Как поменять сертификаты для связки VMware Vcenter Server, Replication Server и Site Recovery Manager / Хабр

Создание сертификатов

Я буду использовать локальный сервер выдачи сертификатов, но данный способ подойдет для выпуска сертификатов и на коммерческих площадках.

Подготовим запросы к центру сертификации.

Я дал имена типа FQDN:

Для этих имен будем готовить запросы и закрытые ключи в программе

openssl

. Для этого изготовим небольшой конфигурационный файл

vc.cfg

с содержимым. Далее для каждого нового сервера я буду менять содержимое этого файла подставляя имена серверов и ip адреса:

[req]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
countryName = RU
stateOrProvinceName = RO
localityName = RnD
organizationName = HOME
commonName = vc.home.local (меняем)
emailAddress = root@home.local
[v3_req]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, keyAgreement
subjectAltName = @alt_names
[alt_names]
DNS.1 = vc.home.local (меняем)
IP.2 = 192.168.233.11 (меняем)

Далее используем openssl

1.1 Делаем vc.home.local

openssl req -batch -new -newkey rsa:2048 -nodes -keyout vc.home.local.key -out vc.home.local.req -config vc.cfg

1.2 Меняем имена и ip сервера в vc.cfg и выпускаем ключ и запрос для vr.home.local

openssl req -batch -new -newkey rsa:2048 -nodes -keyout vr.home.local.key -out vr.home.local.req -config vc.cfg

1.3 Меняем имена и ip сервера в vc.cfg и выпускаем ключ и запрос для srm.home.local

openssl req -batch -new -newkey rsa:2048 -nodes -keyout srm.home.local.key -out srm.home.local.req -config vc.cfg

1.4 Дополнительно понадобятся сертификаты для служб vcenter (vpxd, vsphere-webclient, vpxd-extension)

делаем их командой:

openssl req -new -newkey rsa:2048 -nodes -keyout vpxd.key -out vpxd.req

Мы попадем в небольшой визард, там мы введем информацию о себе или о компании. Обязательно в поле «Common Name» мы пишем имя службы. Повторяем процедуру для оставшихся служб. На выходе у нас получается закрытый ключ и запрос на сертификат.

Начнем менять с Vcenter

Для этого мы заходим в раздел

администрирования

, и переходим в раздел

сертификаты

Замена сертификата на VMware Site Recovery Manage

На этом сервере все делается из веб интерфейса в меню

Certificate

Заходим в административную панель srm.home.local:5480

1. Добавляем наш root ca кнопкой ADD
2. Меняем текущий сертификат кнопкой CHANGE

   

На этом мы закончили смену всех сертификатов.

Всем спасибо!

Cертификация vmware certified advanced professional в направлении design и/или deploy (vcap-dcv)

Перед сдачей экзамена VMware рекомендует иметь минимум 2 года опыта работы с vSphere, а также актуальную сертификацию предыдущего уровня VCP-DCV 2021.

Для подготовки рекомендуется пройти курс “VMware vSphere: Design Workshop [V6.5]”, его прослушивание позволит наилучшим образом подготовится к экзамену, однако это не является обязательным требованием для допуска к экзаменам.

Зарегистрироваться и сдать экзамен 3V0-624 VMware Certified Advanced Professional 6.5 – Data Center Virtualization Design Exam или 3V0-21.18 Advanced Deploy vSphere 6.5 Exam 2021.

Антивирусная защита (зсв.9)

Реализация и управление антивирусной защитой в виртуальной инфраструктуре предусмотрено девятой мерой. Данное требование применяется для ГИС, начиная с третьего класса включительно, и ИСПДн, начиная с третьего уровня защищенности включительно. Как и в случае с резервным копированием, реализуется с помощью классических антивирусных средств или с помощью специализированных антивирусов, интегрирующихся со средствами управления виртуальной инфраструктурой.

В рамках данных уровней выделяют направления сертификации:

Data Center Virtualization – самое популярное направление, данная линейка является основной и касается продуктов vSphere.

Network Virtualization – направление, связанное с виртуализацией сетевой инфраструктуры в ЦОД и продуктами линейки VMware NSX.

