PCI DSS vs VMware part 4

Ниже я опишу как получить "чистый" скан в vGate Compliance Checker и VMware Compliance Checker for vSphere  для инфраструктуры установленной по принципу next->next->next. Не совсем типичный случай, но наиболее полно отражающий несоответствие стандарту PCI DSS.


Исследуемая  инфраструктура: ESXi  5.0.0, vCenter server установлен вместе с  MS SQL Server 2k8 R2 на MS Windows 2k3 st. R2 x64. Предварительно настроена только доменная авторизация. 

Результат скана vGate Compliance Checker:
Добавляем сервер ESXi, вводим имя учетной записи, пароль, запускаем скан:




vGate Compliance Checker for VMware ESX/ESXi Отчет о проверке
























vGate Compliance Checker for VMware ESX/ESXi Отчет о проверке
vGate Compliance Checker
Отчет о проверке
Информация о соответствии настроек Ваших ESX/ESXi-серверов политикам безопасности PCI DSS, CIS Vmware ESX Server Benchmark и VMware Security Hardening Guide
Статистика
Проверено серверов:1
Соответствуют политикам:0
Не соответствуют политикам:1
С ошибками:0

[+] Сервер 192.168.10.128



Результаты политик для VMware 4.1 и CIS for ESX 4 нам пока не интересны.


PCI DSS наш сервер, естественно не соответствует. Для устранения уязвимостей буду использовать ESXi Shell (предварительно придется в services запустить ESXi Shell и SSH server) и PowerCLI.

- Запрет использования Managed Object Browser. Устранение этой уязвимости оставим напоследок, после ее устранения vGate Compliance Checker "ломается" (перестает получать данные от ESXi хоста)
 >vim-cmd proxysvc/remove_service "/mob" "httpsWithRedirect"

- Настройка логирования виртуальных машин на ESXi сервере. 
Я внес изменения в каждый *.vmx
logging = "true"
log.rotateSize = "100000"
log.keepOld = "10"

с первыми тремя параметрами все понятно, ограничения для "исключения возможности отказа в обслуживании при переполнении хранилища данных".

log.fileName = "/vmfs/volumes/datalog01/logvm/vmname.log"

этот параметр связан с моим личным "загоном": хранить, даже ограниченные, логи на продакшин системе считаю не совсем верным. Поэтому по мне так проще и удобнее при дальнейшем анализе и траблшутинге использовать отдельный datastore для хранения логов.

- Отсылка событий сервера виртуализации на syslog-сервер. Тут все совсем просто: перенаправляете логи ESXi на VMware Syslog Collector или любой другой централизованный сервер сбора логов, используемый в Вашей инфраструктуре.



- Запрет подключения USB-носителей к ESX/ESXi-серверу. Требование совершенно непонятно. Очень часто сервера используют всякие Token и прочие key. Вероятно авторы требования считают что ключи будут использоваться с помощью всяких USB over TCP/IP подключаясь через Cisco ASA. 
Я трактую этот пункт как: исключите возможность подключения различных не авторизованных устройств: USB, CD-ROM, floppy. Например:
floppy.present = "false"
Для остальных проводите проверку и инвентаризацию с помощью PowerCLI:

Get-VM | Get-USBDevice
Если такой вариант не устраивает, то отключите USB в BIOS, на BIOS поставьте пароль, состоящий из двух частей записанных на четыре листика, спрятанных в сейфы. 
По остальным пунктам продолжу в следующей части.

Комментариев нет:

Отправить комментарий