Vgate руководство администратора

1. Введение
2. Функциональные возможности vGate 4.5
   1. 2.1. Ключевые нововведения
   2. 2.2. Общие возможности vGate 4.5
      1. 2.2.1. Межсетевой экран
      2. 2.2.2. Аутентификация администратора
      3. 2.2.3. Контроль целостности, защита виртуальных машин и гипервизора
      4. 2.2.4. Мониторинг событий в настоящем времени
      5. 2.2.5. Метки и шаблоны политик безопасности
      6. 2.2.6. Отказоустойчивость
      7. 2.2.7. Прочие возможности
3. Архитектура vGate 4.5
4. Системные требования vGate 4.5
5. Сценарии использования vGate 4.5
6. Выводы

Введение

Применение технологий виртуализации в современных ИТ-инфраструктурах — неотъемлемый шаг эволюции ИТ-отрасли. Создавая абстракции вычислительных мощностей изолированно от физического оборудования, виртуальные среды, к примеру, лежат в основе всех актуальных облачных сервисов.

Технологии виртуализации постоянно развиваются и обретают новые возможности и преимущества. Отметим наиболее значимые:

• Масштабирование. Устраняет дефицит классической ИТ-инфраструктуры, которая базируется непосредственно на физическом оборудовании. Позволяет как наращивать мощности, так и снижать их во время отсутствия нагрузки.
• Экономия. Добавление физического сервера в инфраструктуру требует дополнительных финансовых и временных расходов как на ввод в эксплуатацию, так и на последующее обслуживание, что параллельно увеличивает время простоя.
• Оптимизация. Гипервизор (пул виртуализированных ресурсов) позволяет равномерно распределять нагрузку между виртуальными машинами, в случае. когда по тем или иным причинам один сервер перегружен, а другой не испытывает нагрузки.
• Отказоустойчивость. Кластеризация защищает от перебоев в работе приложений, потери данных и т. д., в случае выхода из строя одного сервера в работу включается другой.

Распространение технологий виртуализации постепенно вытесняет серверное «железо». Всё чаще встречаются гибридные инфраструктуры, когда компании делают акцент на облачной модели, а локальная инфраструктура используется как резервная.

Стратегическое развитие сферы ИТ сфокусировано на виртуализации, что в целом ускоряет ИТ-процессы и придаёт им гибкость, экономит финансы и трудозатраты как бизнеса, так и поставщиков услуг, благоприятно сказывается на разработке приложений и т. д.

Новая концепция в организации инфраструктуры открывает и новые риски, связанные с обеспечением безопасности виртуальных сред. Злоумышленник, перехвативший управление гипервизором, администратор, который зачастую имеет глобальный доступ к управлению виртуальной средой, вредоносный код — всё это является потенциальными угрозами безопасности, к которым необходимо быть подготовленным.

В то время как защита виртуальной машины от вредоносного кода может быть обеспечена специализированным решением, борьба с нежелательными действиями инсайдера (администратора), который может скрыть свои следы, требует более комплексного подхода.

Продукт vGate появился на рынке в 2009 году после окончательного формирования компании «Код Безопасности», когда заказчики в целях выполнения требований регулятора акцентировали внимание на возможности реализовать механизмы защиты от несанкционированного доступа не только на уровне виртуальных машин, но и на уровне среды гипервизора.

Базовая задача и отличительная особенность платформы vGate — комплексный контроль за действиями администраторов виртуальной среды с максимально подробным и прозрачным аудитом.

Рисунок 1. Концепция платформы vGate

Вендор отмечает повышение спроса на vGate в контексте развития автоматизации управления средами виртуализации, что в целом отвечает текущим потребностям автоматизации ИТ-инфраструктур и, как следствие, ИБ-продуктов. Например, крупное предприятие имеет десятки тысяч рабочих станций и 100 системных администраторов. Без автоматизации крайне трудно достичь необходимой продуктивности работы специалистов и обеспечить надлежащую защиту.

В контексте импортозамещения заказчики всё чаще думают о миграции на отечественные продукты. И здесь вендор подчёркивает ряд сложностей: современная технология виртуализации формировалась последние 20–25 лет, а российские решения на базе KVM на данный момент значительно отстают по функциональным возможностям, показателям производительности, надёжности и т. д. — в сравнении, к примеру, с мощными возможностями ПО для виртуализации от VMware.

«Код Безопасности» выделил на отечественном рынке нескольких игроков, которые имеют потенциал развития к 2025 году: Astra Linux, «Скала^р», ALT Linux. Поддержка этих платформ уже включена в следующий релиз vGate 4.6, также в будущей версии vGate появится поддержка ROSA Linux и Ubuntu. В целом, по данным свежего опроса вендора, 20 % заказчиков не собираются мигрировать с VMware на что-то другое.

Мы уже публиковали подробный обзор vGate 4.1 на сайте Anti-Malware.ru, а также делали обзоры предыдущих релизов vGate 2.5 и vGate R2. Продукт постоянно эволюционирует и развивается; отметим новые функциональные возможности vGate 4.5.