Cloud Management & Automation – направление связанное с продуктами для построения частных, публичных и гибридных облаков, такими как продукты линейки VMware vCloud Suite.

Desktop & Mobility – направление, связанное с построением инфраструктур виртуальных столов (VDI), на основе продуктов линейки VMware Horizon View (раньше она называлась VMware View).

Digital Business Transformation – сертификация по данному направлению доказывает, что вы знакомы с продуктами и технологиями VMware, которые поддерживают решения VMware Cloud Foundation и Cross-Cloud Architecture, включая vSphere, vSAN, NSX и vRealize Suite.

Digital Workspace – сертификация, предназначенная для оценки ваших навыков настройки, развертывания, управления, обслуживания, оптимизации и устранения неполадок VMware Workspace ONE и связанных с ними решений.

Выбор средств защиты

Выше были приведены все требования, касающиеся защиты виртуализации, и для упрощения понимания в качестве итогов предлагаю ознакомиться со сводной таблицей, в которой меры защиты распределены по классам и указан набор средств защиты, минимально необходимый для выполнения требований (см. табл.).

Где пройти обучение?

Авторизованное обучение в России по самому широкому спектру курсов можно пройти в авторизованном учебном центре “Микроинформ” , который является первым в России авторизованным учебным центром VMware (имеет авторизацию VMware с 2004 года) и является независимым от поставщиков аппаратного и программного обеспечения, предлагающим максимально широкий спектр курсов по решениям VMware (как для конечных заказчиков, так и специализированных курсов ТОЛЬКО для партнеров компании VMware).

С полным перечнем авторизованных курсов VMware и графиком проведения можно познакомиться на
сайте «Микроинформ».

Генерация ключа и запроса на сертификат

Теперь все запросы и ключи готовы приступим к выдаче сертификата. Переходим в центр выдачи сертификатов. Запускаем консоль

Центр сертификации

Далее нажимаем правой кнопкой мышки (пкм) на корне сервера и выбираем выдать новый запрос.

Выбираем наш файл запроса, с расширением req.

Переходим в меню Запросы в ожидании. Если у вас там пусто, нажмите F5 и обновиться окно. Далее жмем пкм, и выбираем Выдать:

Далее переходим в меню Выданные сертификаты и открываем наш сертификат.

Далее нам нужно сохранить его на диск. Для этого переходим во вкладку Состав и нажимаем кнопку Копировать в файл. Далее появиться визард для сохранения файлы, нам нужно выбрать Base64 и имя файла в данном случае vpxd.crt:

Сохранение сертификата.

Повторяем процедуру выдачи для всех наших сертификатов/

Нам еще понадобится корневой сертификат. Для этого откроем любой сертификат, перейдем во вкладку Путь сертификации выберем наш корневой сертификат и нажмем кнопку Посмотреть сертификат. Далее также его сохраним как и все предыдущие.

И это еще не все для сервера VMware Replication Server и VMware Site Recovery Manager. Нам понадобиться контейнер сертификата и ключа. pfx файл, сделать его очень легко, нам понадобиться закрытый ключи и файл сертификата:

openssl pkcs12 -export -out vr.home.local.pfx -inkey vr.home.local.key -in vr.home.local.crt

OpenSSL попросить задать пароль, придумываем пароль и на выходе получаем заветный файл.

На этом создание сертификатов закончим перейдем к их установке.

Доверенная загрузка (зсв.5)

Пятая мера предусматривает обеспечение доверенной загрузки серверов виртуализации, виртуальных машин и серверов управления виртуализацией. Данная мера логически делится на две – с одной стороны, это доверенная загрузка физических серверов (гиперви-зора, системы управления виртуализацией и т.д.), с другой – доверенная загрузка виртуальных машин.

Первое выполняется с помощью классических аппаратных средств доверенной загрузки, второе – только с помощью наложенного средства защиты виртуализации. Однако стоит отметить, что данная мера не является обязательной к реализации во всех ГИС и ИСПДн, поэтому от использования средств доверенной загрузки можно отказаться.

