Zabezpieczenie środowiska wirtualnego wdrożonego na VMware vSphere nie jest tak proste i nie polega tylko na zaakceptowaniu domyślnych ustawień i zasad bezpieczeństwa podczas instalacji. Chociaż polityki domyślne zapewniają częściowo wzmocnione ustawienia, istnieje wiele sposobów na ich ulepszenie. Postępując zgodnie z najlepszymi praktykami bezpieczeństwa VMware, możemy pomóc ochronić infrastrukturę VMware przed zagrożeniami, w tym zarówno złośliwymi atakami, jak i nieostrożnymi błędami administracyjnymi.
W tym artykule wyjaśniono, jak zmniejszyć ryzyko dla bezpieczeństwa organizacji poprzez odpowiednie zabezpieczenie serwera VMware vCenter i hipervisor’a ESXi, a także szczegółowo opisano najważniejsze praktyki dotyczące bezpiecznych operacji, procesów i konfiguracji VMware.
Bezpieczeństwo VMware vCenter
Serwer VMware vCenter to główne centrum kontroli środowiska vSphere. Niezależnie od tego, czy instalujemy go na systemie operacyjnym Windows, czy Linux, poniższe najlepsze praktyki mogą pomóc w utrzymaniu go w bezpiecznym stanie:
- Systemy vCenter Server powinny używać statycznych adresów IP i nazw hostów. Każdy adres IP musi mieć ważną wewnętrzną rejestrację DNS, obejmującą wsteczne rozpoznawanie nazw.
- Domyślnie hasło do konta vpxuser wygasa po 30 dniach. Warto zmienić to ustawienie, aby zachować zgodność z polityką bezpieczeństwa.
- Jeśli używamy vCenter w systemie Windows, warto sprawdzić czy ustawienia konfiguracyjne hosta zdalnego pulpitu zapewniają najwyższy poziom szyfrowania.
- Sprawdzajmy i instalujemy najnowsze poprawki zabezpieczeń dla systemu operacyjnego.
- Utrzymujmy aktualne i renomowane rozwiązanie AV / EDR do wykrywania znanych zagrożeń.
- Upewnijmy się, że źródło czasu jest skonfigurowane do synchronizacji z serwerem czasu lub pulą serwerów czasu, aby zapewnić prawidłową weryfikację certyfikatu.
- Najlepiej nie pozwalać użytkownikom na logowanie się bezpośrednio do hosta serwera vCenter.
Bezpieczeństwo VMware ESXi
Aby zabezpieczyć z kolei hipervisor ESXi, stosujemy następujące najlepsze praktyki:
- Każdego hosta ESXi dodajemy do domeny Microsoft Active Directory, aby móc używać kont AD do logowania się i zarządzania ustawieniami każdego hosta.
- Konfigurujemy wszystkie hosty ESXi tak, aby synchronizowały czas z centralnymi serwerami NTP.
- Włączamy tryb blokady na wszystkich hostach ESXi. W ten sposób można wybrać, czy włączyć bezpośredni interfejs użytkownika konsoli (DCUI) i czy użytkownicy mogą logować się bezpośrednio do hosta, czy tylko za pośrednictwem serwera vCenter.
- Konfigurujemy zdalne rejestrowanie dla hostów ESXi, aby mieć scentralizowany magazyn dzienników ESXi na potrzeby długoterminowego rejestru audytu.
- Stale aktualizujemy hosty ESXi, aby ograniczyć podatności. Ataki często próbują wykorzystać znane luki w celu uzyskania dostępu do hosta ESXi.
- Jeśli to możliwe, to pozostawiamy dostęp po SSH wyłączony (jest to ustawienie domyślne).
- Określamy w opcjach, ile nieudanych prób logowania można wykonać, zanim konto zostanie zablokowane.
- ESXi w wersji 6.5 i nowszych obsługuje bezpieczny rozruch UEFI na każdym poziomie stosu. Użyj tej funkcji, aby chronić przed złośliwymi zmianami konfiguracji w programie startującym system operacyjny.
Bezpieczne wdrażanie i zarządzanie
Administracje i zarządzanie środowiskiem VMware warto realizować w oparciu o następujące zasady:
- Aktualizacja szablonów maszyn wirtualnych za pomocą poprawek zabezpieczeń systemu operacyjnego gościa.
- Wdrażanie nowych maszyn wirtualnych tylko z szablonów maszyn. Ta praktyka pomaga zapewnić, że podstawowy system operacyjny zostanie odpowiednio wzmocniony przed zainstalowaniem aplikacji i że wszystkie maszyny wirtualne zostaną utworzone z tym samym podstawowym poziomem bezpieczeństwa.
- Minimalizacja używania konsoli VMware maszyny wirtualnej, ponieważ umożliwia ona użytkownikom zarządzanie energią i łączność z urządzeniami wymiennymi.
- Wyłączenie niepotrzebnych funkcji w każdej maszynie wirtualnej, w tym komponentów systemu, które nie są niezbędne dla uruchomionej aplikacji. Można także wyłączyć napędy CD/DVD, stacje dyskietek i adaptery USB.
- Ograniczenie dostępu do przeglądarki magazynu danych, aby uchronić się przez ingerencją w pliki obrazów VM.
- Zablokowanie możliwości wykonywania poleceń / uruchamiania linii komend przez użytkowników maszyn wirtualnych.
Bezpieczeństwo sieci VMware
Warstwa sieci wirtualnej VMware vSphere obejmuje wiele elementów, takich jak wirtualne karty sieciowe, przełączniki wirtualne (vSwitches), VDS, porty i grupy portów. ESXi wykorzystuje te elementy do komunikacji ze światem zewnętrznym. Poniższe najlepsze praktyki pomogą zwiększyć bezpieczeństwo sieci VMware:
- Izolacja ruchu sieciowego na podstawie typu. Można w tym celu wykorzystać wirtualne sieci LAN (VLAN).
- Zabezpieczenie ruchu sieciowego do magazynu wirtualnego:
- Izolacja połączeń do pamięci masowej w oddzielnych sieciach fizycznych i logicznych.
- Używanie uwierzytelniania CHAP w środowiskach iSCSI.
- Korzystanie z zasad bezpieczeństwa protokołu internetowego (IP Sec).
- Używanie zapór sieciowych, aby zabezpieczyć elementy sieci wirtualnej i filtrować ruch sieciowy maszyn wirtualnych. Nie zaleca się modyfikacji domyślnych zasad serwera ESXi.
Podsumowanie
Zabezpieczanie środowiska zwirtualizowanego to skomplikowane zadanie. Przestrzeganie opisanych tutaj najlepszych praktyk dotyczących projektowania, konfigurowania i monitorowania środowiska powinno ułatwić zmniejszenie ryzyka i zapewnienie zgodności z przepisami.