Najlepsze praktyki w zabezpieczaniu środowiska VMware

kapitanhack.pl 3 miesięcy temu

Zabezpieczenie środowiska wirtualnego wdrożonego na VMware vSphere nie jest tak proste i nie polega tylko na zaakceptowaniu domyślnych ustawień i zasad bezpieczeństwa podczas instalacji. Chociaż polityki domyślne zapewniają częściowo wzmocnione ustawienia, istnieje wiele sposobów na ich ulepszenie. Postępując zgodnie z najlepszymi praktykami bezpieczeństwa VMware, możemy pomóc ochronić infrastrukturę VMware przed zagrożeniami, w tym zarówno złośliwymi atakami, jak i nieostrożnymi błędami administracyjnymi.

W tym artykule wyjaśniono, jak zmniejszyć ryzyko dla bezpieczeństwa organizacji poprzez odpowiednie zabezpieczenie serwera VMware vCenter i hipervisor’a ESXi, a także szczegółowo opisano najważniejsze praktyki dotyczące bezpiecznych operacji, procesów i konfiguracji VMware.

Bezpieczeństwo VMware vCenter

Serwer VMware vCenter to główne centrum kontroli środowiska vSphere. Niezależnie od tego, czy instalujemy go na systemie operacyjnym Windows, czy Linux, poniższe najlepsze praktyki mogą pomóc w utrzymaniu go w bezpiecznym stanie:

  • Systemy vCenter Server powinny używać statycznych adresów IP i nazw hostów. Każdy adres IP musi mieć istotną wewnętrzną rejestrację DNS, obejmującą wsteczne rozpoznawanie nazw.
  • Domyślnie hasło do konta vpxuser wygasa po 30 dniach. Warto zmienić to ustawienie, aby zachować zgodność z polityką bezpieczeństwa.
  • Jeśli używamy vCenter w systemie Windows, warto sprawdzić czy ustawienia konfiguracyjne hosta zdalnego pulpitu zapewniają najwyższy poziom szyfrowania.
  • Sprawdzajmy i instalujemy najnowsze poprawki zabezpieczeń dla systemu operacyjnego.
  • Utrzymujmy aktualne i renomowane rozwiązanie AV / EDR do wykrywania znanych zagrożeń.
  • Upewnijmy się, iż źródło czasu jest skonfigurowane do synchronizacji z serwerem czasu lub pulą serwerów czasu, aby zapewnić prawidłową weryfikację certyfikatu.
  • Najlepiej nie pozwalać użytkownikom na logowanie się bezpośrednio do hosta serwera vCenter.

Bezpieczeństwo VMware ESXi

Aby zabezpieczyć z kolei hipervisor ESXi, stosujemy następujące najlepsze praktyki:

  • Każdego hosta ESXi dodajemy do domeny Microsoft Active Directory, aby móc używać kont AD do logowania się i zarządzania ustawieniami każdego hosta.
  • Konfigurujemy wszystkie hosty ESXi tak, aby synchronizowały czas z centralnymi serwerami NTP.
  • Włączamy tryb blokady na wszystkich hostach ESXi. W ten sposób można wybrać, czy włączyć bezpośredni interfejs użytkownika konsoli (DCUI) i czy użytkownicy mogą logować się bezpośrednio do hosta, czy tylko za pośrednictwem serwera vCenter.
  • Konfigurujemy zdalne rejestrowanie dla hostów ESXi, aby mieć scentralizowany magazyn dzienników ESXi na potrzeby długoterminowego rejestru audytu.
  • Stale aktualizujemy hosty ESXi, aby ograniczyć podatności. Ataki często próbują wykorzystać znane luki w celu uzyskania dostępu do hosta ESXi.
  • Jeśli to możliwe, to pozostawiamy dostęp po SSH wyłączony (jest to ustawienie domyślne).
  • Określamy w opcjach, ile nieudanych prób logowania można wykonać, zanim konto zostanie zablokowane.
  • ESXi w wersji 6.5 i nowszych obsługuje bezpieczny rozruch UEFI na każdym poziomie stosu. Użyj tej funkcji, aby chronić przed złośliwymi zmianami konfiguracji w programie startującym system operacyjny.

