки виправлення - це єдиний спосіб видалити вразливості. Однак те, як це сформульовано, дозволяє запускати непідтримувану версію vSphere, бути повністю виправленим і все одно мати можливість поставити цей прапорець. Переформулювання його створило інші проблеми, тому ми просто додали елементи керування esxi-7.support і vcenter-7., щоб підкреслити, що організація все ще повинна запускати програмне забезпечення, яке не досягло кінця життя.
• Додано вказівки щодо закупівлі та ввімкнення модулів надійної платформи або TPM. TPM 2.0 — це недорогий спосіб отримати дуже просунуту безпеку від VMware vSphere та ESXi, і ми твердо вважаємо, що ви не повинні купувати нове обладнання без них. Навіть наші друзі в Microsoft погоджуються — сертифікації Windows Server 2022 також вимагають їх (до речі, чудове використання функції віртуального TPM у vSphere, коли прийде час).
• Знову додано керівництво vm-7.pci-passthrough з оновленим керівництвом. Щоразу, коли ви дозволяєте віртуальній машині безпосередньо отримувати доступ до апаратного забезпечення, ви збільшуєте ризик того, що зловмисник на цій віртуальній машині зможе щось зробити з апаратним забезпеченням. Шина PCIe була розроблена з урахуванням певних припущень, і зловмисники можуть використовувати ці припущення, щоб викликати збої на хостах (до речі, велика причина використовувати vSphere HA, також).
• Додано вказівки щодо вимкнення інтерфейсів DCLI, якщо ви не використовуєте їх на сервері vCenter. Якщо ви їх використовуєте — чудово! Вони чудові. Але якщо ні, вимкніть його, ніби ви вимкнули SSH (до речі, з усіма новими API у vSphere 7 вам ніде не потрібно ввімкнути SSH — вимкніть його та заощадите багато головного болю відповідності при скануванні).