Перейти к содержанию
teofrast

Виртуальные машины и безопасность

Recommended Posts

teofrast

В свете кое-каких событий на фирме возник вопрос - как можно обеспечить безопасность виртуальных машин? Например, VMWare.

Ведь если поставить антивирус, обновить его базы и сделать снапшот, то после какого то времени работы может возникнуть нужда отресториться и продолжить работу.

В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Заодно сюда можно привести проблему с лицензиями. Например, для теста необходимо поднять на какое то время тысячу машин - как обеспечить их безопасность?

(просто весело было обнаружить в этом месяце на VMWare одного из девелоперов Net-Worm.Win32.Welchia.a. Отменно причем работающую. Жаль, что пришлось убить сорванца :rolleyes: )

Косвенно в эту тему еще хотелось бы привести проблему false detect'a. Можно ли как то решить проблему с программистами (да и вообще любой народ, имеющий связь с новым кодом), которые отключают антивирусы, потому что те мешают им работать?

С ходу в голову приходят такие решения этих проблем - административные меры, включение виртуальных машин в домен.

Однако хотелось бы услышать мнение экспертов на эту тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

teofrast

Не совсем понял какую задачу Вы хотите решить, если для вас важен контроль для виртуальных машин и не только обновленности АВ баз, запущенности антивируса и т.д., то это решается технологией Network Access Control, например Symantec NAC, встроенной в антивирус для рабочих станций. Если это интересно, то могу предоставить более подробную информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, или ждать решения VMsafe, или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В случае единичных случаев это не критично. А если рабочих снапшотов больше десятка и все они из разных временных промежутков, то каждый раз ждать загрузки обновлений, а потом сохранение этих снапшотов создает большие проблемы с рабочим временем.

Я для себя не решил эту проблему. Стоит куча виртуалок, которые после каждого отката приходится обновлять по-новому. Этим приходится расплачиваться за удобство моментально отката к нужному состоянию ОС. Ладно бы дело было только в антивирусных базах, большее неудобств доставляют обновлении Windows, а их ведь тоже хорошо бы ставить.

Пока вижу только один способ. Если изменения в системе, которые вызывают необходимость отката не так существенны, то можно обойтись использованием утилит типа TotalUninstaller, а не ревертить все машину целиком.

или ставить внутрь виртуальной машины HIPS- они малочувствительны к обновлениям.

Кстати, это вариант, если нужно именно обеспечить безопасность машин, а не гонять на на них разные антивирусы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teofrast

Спасибо за советы.

По поводу выбора конкретных инструментов дело пока что не дошло. И вопрос интересовал с теоретической точки зрения. Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим. :)

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав? Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ. Юзеры просто будут отключать его. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Ибо компания сейчас работает по старому принципу "пока гром не грянет". Однако ИТ-отдел работает над этим.

В смысле, над громом? :lol:

По поводу HIPS - я полный нуль, так что щас нужно будет покопать в этом направлении. Однако с 1-го моего взгляда проблема HIPS вроде бы заключается в умении юзера настроить его и продолжать работать? Или я не прав?

Это точно- не прав... Типов HIPS много- есть построенные на основе белых списков, поведенческих сигнатур и песочницы.

Просто в таком случае в среде разработко-тестинга программных продуктов HIPS вряд ли так же приживется, как и АВ.

Пользуйте песочницы- они очень удобны именно для данной задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

У vmware есть опция shared folders.

При должном желании/умении практически любой антивирус с базами можно инсталлировать именно на такой диск, тогда revert на модули антивируса и базы не распространится.

Но:

1) могут быть синьки при расхождении модулей, так как драйвера вы способом описанным выше не обновите.

2) недавно проходила инфа о критической уезвимости в vmware при использовании shared folders. Суть в том что при заражении виртуальной машины, зловред может убежать и на реальную. Не знаю, исправлена ли ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Ещё есть возможность указать при создании раздела флажок "Independent disk" - тогда создаваемый раздел тоже не будет подвержен снапшотам. Ну и с теми же прилегающими проблемами, естессна.

Если уж на то пошлО, то универсальный вариант - поднять локальный сервер обновлений антивируса, приобретя соответствующее корпоративное решение, каковые есть у многих АВ-вендоров и установить на ВМваревские машины клиентский модуль антивируса. Ну и снять снапшоты после этого. При таком решении время простоя по причине апдейта антивирусного ПО сократится в разы, а трафик вообще тратиться не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
    • Mawa27
      Здравствуйте)Я довольно часто заказываю букеты, так как живу далеко от своих родственников и единственным вариантом их поздравить остается букет на заказ. Чаще всего пользуюсь фирмой https://kvitochka.kiev.ua/ .У них очень оригинальные и красивые букеты, особенно люблю те, что в коробках. Смотрятся очень стильно и при этом красиво.Так что рекомендую вам)
    • Sawa26
      Где заказать шикарный букет цветов?
    • Mawa27
      Компания ProHoster запускает линейку дешевых выделенных серверов LC Intel  от 26,7$. Рекордно низкая стоимость обеспечит Вам максимальный доход. Размещение - Украина. Процессоры Intel и Intel Core. Есть возможность установить ОС Windows server 2008 R2 и Windows server 2012 R2. Доступ к серверу через DCI панель.     Конфигурации серверов:   Тариф LC Intel G1610 по цене $26.7/месяц + Установочная цена 12$ 4Gb ОЗУ 500GB Intel G1610 CPU or similar 1 IPv4    Тариф LC Intel Core i5 по цене $34.7/месяц + Установочная цена 12$ 8Gb ОЗУ 2x500GB Intel i5 CPU or similar 1 IPv4   Тариф LC Intel Core i7 по цене $40/месяц + Установочная цена 12$ 16Gb ОЗУ 2x500GB Intel i7 CPU or similar 1 IPv4   Подробнее о тарифах, а также информацию о других услугах можете найти на нашем сайте
×