Функциональные возможности vGate 4.5

Ключевые нововведения

1. Веб-консоль. Акцент на переход от консоли управления на базе программы-приложения под Windows в сторону веб-консоли. Это значительно расширяет возможности эксплуатации продукта, так как нет привязки к операционной системе АРМ администратора. Также веб-технологии обеспечивают больше возможностей для межсетевого экрана и интерактивных виджетов. В следующей версии vGate 4.6 практически все функции будут перенесены в веб-панель. Установка vGate также значительно упрощается при таком подходе.
2. Работа с VMware Cloud Director. Полноценная поддержка контроля критически важных операций на портале VMware Cloud Director, совместимость с которым была реализована в предыдущих версиях. Обеспечивается мандатный механизм разграничения доступа, метки (иерархические и неиерархические) назначаются как организациям, так и администраторам провайдера услуг виртуализации, что позволяет vGate запрещать или разрешать операции облачной платформы.
3. Сертификация межсетевого экрана. Для прохождения сертификации ФСТЭК России и получения статуса межсетевого экрана реализованные функции сегментирования vGate были дополнены в версии 4.5: обеспечен контроль состояния соединений (Stateful Packet Inspection) посредством веб-консоли, а также реализован контроль прикладных протоколов.
4. Безагентный контроль. По результатам текущего исследования компании «Код Безопасности» (готовится вендором к публикации) выяснилось, что заказчику важно исключить любое влияние на работу среды виртуализации и обеспечить максимальную стабильность работы СЗИ. VMware vCenter Server (версии 7.01 и выше) теперь не требует установки агента vGate для контроля операций, что отвечает политике VMware, которая не допускает установку стороннего ПО на сервер и отказывает в техподдержке в случае обнаружения постороннего приложения. Это же нововведение ускоряет развёртывание платформы в целом.
5. Веб-аутентификация администратора. В дополнение к приложению для безопасной аутентификации администратора vGate под ОС Windows в vGate 4.5 реализован механизм доступа администратора к виртуальной инфраструктуре через веб-интерфейс браузера, что исключает привязку к операционной системе АРМ администратора.
6. Упрощённый контроль работы с логами. Быстрое управление уровнем логирования теперь производится из веб-консоли. Нововведение было реализовано по просьбе заказчиков и специалистов службы поддержки вендора, так как рутинные операции для сбора необходимых логов занимали много времени у обеих сторон.

Отметим, что межсетевой экран vGate 4.5 уровня гипервизора закрывает ряд проблем в следующих областях:

• Отказоустойчивость. Текущие механизмы отказоустойчивости файрволов для работы кластеров сформированы для «железа», но в виртуальной среде сетевой экран имеет ограничения, нередко приводящие к конфликтам внутри периметра сети из-за неправильной конфигурации. vGate 4.5 обеспечивает стабильную работу файрвола на уровне виртуальных машин.
• Влияние и зависимость от защищаемой сети. Среда виртуализации формирует динамичную и гибкую сетевую инфраструктуру. При развёртывании файрвола на уровне ВМ зачастую приходится менять топологию сети. vGate никак не участвует в работе защищаемой сети, что исключает потенциальные проблемы в случае ошибок сетевой конфигурации. К примеру, ВМ может быть перенесена на другой хост или в другую сеть, конфигурация vGate-файрвола мигрирует вместе с ВМ и применяется автоматически.
• Идентификаторы виртуальных машин. Файрвол в виде приложения ВМ зачастую работает только с IP-адресами, тогда как в виртуальной среде IP-адрес не является ключевым идентификатором. Существуют риски, что IP-адрес может быть подделан. vGate работает в том числе с именами, понимает группы и объединения виртуальных машин по тому или иному признаку.

Рисунок 2. Пример схемы сегментации виртуальной сети с помощью vGate 4.5

Общие возможности vGate 4.5

Все функции платформы из нашего предыдущего обзора vGate 4.1 сохранились, некоторые были оптимизированы; отметим все актуальные основные возможности.

Межсетевой экран

Позволяет организовать централизованное управление правилами фильтрации во всей виртуальной инфраструктуре.

Рисунок 3. Пример списка правил фильтрации трафика в vGate

Правила фильтрации настраиваются гранулярно без установки агента на гостевую ОС. Новые машины могут автоматически добавляться в соответствующие сегменты сети.

Также отметим, что оперирование происходит на уровне ВМ и их групп, реализованы механизмы безопасной миграции виртуальных машин, не требуются дополнительные ВМ для обработки пакетов. При этом отсутствует единая точка отказа, реализован подробный аудит запрещённых / разрешённых пакетов, не требуется наличие NSX / vShield, нет требований к редакциям платформ.

Также с помощью vNETWORK происходит управление сегментацией виртуальной инфраструктуры.

Рисунок 4. Пример схемы сегментации виртуальной среды в vGate 4.5

В vGate обеспечена возможность выделять группы ВМ (сегменты). Все операции поддерживаются как на уровне конкретной ВМ, так и на уровне сегментов. Добавление ВМ в сегмент может происходить в автоматическом режиме. В случае миграции ВМ правила фильтрации сохраняются, что обеспечивает более глубокую интеграцию со средой виртуализации и повышает безопасность.

Аутентификация администратора

vGate поддерживает встроенные роли: администратор ВМ, администратор сети, администратор СХД, пользователь ВМ, аудитор.

Реализована безопасная аутентификация посредством JaCarta, «Рутокена», а также веб-аутентификация без установки агента, как отмечалось выше.

vGate имеет возможность установки агента безопасной аутентификации на следующие ОС:

• Windows 8.1 x86, x64;
• Windows 10;
• Windows Server 2012 R2 / 2016 / 2019.

