Мы уже немало рассказывали о развертывании и администрировании средства vGate R2, которое предназначено для защиты виртуальной инфраструктуры VMware vSphere средствами политик безопасности и механизма защиты от несанционированного доступа. На данный момент на рынке это единственное сертифицированное средство защиты инфраструктуры виртуализации, позволяющее обеспечить комплексную защиту серверов ESXi и виртуальных машин. Сегодня мы расскажем о том, как добавить инфраструктурные серверы (AD, DNS и т.п.) в защищенный периметр vGate R2.
Для полноценного функционирования виртуальной инфраструктуры VMware vSphere требуется множество вспомогательных инфраструктурных серверов, которым требуется коммуникация с сервисами VMware vCenter и хостами ESXi, находящимися в защищенном периметре сети администрирования:
При этом сеть администрирования (сервисы vCenter и хосты ESXi) в целях защиты полностью отделяется от остальных сетей виртуальной инфраструктуры в концепции vGate R2. Поэтому для таких инфраструктурных сервисов, как Active Directory и DNS, необходимо добавить правила доступа к защищенному периметру, если они находятся вне его.
Сделать это можно в мастере первоначальной настройки vGate R2, добавив серверы vCenter и хосты ESXi, а затем выбрав пункт "Автономный сервер", или это можно сделать потом в меню "Защищаемые серверы":
На экране появится диалог:
Укажите сетевое имя или IP-адрес сервера, при необходимости введите
комментарий и нажмите кнопку "ОК".
Далее необходимо установить агент аутентификации на компьютеры сервисных служб (DNS, AD и
т. п.), которые необходимы для работы защищаемых объектов сети администрирования. При установке для этих компьютеров автоматически создаются учетные записи, под которыми они проходят авторизацию, а также
используются для организации санкционированного доступа служб и сервисов компьютера к защищаемым ESXi-серверам, серверу vCenter и другим хостам сети администрирования через сервер авторизации vGate R2.
Теперь необходимо добавить новое правило доступа к серверу авторизации, например, со стороны внешней службы DNS. Нажмите кнопку-ссылку "Создать новое правило".
На экране появится диалог для формирования нового правила доступа:
Пользователь. Субъект доступа — учетная запись пользователя или компьютера.
Значение "Любой" означает, что правило распространяется на все учетные записи пользователей и компьютеров,
зарегистрированные в vGate. Оставляем значение "Любой".
Компьютер. Компьютер, с которого данному пользователю разрешен заданный
доступ (для учетной записи компьютера не используется). Допустимые значения: NetBIOS-имя, DNS-имя, IP-адрес, символ "*" (звездочка — указывает, что правило распространяется на любой компьютер). Добавляем сюда IP-адрес или имя сервера DNS.
Параметры
соединения. При формировании по шаблону определяются выбранным
шаблоном.
При формировании вручную указываются тип протокола соединения, исходящий порт и порт назначения.
Символ "0" (ноль) в полях "Исходящий порт" и "Порт назначения" означает, что правило действует для всех портов. В нашем случае для сервера DNS нужно добавить правило для сервера авторизации, которое разрешит прием пакетов с DNS-сервера, исходящих с 53 порта по протоколу UDP от любого пользователя.
После создания правила использование доменных имен
для защищаемых серверов будет настроено. По аналогии настраиваются правила и для других инфраструктурных серверов, которым требуется взаимодействие с защищенными серверами виртуальной инфраструктуры VMware vSphere.
RSS