Идентификация и аутентификация (зсв.1)

Первая мера защиты – идентификация и аутентификация субъектов и объектов доступа в виртуальной инфраструктуре. Под субъектами в первую очередь понимаются администраторы управления средствами виртуализации, под объектами – разные компоненты инфраструктуры.

Данная мера обязательна к применению на всех классах ГИС и ИСПДн и де-факто являлась обязательной во всех системах виртуализации. Однако, как уже отмечено выше, заявлять о реализации меры встроенными механизмами несертифицированной платформы виртуализации нельзя.

Поэтому функции идентификации и аутентификации должно дублировать наложенное средство защиты, которое реализует собственные механизмы авторизации администраторов и компонентов ВИ. Наложенные средства защиты могут предоставлять дополнительные сервисы, например авторизацию с помощью аппаратного идентификатора или усиленное ролевое разделение доступом.

Контроль целостности (зсв.7)

Седьмая мера требует осуществлять контроль целостности виртуальной инфраструктуры и ее конфигураций и делать это нужно в ГИС первого и второго класса и ИСПДн с первым и вторым уровнями защищенности. Наложенные средства защиты должны обеспечивать проверку неизменности исполняемых файлов гипервизора, средства управления виртуализацией и других компонентов, а также контролировать возможные несанкционированные изменения в файлах конфигураций виртуализации и виртуальных машин.

Курсы доступны:

• в формате традиционного обучения в классе;
• выездные курсы в 40 городах России, а также на Украине и Казахстане;
• курсы VMware в формате вебинаров (on-line в режиме реального времени, предполагающие «живое» общение с преподавателем и выполнение практики в удаленной лаборатории по каналу Интернет).

Регистрация событий иб (зсв.3)

Третья мера – это регистрация событий безопасности в виртуальной инфраструктуре. Данная мера по умолчанию реализуется любым средством защиты. Журналирование действий субъектов и запись всех событий безопасности – это обязательная часть работы любого средства защиты.

Специализированные решения для защиты виртуализации не исключение и выполняют полную регистрацию событий. Важным свойством является удобство просмотра журналов и возможность построения отчетов по событиям, но к этим критериям требования практически не предъявляются, поэтому, выбирая средство защиты, на этот аспект следует обратить внимание.

Резервное копирование данных (зсв.8)

В восьмой мере защиты предполагается осуществлять резервное копирование данных, резервирование технических средств, ПО виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры. Данная мера применяется в ГИС первого и второго класса и ИСПДн с уровнем защищенности выше второго включительно.

Резервное копирование данных может осуществляться с помощью классических средств создания резервных копий, которые устанавливаются на виртуальных машинах или непосредственно работают с системами хранения данных, или с помощью специализированных средств резервного копирования для виртуализированных инфраструктур.

Резервирование технических средств закладывается при проектировании всей системы и включает в себя выделение основного и резервного аппаратного обеспечения, дисковых массивов и каналов связи. Резервирование ПО подразумевает комплекс организационных мер, обеспечивающих быстрое восстановление программного окружения в случае неполадок.

Сегментирование виртуальной инфраструктуры (зсв.10)

Последняя, десятая мера – разбиение виртуальной инфраструктуры на сегменты. Применяется в ГИС первого и второго классов и в ИСПДн, начиная с третьего уровня защищенности включительно. Реализуется с помощью применения средства защиты виртуализации совместно со средством межсетевого экранирования (виртуальным, физическим или распределенным).

Как и в случае с управлением доступа, средство защиты виртуализации обеспечивает сегментирование на уровне компонентов виртуальной инфраструктуры и администраторов, средство межсетевого экранирования – логическое или физическое разделение на группы виртуальных машин и хранилищ информации.

Сертификация data center virtualization (dcv)

Сертификация vmware certified professional (vcp-dcv 2021)

Перед сдачей экзамена VMware рекомендует иметь опыт работы с vSphere 6.7.Вам также необходимо пройти один из авторизованных курсов VMware чтобы быть допущенным к экзамену:

Cдать базовый экзамен VMware vSphere 6.7 Foundations Exam 2021 (2V0-01.19). Экзамен состоит из 65 вопросов. Длительность экзамена 105 минут. После этого вы можете зарегистрироваться и сдать экзамен профессионального уровня Professional vSphere 6.