Контроль целостности, защита виртуальных машин и гипервизора

Целостность компонентов ВМ обеспечивается контролем процессора, ОЗУ, подключённых дисков, сетевых интерфейсов и т. д. При изменении конфигурации ВМ применяется принцип двух персон: изменение не вступит в силу, пока не будет получено подтверждение от администратора службы ИБ.

Защита организована как запрет на создание снапшотов, клонирования ВМ. Также контролируются все подключаемые устройства, доступ к консоли ВМ и скачивание файлов. Поддерживается гарантированное удаление информации из хранилища.

Отметим, что защита гипервизора включает в себя и другие возможности, такие как активация режима блокировки хоста, запрет подключения USB-устройств к хосту, запрет SSH-подключения к хосту, настройка журналирования ВМ, контроль используемых на хосте приложений и контроль разделения управляющей и «рабочей» сетей.

Мониторинг событий в настоящем времени

vGate собирает, нормализует и фильтрует данные о событиях, происходящих в виртуальной инфраструктуре, в режиме реального времени.

Рисунок 5. Мониторинг событий в режиме настоящего времени в vGate 4.5

В контексте возможностей мониторинга важно отметить, что обеспечена работа в гетерогенных виртуальных инфраструктурах. Используются встроенные шаблоны правил корреляции, выполняется корреляция событий, в том числе и с событиями самого vGate, а также контроль осуществляемых в обход сервера авторизации vGate действий. Имеется возможность создания отчётов в обновлённом веб-интерфейсе; интерактивные виджеты дают возможность быстро вызвать события аудита с заданной фильтрацией щелчком по диаграмме.

Метки и шаблоны политик безопасности

Политики безопасности в vGate объединяются в шаблоны (встроенные или пользовательские). Можно применить шаблоны политик к серверу виртуализации, виртуальной машине, физическому сетевому интерфейсу или группе объектов.

Приведём примеры встроенных шаблонов стандартизированных политик безопасности:

• VMware vSphere Security Configuration Guide.
• ГОСТ 57580.1-2017 «Защита информации финансовых организаций».
• Обеспечение безопасности значимых объектов КИИ (приказ ФСТЭК России № 239).
• Приказ ФСТЭК России № 21 (ИСПДн).
• Приказ ФСТЭК России № 17 (ГИС).
• ГОСТ Р 56938-2016.
• РД АС.
• СТО БР ИББС.
• PCI DSS.
• CIS Benchmarks.
• VMware vSphere Security Conf.

Метки (неиерархические — категории конфиденциальности, иерархические — уровни конфиденциальности) и правила могут назначаться группам пользователей в соответствии со структурой Microsoft Active Directory.

Метки могут применяться к серверу виртуализации, хранилищу, виртуальной машине, физическому сетевому интерфейсу, виртуальной сети, пользователю, а также к организации VMware Cloud Director.

Отказоустойчивость

Обеспечивается поддержкой VMware vCenter SRM, vCSA HA, vCenter Linked Mode. Отметим возможность кластеризировать сервер авторизации vGate. Также поддерживается VMware Auto Deploy.

Прочие возможности

Отчётность. vGate 4.5 имеет 28 типов отчётов, разделённых по группам: топ-листы (статистика), настройки, аудит, соответствие стандартам защиты.

Интеграция с SIEM и другими системами. Отправка событий по безопасности во внешние системы производится по протоколу Syslog. События можно подробно настроить перед отправкой на Syslog-сервер. Также необходимые события можно отправлять на адрес электронной почты по протоколу SMTP.

Поддержка REST API. Можно обеспечить взаимосвязь с другими системами и расширить возможности автоматизации платформы.

Поддержка платформ виртуализации и их компонентов: VMware (vSphere 7.0 / 6.7 / 6.5).

Архитектура vGate 4.5

Архитектура платформы несколько изменилась с момента выхода предыдущей версии нашего обзора, была расширена и оптимизирована.

Рисунок 6. Схема организации защиты виртуальной среды в vGate 4.5

vGate 4.5 состоит из следующих модулей.

Сервер авторизации организует работу по управлению платформой: обеспечивает авторизацию администраторов, контролирует права доступа, проводит аудит безопасности доступа. Резервный сервер авторизации реплицирует данные, хранит настройки пользователей и включается в работу при сбое основного сервера.

Агент аутентификации устанавливается на рабочую машину администратора. Кроме того, как мы отметили выше, в vGate 4.5 реализована безопасная аутентификация пользователя через веб-интерфейс. Имеется механизм, который контролирует целостность компонентов агента аутентификации.

Модули защиты ESXi-сервера обеспечивают доверенную загрузку и контроль целостности ВМ, модулей и настроек vGate, а также файлов конфигурации ESXi-сервера. Поддерживается регистрация событий по безопасности.

Компонент защиты vCenter (vCSA) обеспечивает защиту от НСД внутри сети администрирования (так же как и компонент защиты PSC) и управляет фильтрацией входящего трафика.

Консоль управления обеспечивает централизованное администрирование платформы. Она позволяет настраивать все политики безопасности и защиту гипервизоров, контролирует инциденты. Здесь же доступны управление учётными записями пользователей и компьютеров, назначение прав доступа к защищаемым объектам, установка и настройка компонентов защиты ESXi-серверов и серверов vCenter, просмотр журналов регистрации событий и т. д.

Веб-консоль позволяет настроить правила фильтрации сетевого трафика, осуществлять мониторинг событий по безопасности в настоящем времени. Централизованное управление vGate также происходит посредством веб-консоли.