Bezpieczne wdrażanie i zarządzanie

Administracje i zarządzanie środowiskiem VMware warto realizować w oparciu o następujące zasady:

  • Aktualizacja szablonów maszyn wirtualnych dzięki poprawek zabezpieczeń systemu operacyjnego gościa.
  • Wdrażanie nowych maszyn wirtualnych tylko z szablonów maszyn. Ta praktyka pomaga zapewnić, iż podstawowy system operacyjny zostanie odpowiednio wzmocniony przed zainstalowaniem aplikacji i iż wszystkie maszyny wirtualne zostaną utworzone z tym samym podstawowym poziomem bezpieczeństwa.
  • Minimalizacja używania konsoli VMware maszyny wirtualnej, ponieważ umożliwia ona użytkownikom zarządzanie energią i łączność z urządzeniami wymiennymi.
  • Wyłączenie niepotrzebnych funkcji w każdej maszynie wirtualnej, w tym komponentów systemu, które nie są niezbędne dla uruchomionej aplikacji. Można także wyłączyć napędy CD/DVD, stacje dyskietek i adaptery USB.
  • Ograniczenie dostępu do przeglądarki magazynu danych, aby uchronić się przez ingerencją w pliki obrazów VM.
  • Zablokowanie możliwości wykonywania poleceń / uruchamiania linii komend przez użytkowników maszyn wirtualnych.

Bezpieczeństwo sieci VMware

Warstwa sieci wirtualnej VMware vSphere obejmuje wiele elementów, takich jak wirtualne karty sieciowe, przełączniki wirtualne (vSwitches), VDS, porty i grupy portów. ESXi wykorzystuje te elementy do komunikacji ze światem zewnętrznym. Poniższe najlepsze praktyki pomogą zwiększyć bezpieczeństwo sieci VMware:

  • Izolacja ruchu sieciowego na podstawie typu. Można w tym celu wykorzystać wirtualne sieci LAN (VLAN).
  • Zabezpieczenie ruchu sieciowego do magazynu wirtualnego:
    • Izolacja połączeń do pamięci masowej w oddzielnych sieciach fizycznych i logicznych.
    • Używanie uwierzytelniania CHAP w środowiskach iSCSI.
    • Korzystanie z zasad bezpieczeństwa protokołu internetowego (IP Sec).
  • Używanie zapór sieciowych, aby zabezpieczyć elementy sieci wirtualnej i filtrować ruch sieciowy maszyn wirtualnych. Nie zaleca się modyfikacji domyślnych zasad serwera ESXi.

Podsumowanie

Zabezpieczanie środowiska zwirtualizowanego to skomplikowane zadanie. Przestrzeganie opisanych tutaj najlepszych praktyk dotyczących projektowania, konfigurowania i monitorowania środowiska powinno ułatwić zmniejszenie ryzyka i zapewnienie zgodności z przepisami.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Najlepsze praktyki w zabezpieczaniu środowiska VMware

Powiązane

Luki w zabezpieczeniach systemu druku Linux mogą być wykorzystywane do ataków DDoS, RCE oraz tworzenia nowego malware

Luki w zabezpieczeniach systemu druku Linux mogą być wykorzy...

22 godzin temu
Można było zhakować samochód KIA znając jedynie jego tablicę rejestracyjną. Podatny portal dealerski

Można było zhakować samochód KIA znając jedynie jego tablicę...

2 dni temu
Czy śruby od alufelg pasują do felg stalowych Ford?

Czy śruby od alufelg pasują do felg stalowych Ford?

5 dni temu
Ta przeglądarka miała „poważną” lukę w zabezpieczeniach. Oto, jak ją naprawiają

Ta przeglądarka miała „poważną” lukę w zabezpieczeniach. Oto...

6 dni temu
Wyciek nowej luki w zabezpieczeniach systemu Linux RCE przed ujawnieniem — umożliwia wykonanie dowolnego kodu za pośrednictwem harmonogramu wydruku CUPS

Wyciek nowej luki w zabezpieczeniach systemu Linux RCE przed...

1 tydzień temu
Litespeed Cache (Cykl) – tajniki zaawansowanej konfiguracji – cz.2 Presety i ustawienia ogólne

Litespeed Cache (Cykl) – tajniki zaawansowanej konfiguracji ...

1 tydzień temu
Opublikowano PoC dla krytycznej luki w zabezpieczeniach SolarWinds Web Help Desk (CVE-2024-28987)

Opublikowano PoC dla krytycznej luki w zabezpieczeniach Sola...

1 tydzień temu
Eskalacja uprawnień – CVE-2024-37726

Eskalacja uprawnień – CVE-2024-37726

1 tydzień temu
Ograniczajmy korzystanie z infrastruktury telekomunikacyjnej, z której korzystają służby ratunkowe - apelują eksperci

Ograniczajmy korzystanie z infrastruktury telekomunikacyjnej...

1 tydzień temu