Давайте дружить в Телеграме: рассказываем про новые фичи, общаемся в комментах, прислушиваемся к вашим идеям Подписаться

Что такое виртуализация VMware и как она работает?

Роман Андреев
Роман Андреев
Технический писатель
20 октября 2022 г.
2880
9 минут чтения
Средний рейтинг статьи: 5

При работе с контейнерами всегда есть риск утечки данных, поэтому необходимо предусмотреть надежную систему защиты. Эту задачу решают продукты VMware — компании, которая создает системы виртуализации для защиты контейнерных сред. В статье рассмотрим, как работает виртуализация VMware, и расскажем об обеспечении защиты контейнерных сред Docker и Kubernetes, а в заключительной части познакомимся и с альтернативными продуктами. Но сначала давайте выясним, какие уязвимости могут возникать при работе с контейнерными приложениями.

Виртуальный Сервер На Базе V Mware (1)

Уязвимости контейнерных сред

Суть контейнеризации в том, чтобы изолировать процессы как друг от друга, так и от вероятного негативного воздействия на ОС. Таким образом, контейнеры — это своеобразные песочницы, в которых ведется работа с теми или иными приложениями. Однако контейнеры уязвимы, и главная проблема в том, что при их запуске чаще всего нужны права суперпользователя. В результате из-за уязвимостей данных песочниц или ПО, работающего в той же физической среде, рискам подвергается вся система.

Худшее, что здесь может случиться — это jailbreak (он же root escape), ситуация, при которой вредоносный код проник настолько глубоко, что стал исполняться под учетной записью с корневым доступом (root), то есть с правами суперпользователя. В результате киберпреступники получают полный контроль над физическими ресурсами, а в некоторых случаях даже могут контролировать облачную среду. Но список уязвимостей контейнерных сред этим не ограничивается, к утечкам также приводит:

  • Неправильная конфигурация. Это является причиной возникновения дыр в изоляции контейнерных сред.
  • Изменение образа при развертывании. При отсутствии защиты от взлома образа контейнера киберпреступники могут скомпрометировать его и получить доступ ко всем данным.
  • Нарушение конфиденциальности. При помещении образа контейнера в общее хранилище могут быть скомпрометированы учетные данные (логины, пароли и другая информация). Такая ситуация возникает из-за невнимательности при работе с контейнерами, поэтому профилактикой здесь может служить только повышение ответственности сотрудников.
  • Отсутствие шифрования сетевых протоколов. Незашифрованные данные — лакомый кусок для злоумышленников, если компания представляет для них хоть какой-то интерес. Поэтому защита TLS и фильтрация трафика должны применяться в обязательном порядке.

Самые популярные инструменты для работы с контейнерами сегодня — Docker и Kubernetes, которые чаще всего используются совместно. Различие между ними в том, что Docker — это приложение для создания образов контейнеров и их запуска, а Kubernetes выступает в качестве оркестратора, то есть с его помощью осуществляется управление образами.

Многие из описанных выше уязвимостей характерны для Docker, однако ошибки приложения-оркестратора приводят к возникновению уязвимостей ничуть не реже, поскольку наличие в системе оркестратора свидетельствует о ее масштабах. Так, специалисты по кибербезопасности из компании Aqua Security еще два года назад подсчитали, что за 6 месяцев 2020 года количество атак на системы с развернутыми на них оркестраторами выросло на 26%.

Средства виртуализации VMware

Для решения этих проблем в VMware разработали целый ряд инструментов виртуализации физических машин, которые мы и рассмотрим.

ESXi VMware

ESXi VMware используется для создания гипервизоров, предназначенных для запуска нескольких связанных общей сетью автономных операционных систем на одном хосте. Есть возможность подключения гипервизоров ESXi к удаленным хранилищам для организации полноценных виртуальных машин с целью защиты контейнеризации. Также предусмотрена функция создания кластеров, составляемых минимум из 2 гипервизоров. Кластеризация дает возможность создания и удаления виртуальных машин, а также разделения аппаратных мощностей.