Сервер мониторинга осуществляет сбор и корреляцию всех событий виртуальной инфраструктуры.

Сервер анализа исследует сетевой трафик виртуальных машин в рамках бета-тестирования функции «Контроль прикладных протоколов».

Также отметим, что VMware vCenter Server (версии 7.01 и выше) не требует установки агента vGate 4.5 для контроля операций.

vGate 4.5 поставляется в трёх редакциях: «Standard», «Enterprise» и «Enterprise Plus». vGate Enterprise и Enterprise Plus представляют собой расширенные версии vGate Standard и содержат дополнительные функциональные возможности для защиты виртуальной инфраструктуры.

Подробная сравнительная таблица всех редакций доступна на сайте вендора.

Системные требования vGate 4.5

Таблица 1. Требования к аппаратному и программному обеспечению

Развёртывание vGate с каждой новой версией упрощается и крайне подробно описано в руководстве пользователя, также вендор обеспечивает справочную поддержку технической документацией в случае возникновения неисправностей как при установке, так и при последующей эксплуатации платформы.

Также на портале производителя можно воспользоваться калькулятором для понимания ориентировочной стоимости продукта. Финальная стоимость формируется индивидуально согласно конкретным потребностям заказчика.

Сценарии использования vGate 4.5

Рассмотрим все описанные выше функциональные возможности на практике и выделим новые особенности работы платформы vGate 4.5.

Рисунок 7. Бесклиентская аутентификация администратора платформы vGate 4.5

На иллюстрации выше показан пример работы аутентификации для системного администратора через веб-интерфейс, а не только посредством приложения, как это было в предыдущих версиях.

Рисунок 8. Раздел «Правила доступа» в vGate 4.5

Настройка конфиденциальности для сервера авторизации производится в разделе «Правила доступа». В нашем примере пользователю настроено правило авторизации через веб-интерфейс без конфиденциального ключа («Анонимный»).

Выполним операцию на сервере управления vCenter, например активируем виртуальную машину, и проверим раздел «Журнал событий».

Рисунок 9. Раздел «Журнал событий» в vGate 4.5

В таблице учёта всех событий мы видим нашу операцию, а более подробные данные (опция «Свойства») показывают, какой пользователь, на каком сервере, в какое время и с какой машины совершил операцию.

При этом в нашем примере агента vGate на центральном сервере vCenter нет. Рассмотрим ещё один пример контроля операций.

Рисунок 10. Заблокированная операция в «Журнале событий» в vGate 4.5

Если виртуальная машина имеет метку «для служебного пользования», а пользователь авторизовался «неконфиденциально», как в нашем примере, то любая операция — включая запуск машины — будет заблокирована, что тоже отобразится в «Журнале событий» со всеми подробностями.

События из журнала могут быть экспортированы в CSV-файл.

Рисунок 11. Создание набора политик в разделе «Политики безопасности» в vGate 4.5

Политики безопасности в vGate назначаются объектам. Набор политик формируется из предустановленных шаблонов, которые периодически обновляются. Например, в их число входят PCI DSS v3.2 и VMware 7 SCG. Есть и готовые шаблоны по текущим требованиям регулятора: банковские ГОСТы, персональные данные, КИИ и т. д.

Политики имеют как дополнительные опции более тонкой настройки, так и обязательные параметры, когда необходимо задать сервер, указать путь к каталогу и пр. Без обязательных настроек сохранить набор политик нельзя. Далее созданный набор можно назначать хостам или группам объектов.

В следующих версиях вендор реализует возможность назначения политик на сам сервер авторизации для автоматизации настроек vGate.

Рисунок 12. Раздел «Отчёты» в vGate 4.5

Платформа vGate обрабатывает все события и формирует подробные отчёты, распределяя их по соответствующим разделам.

Рисунок 13. Раздел «Учётные записи» в vGate 4.5

В разделе «Учётные записи» создаются и удаляются пользователи vGate, администраторы виртуальной инфраструктуры или информационной безопасности. Гранулирование доступа тонко настраивается в зависимости от целей.

Опция «Только чтение» применяется для организации безопасного просмотра или аудита состояния инфраструктуры.

Пользователь также может быть импортирован в vGate по протоколу LDAP с последующими настройками привилегий.

Во всех разделах табличного типа реализована сортировка данных по заголовку и поддерживается быстрая фильтрация.

Рисунок 14. Раздел «Соответствие политикам» в vGate 4.5

Раздел «Соответствие политикам» представляет собой сканер, который оценивает то, насколько настройки хостов отвечают тому или иному стандарту безопасности. Для примера мы проверили три хоста на соответствие политике «ИСПДн уровень 3».

В результате ни один из хостов не прошёл проверку, но мы видим рекомендации, которые следует выполнить для получения «зелёного» статуса.

Рисунок 15. Раздел «Сегментирование — ESXi-серверы» в vGate 4.5

Создание и активация компонентов фильтрации на хостах для управления микросегментированием производится в подразделе «ESXi-серверы». Компонент фильтрации в нашем примере уже активирован, включим контроль состояния соединений.

Рисунок 16. Раздел «Сегментирование — Виртуальные машины» в vGate 4.5

Отображаются все виртуальные машины, которые находятся за межсетевым экраном. Добавим ещё одну ВМ из списка, в котором представлены все машины с активным компонентом фильтрации.

