Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Najlepsze praktyki - zabezpieczanie środowiska VMware

Najlepsze praktyki w zabezpieczaniu środowiska VMware

Kapitan Hack / Cybernews / Najlepsze praktyki w zabezpieczaniu środowiska VMware

Zabezpieczenie środowiska wirtualnego wdrożonego na VMware vSphere nie jest tak proste i nie polega tylko na zaakceptowaniu domyślnych ustawień i zasad bezpieczeństwa podczas instalacji. Chociaż polityki domyślne zapewniają częściowo wzmocnione ustawienia, istnieje wiele sposobów na ich ulepszenie. Postępując zgodnie z najlepszymi praktykami bezpieczeństwa VMware, możemy pomóc ochronić infrastrukturę VMware przed zagrożeniami, w tym zarówno złośliwymi atakami, jak i nieostrożnymi błędami administracyjnymi.

Autor: 6 min czytania

W tym artykule wyjaśniono, jak zmniejszyć ryzyko dla bezpieczeństwa organizacji poprzez odpowiednie zabezpieczenie serwera VMware vCenter i hipervisor’a ESXi, a także szczegółowo opisano najważniejsze praktyki dotyczące bezpiecznych operacji, procesów i konfiguracji VMware.

Bezpieczeństwo VMware vCenter

Serwer VMware vCenter to główne centrum kontroli środowiska vSphere. Niezależnie od tego, czy instalujemy go na systemie operacyjnym Windows, czy Linux, poniższe najlepsze praktyki mogą pomóc w utrzymaniu go w bezpiecznym stanie:

  • Systemy vCenter Server powinny używać statycznych adresów IP i nazw hostów. Każdy adres IP musi mieć ważną wewnętrzną rejestrację DNS, obejmującą wsteczne rozpoznawanie nazw.
  • Domyślnie hasło do konta vpxuser wygasa po 30 dniach. Warto zmienić to ustawienie, aby zachować zgodność z polityką bezpieczeństwa.
  • Jeśli używamy vCenter w systemie Windows, warto sprawdzić czy ustawienia konfiguracyjne hosta zdalnego pulpitu zapewniają najwyższy poziom szyfrowania.
  • Sprawdzajmy i instalujemy najnowsze poprawki zabezpieczeń dla systemu operacyjnego.
  • Utrzymujmy aktualne i renomowane rozwiązanie AV / EDR do wykrywania znanych zagrożeń.
  • Upewnijmy się, że źródło czasu jest skonfigurowane do synchronizacji z serwerem czasu lub pulą serwerów czasu, aby zapewnić prawidłową weryfikację certyfikatu.
  • Najlepiej nie pozwalać użytkownikom na logowanie się bezpośrednio do hosta serwera vCenter.

Bezpieczeństwo VMware ESXi

Aby zabezpieczyć z kolei hipervisor ESXi, stosujemy następujące najlepsze praktyki:

  • Każdego hosta ESXi dodajemy do domeny Microsoft Active Directory, aby móc używać kont AD do logowania się i zarządzania ustawieniami każdego hosta.
  • Konfigurujemy wszystkie hosty ESXi tak, aby synchronizowały czas z centralnymi serwerami NTP.
  • Włączamy tryb blokady na wszystkich hostach ESXi. W ten sposób można wybrać, czy włączyć bezpośredni interfejs użytkownika konsoli (DCUI) i czy użytkownicy mogą logować się bezpośrednio do hosta, czy tylko za pośrednictwem serwera vCenter.
  • Konfigurujemy zdalne rejestrowanie dla hostów ESXi, aby mieć scentralizowany magazyn dzienników ESXi na potrzeby długoterminowego rejestru audytu.
  • Stale aktualizujemy hosty ESXi, aby ograniczyć podatności. Ataki często próbują wykorzystać znane luki w celu uzyskania dostępu do hosta ESXi.
  • Jeśli to możliwe, to pozostawiamy dostęp po SSH wyłączony (jest to ustawienie domyślne).
  • Określamy w opcjach, ile nieudanych prób logowania można wykonać, zanim konto zostanie zablokowane.
  • ESXi w wersji 6.5 i nowszych obsługuje bezpieczny rozruch UEFI na każdym poziomie stosu. Użyj tej funkcji, aby chronić przed złośliwymi zmianami konfiguracji w programie startującym system operacyjny.

