Релиз: vShield 4.1

Вышла новая версия vShield 4.1, и это серьезный релиз.

Прежде всего, это новые компоненты.

vShield Edge: vShield Edge осуществляет пограничную защиту сети и работает шлюзом для изоляции виртуальных машин в портгруппе, vDS портгруппе или Cisco Nexus 1000v. vShield Edge соединяет изолированные сети и подключает их к разделяемым общим сетям (аплинкам), предоставляя стандартные шлюзовые сервисы, такие как DHCP, VPN, NAT и балансировка нагрузки. Ключевые возможности

Stateful Inspection Firewall

• Контроль входящих и исходящих соединений с правилами на основе IP адресов и портов

Network Address Translation

• Трансляция IP адресов для виртуальной среды
• Маскарадинг IP адресов виртуального датацентра для недоверенных окружений

Dynamic Host Configuration Protocol

• Автоматическое назначение IP адресов виртуальным машинам vSphere
• Определяемые администратором параметры: пулы адресов, время аренды, зарезервированные IP и т.д.

Site-to-Site VPN

• Безопасное соединение виртуальных датацентров (или пограничных виртуальных машин) IPsec VPN на основе протокола Internet Key Exchange (IKE)

Web Load Balancing

• Балансировка входящего HTTP nрафика
• Круговой (round-robin) алгоритм
• Поддержка постоянных (sticky) сессий

Port Group Isolation

• Запрет трафика к определенным портгруппам на уровне гипервизора
• Полный аналог VLAN'ов в виртуальных / физических средах

Flow Statistics

• Измерение уровня потребления ресурсов
• Статистика доступна через REST API для интеграции с биллингом сервис-провайдера

Policy Management

• Поддержка интеграции с существующими платформами обеспечения безопасности ИТ инфраструктуры

vShield App: vShield App - внутрений файрволл уровня vNIC, позволяющий создавать политики ограничения доступа независимо от топологии сети. vShield App мониторит весь входящий и исходящий трафик ESX хоста, включая трафик между ВМ в одной портгруппе. vShield App включает в себя инструментарий для анализа трафика и создания политик на основе контейнерного подхода. Ключевые возможности:

Hypervisor-Level Firewall

• Контроль входящих/исходящий соединений vNIC на уровне гипервизора
• Возможность создания политик ограничения доступа на основе IP адреса, порта, типа протокола (TCP, UDP), типа приложения
• Динамическая защита при миграции ВМ
• Файрволл и шлюз уровня приложения для широкого спектра протоколов, включая Oracle, Sun Remote Procedure Call (RPC), Microsoft RPC, LDAP и SMTP

Flow Monitoring

• Возможность наблюдения за сетевой активностью виртуальных машин для помощи при создании и улучшении политик ограничения доступа, определения ботнетов и обеспечения безопасности бизнес-процессов. Детализированные отчеты о трафике приложений (приложение, сессии, байты)

Security Groups

• Определяемые администратором группы любых виртуальных машин (виртуальных NIC)

Policy Management

• Политики, применяемые к группам безопасности (security groups), контейнерам vCenter и TCP кортежу (source IP, destination IP, source port, destination port, protocol)
• Программируемый интерфейс для управления через REST API
• Поддержка интеграции с существующими платформами обеспечения безопасности ИТ инфраструктуры

vShield Endpoint: vShield Endpoint - антивирусное решение на основе VMsafe для безагентного сканирования ВМ. Ключевые возможности vShield Endpoint:

Antivirus and Anti-Malware Offloading

• Сканирование файлов и остальные задачи снимаются с виртуальной машины и передаются выделенной машине безопасности.
• VMware Endpoint ESX Module управляет соединениями между ВМ и машиной безопасности на уровне гипервизора.

Antivirus and Anti-Malware Service Across Virtual Machines

• Движок антивируса и файлы сигнатру обновляются только на машине безопасности, но все политики немедленно применяются на всех ВМ на данном хосте vSphere

Enforce Remediation

• Политики определяют что необходимо делать с зараженными/опасными файлами: удалить, поместить в карантин или обработать иными способом.
• Драйвер vShield Endpoint управляет обработкой файлов в ВМ

Partner Integrations

• Интеграция vShield Endpoint с решениями по обеспечению безопасности ВМ от партнеров VMware обеспечивается интерфейсом VMware EPSEC