Рисунок 17. Раздел «Сегментирование — Правила фильтрации» в vGate 4.5

Мы видим в таблице машины и настроенные опции правил фильтрации: протоколы, порты, отправитель, получатель и т. д.

В нашем примере разрешено взаимодействие по протоколу ICMP между обеими ВМ, и эти машины друг друга пингуют. Специфические протоколы добавляются по номеру, трафик можно логировать. Есть также возможность указать конкретную службу и задать более тонкие настройки по необходимости.

В качестве источника может выступать ВМ, сегмент сети, IP-адрес, MAC-адрес, диапазон IP-адресов или подсеть. Наличие источников «виртуальная машина» и «сегмент сети» отличает vGate от классического файрвола.

Рисунок 18. Раздел «Сегментирование — Службы» в vGate 4.5

В табличном виде отображаются соответствия между протоколами и портами. При необходимости можно создать и добавить индивидуальную службу.

В подразделе «Активные сессии» представлены все данные о трафике, который шёл по созданным правилам фильтрации: порт, протокол, сетевые сегменты источника и назначения и т. д. Данные обновляются динамически.

В режиме бета-тестирования в vGate 4.5 работает подраздел «Правила контроля прикладных протоколов».

Рисунок 19. Раздел «Мониторинг — Правила корреляции» в vGate 4.5

Сервер мониторинга vGate поставляется в виде шаблона и получает события от сервера vCenter. Инцидент может быть сформирован двумя путями.

Первый вариант — на основе созданного шаблона: например, если на защищаемом контуре произошло удаление более трёх ВМ, то это инцидент.

Второй вариант — на основе правил корреляции (в обход vGate), когда происходит сопоставление событий. Если кто-то совершил любое действие с виртуальной машиной, то сервер мониторинга об этом узнает, проверит запись на сервере vCenter и сделает выводы о легитимности события.

В нашем примере мы создали демоправило корреляции: запуск виртуальной машины, интервал — 1 секунда, средняя степень критической значимости.

Рисунок 20. Раздел «Мониторинг — Инциденты» в vGate 4.5

Сформирован инцидент на основе созданного правила корреляции. По каждому инциденту можно просмотреть подробные данные: время, хост, событие и т. д. Также можно пометить инцидент как «отработанный».

Cписок инцидентов может быть экспортирован в формат CSV.

Рисунок 21. Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

Панель мониторинга формируется пользователем индивидуально из большого набора виджетов. В следующей версии вендор расширит возможности визуализации событий.

Рисунок 22. Раздел «Мониторинг — Панель мониторинга» в vGate 4.5

Все виджеты интерактивны, можно быстро считать данные и по щелчку перейти в соответствующий раздел для получения более подробной информации.

В нашем примере видим правило «ping_test», количество — 3888. Это мы пинговали виртуальные машины на основе созданного правила фильтрации в разделе «Сегментирование».

Выводы

vGate версии 4.5 имеет полноценный межсетевой экран на уровне гипервизора, который обеспечивает фильтрацию трафика между виртуальными машинами и при этом никак не влияет на топологию сетевого периметра. Подобных файрволов уровня гипервизора на рынке РФ на данный момент нет.

vGate собирает и обрабатывает широкий поток данных по категориям, формируя богатую отчётность, что позволяет проводить расследования инцидентов в безопасности и выполнять регулятивные требования.

vGate официально находится в реестре отечественного ПО и имеет сертификат ФСТЭК России № 2308 (4-й уровень доверия, 5-й класс защищённости СВТ, тип «Б», 4-й класс защищённости межсетевых экранов).

Техническая поддержка vGate может осуществляться как напрямую, силами специалистов компании «Код Безопасности», так и через авторизованных партнёров. При этом вендор поставляет объёмную документацию по продукту и имеет мощную онлайн-базу знаний, которая позволяет закрыть большинство проблем, если таковые возникли при установке или эксплуатации платформы.

Достоинства:

• Межсетевой экран уровня гипервизора.
• Тонкая микросегментация виртуальной инфраструктуры.
• Гибкая настройка интерактивной панели мониторинга событий в настоящем времени.
• Контроль жизненного цикла ВМ.
• Экспорт событий в SIEM / SOAR по протоколу Syslog.
• Автоматизация защиты согласно текущим требованиям регулятора. Поддержка REST API усиливает возможности автоматизации.
• Зрелый продукт с широкими функциональными возможностями, подходит малому, среднему и крупному бизнесу. Доступны портал технической поддержки и мощная база знаний по продукту, подробная документация.
• Сертифицирован ФСТЭК России.

Недостатки:

• Сервер управления работает только под OC Windows.
• Нет поддержки платформ виртуализации на базе KVM (будет реализована в следующем релизе).

Продолжаем вас знакомить с решением vGate R2 от компании Код Безопасности, предназначенным для защиты виртуальной инфраструктуры Hyper-V от несанкционированного доступа, а также для ее безопасной настройки средствами политик. В этой статье мы расскажем о том, как правильно настроить локальную сеть в соответствии с рефернсной архитектурой vGate, а также установить продукт с использованием различных конфигураций (способы маршрутизации и варианты развертывания с основным и резервным сервером).