7 Exam 2021. Экзамен состоит из 70 вопросов. Длительность экзамена 115 минут. Стоимость в центре тестирования Pearson VUE – 250 USD. Данный экзамен вы можете сдать зарегистрировавшись в нашем центре тестирования Pearson VUE. Экзамен сдается на компьютере под наблюдением администратора центра тестирования.

Сертификация компании vmware насчитывает 4 ступени:

• VMware Certified Associate (не все направления имеют эту ступень)
• VMware Certified Professional
• VMware Certified Advanced Professional
• VMware Specialist

Сертификация vmware certified design expert (vcix6-dcv)

Достигается если у вас есть обе сертификации предыдущего уровня VCAP6-DCV Design и VCAP6-DCV Deploy.

Сертификация: безопасность vmware

Системы виртуализации и сертификация

В статье приводятся рекомендации по выполнению мер по защите. Приведенная информация актуальна для систем виртуализации, сейчас являющихся лидерами рынка, – VMware vSphere v.5.5 и Microsoft Hyper-V 2021 с управлением через Microsoft System Center Virtual Machine Manager 2021.

По требованиям ФСТЭК все средства защиты и встроенные механизмы защиты должны пройти процедуру оценки соответствия в форме обязательной сертификации. Указанные выше версии систем виртуализации еще не сертифицированы по требованиям ФСТЭК. И даже независимо от того, сертифицирована система или нет, встроенные в нее механизмы защиты не могут обеспечить полную реализацию мер по защите. На помощь приходят наложенные средства защиты для виртуализации.

Управление доступом (зсв.2)

Вторая мера защиты регулирует управление доступом субъектов к объектам в виртуальной инфраструктуре, в том числе внутри виртуальных машин. Данную меру в ограниченном объеме реализует наложенное средство защиты – оно выполняет управление доступом администраторов к управлению виртуализацией.

Недостающий функционал, разграничение доступа внутри виртуальных машин выполняются классическими средствами защиты информации от несанкционированного доступа. Данные средства устанавливаются и работают на виртуальных машинах точно так же, как на обычных физических. Реализовывать вторую меру защиты, так же как и первую, придется во всех ГИС и ИСПДн.

Управление перемещением вм и обрабатываемых на них данных (зсв.6)

Управление перемещением виртуальных машин и обрабатываемых на них данных контролируется в шестой мере защиты. Контроль чаще всего осуществляется с помощью перехвата команд администраторов и применения к ним правил разграничения доступа. Данную возможность предоставляет наложенное средство защиты виртуализации.

Управление потоками информации между компонентами ви (зсв.4)

Четвертая мера защиты – управление потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру. Реализовать данную меру в полном объеме можно только наложенными средствами защиты, которые обладают возможностью установки на компоненты виртуальной инфраструктуры своих агентов защиты, выполняющих контроль потоков информации.

Защиту периметра следует строить путем установки средства защиты виртуализации на границе внешней сети, в которой находятся субъекты доступа, и внутренней сети администрирования, в которую входят компоненты инфраструктуры. Сложность выполнения данной меры компенсируется необязательностью ее применения для всех ИСПДн и для ГИС до третьего класса включительно.

Заключение

Работа регуляторов, направленная на разработку требований по защите информации в виртуальных инфраструктурах, продолжается. В настоящий момент ведется работа над государственными стандартами по защите виртуализации и облачных технологий, разрабатываются документы с требованиями к средствам защиты виртуализации и облачных технологий. Приказы № 17 и 21 – это только начало длинного пути.

Стоит отметить, что текущие требования по защите описывают нейтрализацию действительно актуальных угроз и выполнение указанных выше мер позволит существенно снизить риск нарушения конфиденциальности, целостности и доступности информации в виртуальной инфраструктуре.

Конечно, слепо полагаться на выполнение только требуемых мер не стоит. Для любой системы необходимо построение модели угроз, просчет рисков информационной безопасности и построение полноценной системы защиты, удовлетворяющей не только требованиям регуляторов, но и обеспечивающей требуемый уровень безопасности.