Главным плюсом ESXi с точки зрения обеспечения безопасности контейнерных приложений является повышенная защита от кибератак. Для этого используются продвинутые алгоритмы шифрования виртуальных машин, а также подробные логи, фиксирующие все изменения в операционной системе, поведении брандмауэров и отслеживающие сетевой трафик. Из других преимуществ ESXi выделим:

  • Кроссплатформенность. Приложение работает на UNIX-подобных системах и под Windows.
  • Экономия ресурсов. ESXi требует для работы чуть больше 120 Мб оперативной памяти.
  • Удобное администрирование. Для этого в приложении предусмотрен интерфейс командной строки для управления системой с любого сервера, который в нее входит. Также администрирование осуществляется при помощи интерфейса vSphere Client, работающего под HTML5.

vCenter

Если виртуальная инфраструктура компании достаточно разветвленная, необходимы инструменты для централизации ее управления и масштабирования, если возникнет такая потребность. Обе эти задачи решает vCenter. Данная система мониторит работу всех виртуальных машин, отслеживая возникающие ошибки и угрозы, и контролирует хосты с гипервизорами ESXi. Также есть возможность гибкой настройки оповещений и триггеров. Из других преимуществ vCenter отметим:

  • Управление, реализованное с помощью собственной ОС Photon. Эта ОС обеспечивает высокую скорость работы vCenter с быстрым поиском виртуальных машин, хостов, облачных хранилищ и сетей.
  • Создание единой системы авторизации без необходимости повторной проверки.
  • Возможности для масштабирования: используя всего одну копию vCenter, вы сможете развернуть на ней до двух тысяч хостов и до 35 тысяч ВМ (виртуальных машин).
  • Для каждого хоста можно создать собственный профиль с конфигурационными файлами и параметрами сетей и хранилищ, что поможет без проблем развернуть их на других хостах, используя записанные параметры.

vSphere

Это комплексное решение, объединяющее ESXi и vCenter и обеспечивающее виртуализацию разветвленных контейнерных систем промышленного уровня. Инструменты vSphere позволяют гибко распределять нагрузки аппаратных мощностей и размещать несколько виртуальных машин на физическом сервере, причем эти виртуальные машины могут управляться различными ОС.

Таким образом, при помощи vSphere выполняется виртуализация любой физической инфраструктуры, независимо от ее разветвленности и сложности управления. А при правильной настройке vSphere риски уязвимостей контейнерных сред сводятся к минимуму. vSphere также позволяет:

  • организовать управление виртуальными центрами обработки и хранения данных;
  • равномерно распределять нагрузки, исключая простои ЦОД;
  • удаленно обслуживать офисную инфраструктуру, не задействуя местные IT-отделы;
  • создавать в рамках действующей инфраструктуры облачные сервисы и облачные хранилища с использованием OpenStack.

Как включить вложенную виртуализацию VMware

Вложенная виртуализация требуется в тех случаях, когда нужен запуск ВМ или эмулируемых приложений в гостевых системах. Она включается путем редактирования vmx-файла ВМ таким образом: vhv.enable = TRUE. Чтобы изменить этот параметр, загрузите файл, а после измененную версию с помощью браузера датастора. Теперь ESXi должен прочитать измененный vmx-файл. Для этого зайдите по SSH в гипервизор и в командной строке введите:

vim-cmd vmsvc/getallvms
vim-cmd vmsvc/reload Vmid

Первая часть кода необходима для отображения списка ВМ и для определения VMID нужной нам ВМ. Выяснив номер, добавьте его во второй команде, после чего включите ВМ и убедитесь, что вложенная виртуализация стала доступной.

Что такое виртуализация IOMMU VMware

Функции IOMMU, которые введены с vSphere 6.7, позволяют включить аппаратную виртуализацию в BIOS. Она обеспечивает поддержку изолированных ВМ, которые напрямую управляются ESXi. Преимущество этой технологии в том, что такие ВМ не зависят от хоста и используемой платформы виртуализации. Для активации функции IOMMU в настройках Virtualization Technology пропишите параметр Enabled, так как по умолчанию виртуализация IOMMU выключена.