Перед установкой сервера авторизации vGate R2

Чтобы обеспечить надежный уровень защиты, необходимо до установки компонентов vGate R2 выполнить конфигурирование сети, руководствуясь следующими правилами:

• Сеть администрирования виртуальной инфраструктуры и сеть виртуальных машин рекомендуется отделить от остальных сетей ИТ-инфраструктуры.
• Если в виртуальной инфраструктуре используются функции динамической миграции (Live Migrations) и репликации, то рекомендуется организовать отдельную сеть репликации виртуальных машин, отделив ее от сетей администрирования и сетей виртуальных машин.
• Если данные виртуальных машин хранятся за пределами серверов Hyper-V в отдельной системе хранения, то рекомендуется создать сеть передачи данных на основе технологии Ethernet (iSCSI) или SMB 3.0. При необходимости сеть передачи данныхи сеть репликации виртуальныхмашин могут быть совмещены.

Для работы в сети, сконфигурированной таким образом, серверы Hyper-V должны иметь необходимое число независимых Ethernet-интерфейсов.

Если вы будете вводить сервер авторизации в домен Active Directory, выполните следующие рекомендации:

• Не размещайте контроллер домена внутри защищаемого периметра виртуальной инфраструктуры.
• Сервер авторизации не поддерживает автоматическую смену паролей для служебных учетных записей vGate в домене Windows. Поэтому необходимо создать отдельное организационное подразделение (Organization Units — OU), в котором будут размещаться такие учетные записи, и отключить для него автоматическую смену паролей.
• Для этого:
  • назначьте данному OU групповую политику, в которой в ветви «Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity Options"
  • присвойте параметру «Domain member: Disable machine account password changes» значение «Enabled» или параметру «Domain member:maximum machine accountpassword age» — значение «999 days«. Данное OU выбирается на определенномшаге установки сервера авторизации.

Перед конфигурированием локальной сети вам, возомжно, потребуется дополнительно ознакомиться с документацией к продукту Microsoft Hyper-V.

Итак, возможно несколько вариантов развертывания решения vGate R2 в локальной сети.

1. Сервер vGate выступает как маршрутизатор трафика из внешней сети администрирования (рабочие места администраторов, а также DNS-серверы, контроллеры домена и т.п.):

2. Во втором варианте развертывания для маршрутизации используется отдельное решение (аппаратный защищенный маршрутизатор), а сервер авторизации vGate включается в сеть администрирования виртуальной инфраструктуры:

Настройка маршрутизации между подсетями

После конфигурирования локальной сети обязательно нужно настроить маршрутизацию между подсетями (внешняя сеть администрирования и внутренняя, где расположены хосты Hyper-V), а также убедиться в наличии доступа с рабочих мест администраторов Hyper-V к элементам управления виртуальной инфраструктурой. Только после этого можно приступать к установке и настройке компонентов vGate.

В таблице приведены варианты настройки маршрутизации:

Вариант	Особенности настройки
Использование стороннего маршрутизатора	На рабочих местах АВИ в качестве шлюза по умолчанию указывают маршрутизатор, уже существующий во внешнем периметре администрирования предприятия.
Использование сервера авторизации в качестве шлюза	На всех рабочих местах администраторов Hyper-V в качестве шлюза по умолчанию следует указать IP-адрес внешнего сетевого адаптера сервера авторизации. На всех компьютерах защищаемого периметра (серверах Hyper-V) в качестве шлюза по умолчанию следует указать IP-адрес адаптера защищаемого периметра сервера авторизации.
Получение маршрута с сервера авторизации	На всех компьютерах защищаемого периметра (серверах Hyper-V) в качестве шлюза по умолчанию следует указать IP-адрес адаптера защищаемого периметра сервера авторизации. В консоли управления следует настроить получение маршрута к защищенной сети с сервера авторизации (см. ниже под таблицей). В этом случае на рабочих местах АВИ маршрут к защищенной сети добавляется с сервера авторизации в момент запуска службы аутентификации vGate, после чего маршрут записывается в локальную таблицу маршрутизации ПК.

Для добавления маршрута к защищенной сети (последний вариант настройки маршрутизации):

• В консоли vGate R2 откройте группу параметров «Дополнительные настройки».
• В области параметров нажмите кнопку-ссылку «Настроить» рядом с заголовком «Настройки сети, контроля доступа и лицензирования». На экране появится диалог для настройки дополнительных параметров.
• Отметьте поле «Добавлять на клиенте маршрут к защищенной сети» и наж-
  мите кнопку «ОК».

Если предполагается использование конфигурации с резервным сервером авторизации, то DNS-сервер рекомендуется разместить во внешней сети. Кроме того, в DNS необходимо настроить псевдоним (CNAME), указывающий на основной сервер. В этом случае при установке агентов аутентификации необходимо будет указывать псевдоним (CNAME) основного сервера.

Во время установки сервера авторизации vGate R2

Установка и последующая работа сервера авторизации vGate различаются в зависимости от рассмотренного выше способа маршрутизации управляющего трафика между внешним и защищаемым периметрами сети администроирования:

• С помощью существующего маршрутизатора в сети.
  Режим не требует реконфигурации существующей сети и предусматривает наличие во внешней сети администрирования сертифицированного межсетевого экрана (маршрутизатора), фильтрующего сетевой трафик к защищаемым серверам. На маршрутизаторе необходимо закрыть доступ с рабочих мест администратора виртуальной инфраструктры (АВИ) и администратора информационной безопасности (АИБ, он же администратор vGate) в защищаемую подсеть или к серверам по отдельности и разрешить доступ к серверу авторизации.
• Через сервер авторизации vGate.
  При выборе этого способа защищаемые серверы должны быть расположены в отдельной подсети. На всех компьютерах защищаемого периметра (серверах Hyper-V) в качестве шлюза по умолчанию следует указать IP-адрес
  адаптера защищаемого периметра сервера авторизации. На всех рабочих местах АВИ в качестве шлюза по умолчанию следует указать IP- адрес сетевого адаптера сервера авторизации во внешней сети. При выборе данного режима не требуется дополнительная настройка маршрутизатора.

