- Запрет контроля устройств ESXi-сервера со стороны виртуальных машин. В общем, чтобы пользователи не отсоединяли\присоединяли CD-ROM, сетевые адаптеры и не меняли их параметры (включить\выключить) это надо запретить. Запрещается на уровне vm. Т.к. в моей тестовой инфраструктуре только две vm, буду делать вручную, не заморачиваясь на автоматизации. Можно править вручную *.vmx, а можно через vSphere Client:
- Предотвращение шпионажа других пользователей на администраторских удаленных консолях. По сути, защита от "подглядывания", технически - ограничение подключений удаленной консоли. Идем проверенным в предыдущем пункте способом:
- Настройка безопасности для виртуальных коммутаторов. К сожалению, полноценно выполнить все требования данного пункта в моей тестовой среде я не могу. Флаг "Соответствует" я не получу :(. А суть требования заключается в:
- изоляции трафика: управления, vMotion, IP трафика файловых хранилищ.
- контроль за доступом к сети управления.
- запрет смешанного режима работы для виртуального коммутатора.
- запрет на смену MAC адресов.
- запрет существования неиспользуемых портов в группах портов виртуальных коммутаторов
- запрет на установку у групп портов значений VLAN в native VLAN.
- запрет на использование 4095 VLAN
- запрет на использование в виртуальном коммутаторе VLAN зарезервированных физическими коммутаторами
- Документирование всех VLAN и их назначения и т.п..
Большая часть этих параметров описана в бестпрактисах по настройка сети в виртуальной инфраструктуре и предварительно учитываются при построении "идейно правильных" архитектур.
- Отключение Direct Conlole User Interface. Выполнить это требование не сложно, но стоит ли ? Может пора прибегнуть к пункту "оценить риски и выработать компенсационные меры" в виде строго контроля за доступом к группе "localadmin", члены которой могут получать доступ к DCUI. А отключение делается так:
>chkconfig DCUI off
- Запрет подключения съемных устройств на ESXi-сервере. Этот пункт обсуждался, когда разговор шел про USB. Делаем так:
floppyX.present = "false"
serialX.present = "false"
parallelX.present = "false"
usb.present = "false"
ideX:Y.present = "false"
- Отключение Tech Support Mode. Насколько я понимаю в ESXi 5 это равносильно отключению ESXi Shell (эта KB как бы намекает на это). Поэтому просто останавливаем ESXi Shell:
- Запрет операций с буфером обмена. Действуем по старой схеме:
isolations.tools.copy.disable = "TRUE"
isolation.tools.paste.disable = "TRUE"
isolation.tools.dnd.disable= "TRUE"
isolation.tools.setGUIOptions.enable= "FALSE"
- Установка и поддержка целостности файловой системы. Честно говоря я не придумал доступного решения этой задачи без кастомизации ESXi. Буду просто проверять SHA1 суммы перед установкой ESXi и обновлений.
- Синхронизация времени. Настраиваем синхронизацию с DC или какой-нибудь Cisco, где поднят NTP сервер.
Я попробовал выполнить все требования для "Соответствия" PCI DSS описанные в vGate Compliance Checker. В следующий раз рассмотрим чем соответствие PCI DSS у vGate Compliance Checker отличается от требований VMware Compliance Checker for vSphere.
- Предотвращение шпионажа других пользователей на администраторских удаленных консолях. По сути, защита от "подглядывания", технически - ограничение подключений удаленной консоли. Идем проверенным в предыдущем пункте способом:
- Настройка безопасности для виртуальных коммутаторов. К сожалению, полноценно выполнить все требования данного пункта в моей тестовой среде я не могу. Флаг "Соответствует" я не получу :(. А суть требования заключается в:
- изоляции трафика: управления, vMotion, IP трафика файловых хранилищ.
- контроль за доступом к сети управления.
- запрет смешанного режима работы для виртуального коммутатора.
- запрет на смену MAC адресов.
- запрет существования неиспользуемых портов в группах портов виртуальных коммутаторов
- запрет на установку у групп портов значений VLAN в native VLAN.
- запрет на использование 4095 VLAN
- запрет на использование в виртуальном коммутаторе VLAN зарезервированных физическими коммутаторами
- Документирование всех VLAN и их назначения и т.п..
Большая часть этих параметров описана в бестпрактисах по настройка сети в виртуальной инфраструктуре и предварительно учитываются при построении "идейно правильных" архитектур.
- Отключение Direct Conlole User Interface. Выполнить это требование не сложно, но стоит ли ? Может пора прибегнуть к пункту "оценить риски и выработать компенсационные меры" в виде строго контроля за доступом к группе "localadmin", члены которой могут получать доступ к DCUI. А отключение делается так:
>chkconfig DCUI off
- Запрет подключения съемных устройств на ESXi-сервере. Этот пункт обсуждался, когда разговор шел про USB. Делаем так:
floppyX.present = "false"
serialX.present = "false"
parallelX.present = "false"
usb.present = "false"
ideX:Y.present = "false"
- Отключение Tech Support Mode. Насколько я понимаю в ESXi 5 это равносильно отключению ESXi Shell (эта KB как бы намекает на это). Поэтому просто останавливаем ESXi Shell:
- Запрет операций с буфером обмена. Действуем по старой схеме:
isolations.tools.copy.disable = "TRUE"
isolation.tools.paste.disable = "TRUE"
isolation.tools.dnd.disable= "TRUE"
isolation.tools.setGUIOptions.enable= "FALSE"
- Установка и поддержка целостности файловой системы. Честно говоря я не придумал доступного решения этой задачи без кастомизации ESXi. Буду просто проверять SHA1 суммы перед установкой ESXi и обновлений.
- Синхронизация времени. Настраиваем синхронизацию с DC или какой-нибудь Cisco, где поднят NTP сервер.
Я попробовал выполнить все требования для "Соответствия" PCI DSS описанные в vGate Compliance Checker. В следующий раз рассмотрим чем соответствие PCI DSS у vGate Compliance Checker отличается от требований VMware Compliance Checker for vSphere.
Комментариев нет:
Отправить комментарий