Альтернативные продукты

В завершение кратко рассмотрим несколько других коммерческих решений для безопасности контейнерных сред.

  • Aqua Cloud Native Security Platform. Позволяет сканировать образы Docker и обеспечивает онлайн защиту, отслеживая малейшие изменения в контейнерах и подозрительную активность. 
  • CipherTrust Data Security Platform. С помощью CipherTrust можно настроить безопасную работу пользователей Docker, ограничив им доступ к конфиденциальной информации в системе.
  • CloudGuard for Container Security. К преимуществам этого продукта отнесем постоянный мониторинг облачной безопасности, в том числе контроль за кластерами Kubernetes.
  • Guardicore Centra Security Platform. Одно из лучших решений для организации защиты образов Docker в среде Kubernetes. Есть возможность выбрать нужный уровень микросегментации с перенаправлением данных на определенные кластеры Kubernetes.
  • MVISION Cloud for Container Security. Обеспечивает безопасность сред контейнеризации в облаке. MVISION Cloud анализирует встроенный код в режиме реального времени и отслеживает подозрительное поведение, которое может свидетельствовать об угрозах.
  • NeuVector Container Security. Сквозная система безопасности для Kubernetes с возможностями гибкой настройки доступа и защиты контейнеров, а также фильтрацией на самых глубоких уровнях (до L7 включительно).
  • Prisma Cloud Compute. Организует многоуровневую защиту контейнерной среды вплоть до обеспечения безопасности хостов ОС. Из других преимуществ Prisma Cloud Compute отметим возможность масштабирования.
  • Qualys Container Security. Полная поддержка Kubernetes и Docker с защитой сред контейнеризации на каждом этапе (Build, Ship, Run). Поведение каждого контейнера тщательно отслеживается с помощью встроенного сенсора.
  • StackRox Kubernetes Security Platform. Как и следует из названия, это решение было разработано специально под Kubernetes. Создание гибких правил и списков, обеспечение безопасности на каждом этапе жизненного цикла контейнеров, моделирование угроз, анализ конфигурации Kubernetes — вот лишь некоторые возможности StackRox.
  • Sysdig Secure. Обеспечивает контроль загружаемых образов Docker, не допуская загрузки тех, которые представляют потенциальную опасность. Из других возможностей отметим аудит API Kubernetes.
  • Tenable.io Container Security. Это ПО предназначено для оценки исходного кода образов Docker. Риски оцениваются в соответствии с собственной шкалой безопасности.
  • Trend Micro Cloud One. Выполняет сканирование образов с последующей командой на разрешение или запрет развертывания. При положительном решении о развертывании Cloud One обеспечит защиту образа в среде контейнеризации.

Российские аналоги VMware

Уже более полугода российские пользователи лишены легальных обновлений VMware и большинства других продуктов западного рынка для виртуализации, поэтому многие вынуждены искать альтернативы. Одна из таких альтернатив — vStack, похожая по функционалу платформа, которая развивается уже более трех лет. И развивается успешно: по данным бенчмарка Geekbench, производительность vStack выше, чем у VMware, более чем на треть.

В доказательство приведем свежие июньские тесты (июнь 2022 г.) vStack и VMware на этой площадке по показателю Multi-Core Score, то есть по совокупной производительности ядер процессора. Также добавим следующие преимущества:

  • в два раза меньшие затраты на лицензию vStack по сравнению с VMware;
  • оплата только за используемые ресурсы;
  • более гибкое построение инфраструктуры (самостоятельный выбор компонентов) и масштабирование (все компоненты определяются ПО).

Такое сочетание стоимости, повышенной производительности и удобства в использовании делает vStack отличной альтернативой VMware, и уже есть примеры успешного перехода компаний с ПО зарубежного разработчика на российское.

Зарегистрируйтесь и начните пользоваться
сервисами Timeweb Cloud прямо сейчас

15 лет опыта
Сосредоточьтесь на своей работе: об остальном позаботимся мы
165 000 клиентов
Нам доверяют частные лица и компании, от небольших фирм до корпораций
Поддержка 24/7
100+ специалистов поддержки, готовых помочь в чате, тикете и по телефону