На компьютере, предназначенном для сервера авторизации vGate, необходимо предварительно установить компонент Microsoft Visual C++ 2005 Redistributable. Для этого запустите с установочного диска из каталога RedistributablesMicrosoft Visual C++ 2005 Redistributable файл vcredist_x86.exe и следуйте указаниям мастера установки.

Примечание. Если на компьютере, предназначенном для сервера авторизации vGate, эксплу-
атируется ПО Security Studio Endpoint Protection (SSEP), то перед началом установки необходимо
отключить брандмауэр SSEP.

————————-

Важно! Если предполагается использование Active Directory, необходимо ввести компьютер, предназначенный для сервера vGate, в домен. Если компьютер сервера авторизации был добавлен в домен после установки ПО vGate, то необходимо добавить этот домен в список доверенных доменов в консоли управления vGate.

Для этого уже после установки vGate откройте группу параметров «Дополнительные настройки». В области параметров нажмите кнопку-ссылку «Настроить» рядом с заголовком «Доверенные домены».

На экране появится диалог для добавления и удаления доверенных доменов:

————————-

Установка при использовании маршрутизатора

Настройте на компьютере, предназначенном для сервера авторизации, одно соединение локальной сети.

Далее запустите установку и выберите способ маршрутизации трафика «С помощью существующего маршрутизатора в сети»:

Затем укажите IP-адрес адаптера 1 сервера авторизации, через который будут проходить маршруты в защищаемый периметр и из него:

Если учетная запись данного компьютера входит в домен Windows, на одном из следующих шагов появится следующий диалог (если же используется учетная запись локального администратора,то на экране появится сообщение об ошибке «Не удалось поключиться к службе каталогов». Поле выбора контейнера для учетных записей vGate будет пустым, а кнопка «Обзор» недоступна):

Укажите организационное подразделение (OU), созданное при конфигурировании локальной сети (см. выше) для хранения служебных учетных записей vGate.

Отметьте пункт «Интеграция с Microsoft Active Directory не требуется», если не планируется аутентификация в vGate с указанием учетных данных пользователей из домена Windows.

Если учетная запись администратора не обладает правами группы Account Operators, то в процессе установки будет предложено ввести данные учетной записи, обладающей такими правами. В противном случае установка будет прекращена.

Установка для работы без отдельного маршрутизатора

Настройте на компьютере, предназначенном для сервера авторизации, два соединения локальной сети.

Выберите способ маршрутизации трафика «Маршрутизацию осуществляет сервер авторизации vGate»:

Укажите сетевые параметры сервера авторизации из таблицы выше:

На экране появится диалог указания подсетей защищаемого периметра:

Если защищаемый периметр состоит из нескольких сетей, укажите их IP-адреса в текстовом поле, используя запятую в качестве разделителя:

Таким образом, передача данных внутрь защищаемого периметра будет разрешена только в том случае, если IP-адрес назначения соответствует одной из указанных подсетей.

Установка с резервным сервером авторизации vGate

Настройте на компьютере, предназначенном для основного сервера авторизации, два соединения локальной сети:

При отсутствии отдельного адаптера для сети резервирования (адаптер 2) можно присоединить IP-адрес для резервирования (172.28.1.2) к адаптеру 1 (сеть администрирования инфраструктуры) в качестве дополнительного адреса.

Затем настройте на компьютере, предназначенном для резервного сервера авторизации, два соединения локальной сети.

Затем в мастере установки выберите для установки компонент «Резервирование конфигурации». Для этого нажмите мышью на значок слева от названия компонента и в раскрывшемся меню выберите пункт «Будет установлен на локальный жесткий диск»:

После установки сетевого адаптера в защищаемой подсети (см. выше), так как компонент «Резервирование конфигурации» был выбран для установки, на экране появится диалог настройки параметров репликации:

Выберите роль сервера авторизации «Основной сервер», укажите IP-адрес этого сервера, используемый для резервирования, и нажмите кнопку «Далее». На экране появится диалог настройки параметров резервного сервера:

Укажите параметры репликации для резервного сервера авторизации, используя следующие параметры:

После завершения установки основного сервера, приступаем к установке резервного сервера авторизации.

На соответствующем шаге установки vGate укажите IP-адрес сетевого адаптера резервного сервера авторизации и нажмите кнопку «Далее». На экране появится диалог настройки параметров репликации:

Выберите роль сервера авторизации «Резервный сервер», укажите IP-адрес этого сервера, используемый для резервирования, и нажмите кнопку «Далее».

На экране появится диалог настройки параметров основного сервера:

Укажите параметры репликации для основного сервера авторизации, используя следующие параметры:

Ну и, собственно, после этого начнется установка резервного сервера vGate. По завершении установки резервного сервера, настройка инфраструктуры vGate будет завершена и можно будет приступать к его эксплуатации.