Policy and Configuration Management

• vShield Manager полностью управляет политиками vShield Endpoint.
• Управление взаимодействием vShield и виртуальных машин vSphere происходит на уровне vCenter.
• REST API позволяет интегрировать возможности vShield Endpoint в решения партнеров.

vShield & VLANs

На встрече VMUG был вопрос: может ли vShield работать с VLAN'ами?
Ответ: может

vShield: грабли с View Offline Desktop

Проблема: vShield Autoinstall failed для хоста, на котором лежит выгруженная ВМ с Offline Desktop. Созданы временные портгруппы, процесс инсталляции (деинсталляции) прерван.
Причина: для выгруженной Offline Desktop ВМ запрещено изменение параметров. Соотв. процесс инсталляции спотыкается на этой ВМ и прерывается.
Лечение: завершить инсталляцию вручную. А конкретно создать и переименовать портгруппы до нужного состояния, переключить ВМ в нужные портгруппы. Как это должно выглядеть - смотреть на хосте без Offline Desktop ВМ.

vShield: грабли при развертывании

Грабли, на которые наступил тут.

При деплойменте vSield Manager и vShield из OVF необходимо использовать File / Deploy OVF template в vSphere клиенте. Только так сохраняются правильные настройки сетевых адаптеров. VMware Converter, во всяком случае Standalone, наплевал на них и создал один адаптер типа Flexible, что неправильно.

Правильные адаптер для vShield Manager - E1000. Для vShield их три, mgmt - E1000, а prot и unprot - VMXNET3.

vShield & VMotion

К предыдущему посту.

При установленных vShield миграция VMotion становится невозможной, поскольку все машины начинают смотреть в virtual intranet.

Как лечить.

1. Открываем "C:\Documents and Settings\All Users\Application Data\VMware\VMware vCenter\vpxd.cfg"
2. Добавляем

<migrate>
  <test>
    <CompatibleNetworks>
      <VMOnVirtualIntranet>false</VMOnVirtualIntranet>
    </CompatibleNetworks>
  </test>
</migrate>

3. Перезапускаем службу Virtual Center

Более того, хочу обратить ваше внимание, что после установки vShield работа с ESX'ами усложняется. При включенном DRS vShield машина никуда не сможет мигрировать потому что использует специфические для каждого конкретного хоста портгруппы. Этого мы, собственно, и добивались, размещая на каждом ESX неперемещаемые машины с файрволлами. Но иногда все же нужно перевести хост в maintenance mode - и в этом случае придется выключать vShield машину вручную, из консоли.

vShield: проблемы с VMotion

Еще одни грабли с vShield. Да, уточню, грабли - это не проблема самой технологии или продукта, это лишь хитрое сочетание факторов, требующее знания. Если не знать, где лежат эти грабли, то на них можно наступить.

Итак, грабли. В процессе установки vShield машины нельзя переместить с хоста без vShield на хост с уже установленной vShield. Причина проста - на хосте с vShield сеть виртуальных машин смотрит в vSwitch без физических аплинков, а весь трафик пробрасывается vShield машиной. vCenter следит за ситуациями, когда машина перемещается из публичной сети, имеющей аплинки, в "виртуальный интранет" и предотвращает подобное.

Так что придется смириться или с даунтаймом, или рискнуть и ставить vShield на живую систему с переключением ВМ (правда автоматическим) между сетями.

Что такое vShield Zones

По многочисленным просьбам рассказываю что такое vShield Zones.

vShield Zones - это система файрволлов на каждом ESX + управляющая консоль. Файрволлы (vShield), как и консоль (vShield Manager), являются просто виртуальными машинами.

Принцип работы очень прост, у каждой vShield три сетевых интерфейса: mgmt, unprot и prot, которые подключены в соотв. портгруппы. Для коммуникации с vShield Manager используется mgmt интерфейс, обладающий собственным IP, unprot ловит все пакеты, проходящие через vSwitch, а после обработки пакеты отдаются во второй vSwitch (не имеющий физических аплинков) через prot интерфейс. В данном случае VMware не стала изобретать велосипед и просто купила компанию, специализирующуюся на таких решениях - BlueLane.

vShield: не поднимается сеть

Первые грабли с vShield на ESX4.0 - не поднимается и не конфигурируется сеть ни на vShield Manager, ни на vShield машинах.

Лечение: после импорта appliance в инфраструктуру сменить сетевые адаптеры машин с Flexible на, например, VMXNET3.