Комментарии 5
А можете рассказать подробнее о HyTrust? Какие еще фичи, как лицензируется?
Фич много. Например, появляется возможность прикрутить двухфакторную аутентификацию — как при входе в vCenter, так и на ESXi. Появляются метки безопасности — можно делить инфраструктуру на зоны и, например, запрещать подключать PortGroup с VLAN DMZ к машине из другой зоны. Умеет также контролировать доступ к виртуальному коммутатору Cisco Nexus 1000v.
Лицензируется по процессорам (сокетам) в ESXi.
Лицензируется по процессорам (сокетам) в ESXi.
Я так понимаю, продукт не сертифицирован ФСТЭК?
Есть принципиальные отличия от vGate «кода безопасности» (сертифицированного, к слову)? Эти продукты заменяют или дополняют друг друга?
Есть принципиальные отличия от vGate «кода безопасности» (сертифицированного, к слову)? Эти продукты заменяют или дополняют друг друга?
1) По не сертифицирован, но работа ведется. Правда в свете новой возможности ухода от сертификации по модели угроз (см.п 4. Приказа 21 www.rg.ru/2013/05/22/soderjanie-dok.html), вопрос остается открытым.
2) принципиальные отличия только по основным функициям (не говорю о дополнительных):
а) архитектура:
— vGate: нужно ставить агенты на все ESXi, vCenter идаже все АР, с которых будет доступ к vCenter + разворачивать шлюзы авторизации (собственно основная часть продукта)
— HyTrust: только развернуть virtual appliance из OVF и перенаправить на него трафик
б) система аутентификации:
— vGate: фактически ведет две базы учетных записей. Первая в сервере авторизации без интеграции с AD, в которой все заводится вручную — нужна фатически для установления туннеля с серверов авторизации (агенты на ESXI, vCenter — это в том числе МЭ, запрещающие доступ в обход серверв авторизации). Вторая — это база учеток непосредственно на сервере vCenter или в AD. Т.е. система полагается на механизмы аутентификации VMware. Если вы сменили пароль в vGate — он никак не синхронизируется с паролем в AD. Средств двухфакторной аутентфиикации не предусмотрено. Но есть возможность хранения первого пароля в vGate на eToken с его подстановкой при вводе PIN, а уже затем вводить пароль в VMware vClient нужно отдельно.
— HyTrust — единая база учеток, интегрируемая с AD. Позволяет работать от AD учетки как с vCenter, так и с любым ESXi или Cisco Nexus 1000v. Поддерживает двухфакторную аутентификацию при входе непосредственно в vSphere Client — вводить нужно один раз, а не два как в vGate.
в) управление объектами:
— vGate — поддерживает четыре типа объектов — серверы виртуализации (ESXi. vCenter), виртуальные машины (отображает единым списком без иерархии — когда у вас не один кластер или тем более два ЦОД — использовать невозможно), хранилища (подгружает автоматически, но нет привзяки к ESXi и тем более кластерам, кластера вообще нет как объекта), сети (вводимые вручную portgroup на ESX. Нельзя вводить с одинаковым VLAN. Если добавили, что-то в настройках ESXi, нужно продублировать в vGate. vGate осуществляет контроль только с помощью меток — реализация ролевого доступа остается целиком такая же и реализуется самим vCenter.
— HyTrust — поддерживает все типы объектов в vmware (т.е. кроме вышеобозначенных есть: Datacenter, Cluster, Network, Folder, Pool и т.д.). Контроль реализуется целиком HyTrust без опоры на средства vCenter (т.е. механизмы защиты полностью управляются отдельно) — как ролевая модель, так и модель с использованием меток безопасности.
г) журналирвоание событий:
— vGate: ведет русский лог с неудобным поиском и двумя пользователями в каждом событии: юзер в самом vGate, ассоциированный юзер в Vmware. Штатной интеграции с SIEM не предусмотрено (хотя может что-то поменялось, пару месяцев не видел)
— HyTrust: ведет подброные логи в отличие от VMware vCenter, может их отправлять по Syslog, поддеживает отраслевой страндарт для событий ИБ — CEF (Common Event Format), благодаря без разработки коннекторов интегрируется с SIEM HP ArcSight и ряда его конкурентов, которые тоже реализовали поддержку CEF.
На самом деле еще много чего могу написать, но устал ))
2) принципиальные отличия только по основным функициям (не говорю о дополнительных):
а) архитектура:
— vGate: нужно ставить агенты на все ESXi, vCenter идаже все АР, с которых будет доступ к vCenter + разворачивать шлюзы авторизации (собственно основная часть продукта)
— HyTrust: только развернуть virtual appliance из OVF и перенаправить на него трафик
б) система аутентификации:
— vGate: фактически ведет две базы учетных записей. Первая в сервере авторизации без интеграции с AD, в которой все заводится вручную — нужна фатически для установления туннеля с серверов авторизации (агенты на ESXI, vCenter — это в том числе МЭ, запрещающие доступ в обход серверв авторизации). Вторая — это база учеток непосредственно на сервере vCenter или в AD. Т.е. система полагается на механизмы аутентификации VMware. Если вы сменили пароль в vGate — он никак не синхронизируется с паролем в AD. Средств двухфакторной аутентфиикации не предусмотрено. Но есть возможность хранения первого пароля в vGate на eToken с его подстановкой при вводе PIN, а уже затем вводить пароль в VMware vClient нужно отдельно.
— HyTrust — единая база учеток, интегрируемая с AD. Позволяет работать от AD учетки как с vCenter, так и с любым ESXi или Cisco Nexus 1000v. Поддерживает двухфакторную аутентификацию при входе непосредственно в vSphere Client — вводить нужно один раз, а не два как в vGate.
в) управление объектами:
— vGate — поддерживает четыре типа объектов — серверы виртуализации (ESXi. vCenter), виртуальные машины (отображает единым списком без иерархии — когда у вас не один кластер или тем более два ЦОД — использовать невозможно), хранилища (подгружает автоматически, но нет привзяки к ESXi и тем более кластерам, кластера вообще нет как объекта), сети (вводимые вручную portgroup на ESX. Нельзя вводить с одинаковым VLAN. Если добавили, что-то в настройках ESXi, нужно продублировать в vGate. vGate осуществляет контроль только с помощью меток — реализация ролевого доступа остается целиком такая же и реализуется самим vCenter.
— HyTrust — поддерживает все типы объектов в vmware (т.е. кроме вышеобозначенных есть: Datacenter, Cluster, Network, Folder, Pool и т.д.). Контроль реализуется целиком HyTrust без опоры на средства vCenter (т.е. механизмы защиты полностью управляются отдельно) — как ролевая модель, так и модель с использованием меток безопасности.
г) журналирвоание событий:
— vGate: ведет русский лог с неудобным поиском и двумя пользователями в каждом событии: юзер в самом vGate, ассоциированный юзер в Vmware. Штатной интеграции с SIEM не предусмотрено (хотя может что-то поменялось, пару месяцев не видел)
— HyTrust: ведет подброные логи в отличие от VMware vCenter, может их отправлять по Syslog, поддеживает отраслевой страндарт для событий ИБ — CEF (Common Event Format), благодаря без разработки коннекторов интегрируется с SIEM HP ArcSight и ряда его конкурентов, которые тоже реализовали поддержку CEF.
На самом деле еще много чего могу написать, но устал ))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Согласование действий пользователей в VMware перед их выполнением