Содержание

• — Какие приложения работают с vgate iCar pro?
• — Что такое vgate iCar pro?
• — Как вы подключаетесь к приложению Torque?
• — Как мне подключиться к vgate?
• — VGate работает с BimmerCode?
• — Какой лучший сканер OBD2?
• — BimmerCode работает с Карли?
• — Сколько стоит Jscan?
• — Как подключить сканер vgate к iPhone?
• — Есть ли приложение Torque для iPhone?
• — Как мне подключиться к Torque Pro?
• — Какое приложение OBD лучше всего?

РАБОТАЕТ МНОГИЕ ПОПУЛЯРНОЕ ПРИЛОЖЕНИЕ OBD2 — Устройство Vgate iCar Pro Bluetooth Low Energy работает с большинством популярных приложений OBD (например, OBD Fusion, Torque Pro, Автомобильный сканер ELM OBD2, так далее.).

Что такое vgate iCar pro?

Двумя наиболее популярными приложениями OBDII, которые Vgate считает совместимыми, являются Fusion и Torque Pro. … Vgate iCar Pro работает со всеми автомобилями, совместимыми с OBDII и EOBD и совместим со всеми протоколами связи OBDII. Транспортные средства OBDII включают все автомобили 1996 года и более поздние в США (1998 год в Канаде).

Как вы подключаетесь к приложению Torque?

Как инструкции:

1. В Torque зайдите в «Настройки». Обновление этих 2 настроек:
2. Нажмите «Подключение» и выберите «Bluetooth» или «WIFI», как показано ниже …
3. Нажмите «Устройство» и выберите имя подключенного сигнала ELM327 Bluetooth / WIFI. …
4. Теперь принудительно закройте Torque через «Диспетчер задач» на вашем устройстве Android. …
5. Вот и все.

Как мне подключиться к vgate?

Подключение с «Vgate Wi-Fi »(iOS и Android)

Включите Wi-Fi на устройстве iOS или Android. Откройте настройки WiFi на устройстве iOS или Android и соединять в сеть «V-LINK». Откройте приложение BimmerCode и проверьте «Vgate iCar WiFi »выбрано для« Адаптера »в настройках.

VGate работает с BimmerCode?

Да, вы должны покупать только те устройства, которые рекомендованы на сайте BimmerCode. Блок VGate не будет работать с новым кодом. 1 из 1 считает это полезным.

Какой лучший сканер OBD2?

Лучший сканер OBD2 и считыватель автомобильных кодов 2021 года

• HyperTough HT309 OBD2. …
• Autel AutoLink AL329. …
• Actron CP9600 U-Scan OBDII и инструмент сканирования интерфейса беспроводного смартфона CAN. …
• FIXD Диагностический прибор автомобиля. …
• Сканер Autel MaxiAP AP200M OBD2 Bluetooth. …
• Запустите сканер CRP123X Elite OBD2.

BimmerCode работает с Карли?

Карли v2. 0 iOS Wi-Fi адаптер можно использовать только с Carly и никакими другими приложениями, согласно их часто задаваемым вопросам. Я выбрал Veepeak OBDCheck BLE + для Bimmercode, который был вдвое дешевле адаптера Carly и работает как с iOS, так и с Android (и другими приложениями OBD2, как уже отмечалось).

Сколько стоит Jscan?

Приложение можно загрузить бесплатно, но вы должны заплатить 18,99 долларов США для один номер Vin, или вы можете приобрести лицензию на 3 или 5 номеров Vin.

Как подключить сканер vgate к iPhone?

Настройка подключения Bluetooth 4.0 (LE) на iPhone / iPad

1. Шаг 1: Запустите Car Scanner и перейдите в Настройки (щелкните значок шестеренки в правом верхнем углу).
2. Шаг 2. Выберите «Подключение».
3. Шаг 3: Выберите «Тип подключения»: Bluetooth 4.0 (LE)
4. Шаг 4: Нажмите кнопку «Выбрать устройство».

Есть ли приложение Torque для iPhone?

О OBD2 крутящий момент Pro для айфона

OBD2 Torque Pro работает на iOS 12.1. 2 и выше. Текущая версия программного обеспечения — 6.0, и вы можете запускать ее на английском и немецком языках.

Как мне подключиться к Torque Pro?

Откройте приложение Torque Pro. На панели уведомлений Android должно отображаться «Torque Connected», указывая на то, что приложение подключено к ЭБУ. Если он не подключается автоматически, перейдите к Настройки Torque Pro — OBD2 настройка адаптера — и выберите устройство OBD Bluetooth.

Какое приложение OBD лучше всего?

Лучшие приложения OBD2 для Android / iOS

• Torque Pro (OBD2 и автомобиль) Torque Pro — это приложение OBD2 Bluetooth, которое многие владельцы автомобилей высоко оценивают как лучшее приложение OBD2 для Android, более 1 000 000 загрузок. …
• OBD Auto Doctor. …
• InCarDoc Pro. …
• Автомобильный сканер ELM OBD2 App. …
• EOBD Facile. …
• ХобДрайв. …
• OBDeleven. …
• Dash — умное управление.

Интересные материалы:

В Titanfall 2 полно ботов?
В томатном соке много сахара?
В твоем самом лучшем смысле?
V8 — это томатный сок?
Валь и Мозер — одно и то же?
Вам больше подходит безалкогольное пиво?
Вам действительно нужен 8-ядерный процессор?
Вам действительно нужен зажим для дюбелей?
Вам действительно нужно 5 лезвий на бритве?
Вам действительно нужно 72% NTSC?