Bezpieczne wdrażanie i zarządzanie

Administracje i zarządzanie środowiskiem VMware warto realizować w oparciu o następujące zasady:

  • Aktualizacja szablonów maszyn wirtualnych za pomocą poprawek zabezpieczeń systemu operacyjnego gościa.
  • Wdrażanie nowych maszyn wirtualnych tylko z szablonów maszyn. Ta praktyka pomaga zapewnić, że podstawowy system operacyjny zostanie odpowiednio wzmocniony przed zainstalowaniem aplikacji i że wszystkie maszyny wirtualne zostaną utworzone z tym samym podstawowym poziomem bezpieczeństwa.
  • Minimalizacja używania konsoli VMware maszyny wirtualnej, ponieważ umożliwia ona użytkownikom zarządzanie energią i łączność z urządzeniami wymiennymi.
  • Wyłączenie niepotrzebnych funkcji w każdej maszynie wirtualnej, w tym komponentów systemu, które nie są niezbędne dla uruchomionej aplikacji. Można także wyłączyć napędy CD/DVD, stacje dyskietek i adaptery USB.
  • Ograniczenie dostępu do przeglądarki magazynu danych, aby uchronić się przez ingerencją w pliki obrazów VM.
  • Zablokowanie możliwości wykonywania poleceń / uruchamiania linii komend przez użytkowników maszyn wirtualnych.

Bezpieczeństwo sieci VMware

Warstwa sieci wirtualnej VMware vSphere obejmuje wiele elementów, takich jak wirtualne karty sieciowe, przełączniki wirtualne (vSwitches), VDS, porty i grupy portów. ESXi wykorzystuje te elementy do komunikacji ze światem zewnętrznym. Poniższe najlepsze praktyki pomogą zwiększyć bezpieczeństwo sieci VMware:

  • Izolacja ruchu sieciowego na podstawie typu. Można w tym celu wykorzystać wirtualne sieci LAN (VLAN).
  • Zabezpieczenie ruchu sieciowego do magazynu wirtualnego:
    • Izolacja połączeń do pamięci masowej w oddzielnych sieciach fizycznych i logicznych.
    • Używanie uwierzytelniania CHAP w środowiskach iSCSI.
    • Korzystanie z zasad bezpieczeństwa protokołu internetowego (IP Sec).
  • Używanie zapór sieciowych, aby zabezpieczyć elementy sieci wirtualnej i filtrować ruch sieciowy maszyn wirtualnych. Nie zaleca się modyfikacji domyślnych zasad serwera ESXi.

Podsumowanie

Zabezpieczanie środowiska zwirtualizowanego to skomplikowane zadanie. Przestrzeganie opisanych tutaj najlepszych praktyk dotyczących projektowania, konfigurowania i monitorowania środowiska powinno ułatwić zmniejszenie ryzyka i zapewnienie zgodności z przepisami.

Popularne

Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

W dzisiejszym artykule opisujemy pewien problem istniejący w firmach i organizacjach, związany z tożsamościami nieludzkimi (non-human identities), czyli inaczej – tożsamościami niezwiązanymi z pracow...
10 min czytania 16 wrz 2024 07:54
Nowe podatności w architekturze sieci 5G

Nowe podatności w architekturze sieci 5G

Nowe badania nad architekturą 5G ujawniły lukę w zabezpieczeniach modelu dzielenia sieci oraz zwirtualizowanych funkcjach sieciowych, które można wykorzystać do nieautoryzowanego dostępu do danych, a tak...
5 min czytania 31 mar 2021 08:00
Filtrowanie URL i DNS, dlaczego to takie ważne?

Filtrowanie URL i DNS, dlaczego to takie ważne?

Filtrowanie adresów URL ogranicza zawartość stron internetowych, do których użytkownicy mają dostęp. Odbywa się to poprzez blokowanie określonych adresów URL przed załadowaniem. Firmy wdrażają filtrowanie...
6 min czytania 14 cze 2022 09:20
Hakerzy z Dragon Breath z nową techniką ataku

Hakerzy z Dragon Breath z nową techniką ataku

Specjaliści z Sophos wykryli niedawno złośliwą aktywność polegającą na klasycznym DLL side-loadingu, ale ze zwiększoną złożonością i dodatkową warstwą wykonania. Co więcej, dochodzenie wskazuje, że oso...
3 min czytania 9 maj 2023 09:44
Pięć prognoz cyberbezpieczeństwa na 2026 rok

Pięć prognoz cyberbezpieczeństwa na 2026 rok

Końcówka roku to tradycyjnie czas podsumowań – ale również przewidywań. Dr Torsten George pokusił się właśnie o te ostatnie. Portal SecurityWeek opublikował jego pięć prognoz cyberbezpieczeństwa na rok 2026. Do...
7 min czytania 23 gru 2025 08:00
Popularne
Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?
Nowe podatności w architekturze sieci 5G
Filtrowanie URL i DNS, dlaczego to takie ważne?
Hakerzy z Dragon Breath z nową techniką ataku
Pięć prognoz cyberbezpieczeństwa na 2026 rok
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.