Что такое виртуализация VMware и как она работает?
При работе с контейнерами всегда есть риск утечки данных, поэтому необходимо предусмотреть надежную систему защиты. Эту задачу решают продукты VMware — компании, которая создает системы виртуализации для защиты контейнерных сред. В статье рассмотрим, как работает виртуализация VMware, и расскажем об обеспечении защиты контейнерных сред Docker и Kubernetes, а в заключительной части познакомимся и с альтернативными продуктами. Но сначала давайте выясним, какие уязвимости могут возникать при работе с контейнерными приложениями.
Уязвимости контейнерных сред
Суть контейнеризации в том, чтобы изолировать процессы как друг от друга, так и от вероятного негативного воздействия на ОС. Таким образом, контейнеры — это своеобразные песочницы, в которых ведется работа с теми или иными приложениями. Однако контейнеры уязвимы, и главная проблема в том, что при их запуске чаще всего нужны права суперпользователя. В результате из-за уязвимостей данных песочниц или ПО, работающего в той же физической среде, рискам подвергается вся система.
Худшее, что здесь может случиться — это jailbreak (он же root escape), ситуация, при которой вредоносный код проник настолько глубоко, что стал исполняться под учетной записью с корневым доступом (root), то есть с правами суперпользователя. В результате киберпреступники получают полный контроль над физическими ресурсами, а в некоторых случаях даже могут контролировать облачную среду. Но список уязвимостей контейнерных сред этим не ограничивается, к утечкам также приводит:
- Неправильная конфигурация. Это является причиной возникновения дыр в изоляции контейнерных сред.
- Изменение образа при развертывании. При отсутствии защиты от взлома образа контейнера киберпреступники могут скомпрометировать его и получить доступ ко всем данным.
- Нарушение конфиденциальности. При помещении образа контейнера в общее хранилище могут быть скомпрометированы учетные данные (логины, пароли и другая информация). Такая ситуация возникает из-за невнимательности при работе с контейнерами, поэтому профилактикой здесь может служить только повышение ответственности сотрудников.
- Отсутствие шифрования сетевых протоколов. Незашифрованные данные — лакомый кусок для злоумышленников, если компания представляет для них хоть какой-то интерес. Поэтому защита TLS и фильтрация трафика должны применяться в обязательном порядке.
Самые популярные инструменты для работы с контейнерами сегодня — Docker и Kubernetes, которые чаще всего используются совместно. Различие между ними в том, что Docker — это приложение для создания образов контейнеров и их запуска, а Kubernetes выступает в качестве оркестратора, то есть с его помощью осуществляется управление образами.
Многие из описанных выше уязвимостей характерны для Docker, однако ошибки приложения-оркестратора приводят к возникновению уязвимостей ничуть не реже, поскольку наличие в системе оркестратора свидетельствует о ее масштабах. Так, специалисты по кибербезопасности из компании Aqua Security еще два года назад подсчитали, что за 6 месяцев 2020 года количество атак на системы с развернутыми на них оркестраторами выросло на 26%.
Средства виртуализации VMware
Для решения этих проблем в VMware разработали целый ряд инструментов виртуализации физических машин, которые мы и рассмотрим.
ESXi VMware
ESXi VMware используется для создания гипервизоров, предназначенных для запуска нескольких связанных общей сетью автономных операционных систем на одном хосте. Есть возможность подключения гипервизоров ESXi к удаленным хранилищам для организации полноценных виртуальных машин с целью защиты контейнеризации. Также предусмотрена функция создания кластеров, составляемых минимум из 2 гипервизоров. Кластеризация дает возможность создания и удаления виртуальных машин, а также разделения аппаратных мощностей.
Главным плюсом ESXi с точки зрения обеспечения безопасности контейнерных приложений является повышенная защита от кибератак. Для этого используются продвинутые алгоритмы шифрования виртуальных машин, а также подробные логи, фиксирующие все изменения в операционной системе, поведении брандмауэров и отслеживающие сетевой трафик. Из других преимуществ ESXi выделим:
- Кроссплатформенность. Приложение работает на UNIX-подобных системах и под Windows.
- Экономия ресурсов. ESXi требует для работы чуть больше 120 Мб оперативной памяти.
- Удобное администрирование. Для этого в приложении предусмотрен интерфейс командной строки для управления системой с любого сервера, который в нее входит. Также администрирование осуществляется при помощи интерфейса vSphere Client, работающего под HTML5.
vCenter
Если виртуальная инфраструктура компании достаточно разветвленная, необходимы инструменты для централизации ее управления и масштабирования, если возникнет такая потребность. Обе эти задачи решает vCenter. Данная система мониторит работу всех виртуальных машин, отслеживая возникающие ошибки и угрозы, и контролирует хосты с гипервизорами ESXi. Также есть возможность гибкой настройки оповещений и триггеров. Из других преимуществ vCenter отметим:
- Управление, реализованное с помощью собственной ОС Photon. Эта ОС обеспечивает высокую скорость работы vCenter с быстрым поиском виртуальных машин, хостов, облачных хранилищ и сетей.
- Создание единой системы авторизации без необходимости повторной проверки.
- Возможности для масштабирования: используя всего одну копию vCenter, вы сможете развернуть на ней до двух тысяч хостов и до 35 тысяч ВМ (виртуальных машин).
- Для каждого хоста можно создать собственный профиль с конфигурационными файлами и параметрами сетей и хранилищ, что поможет без проблем развернуть их на других хостах, используя записанные параметры.
vSphere
Это комплексное решение, объединяющее ESXi и vCenter и обеспечивающее виртуализацию разветвленных контейнерных систем промышленного уровня. Инструменты vSphere позволяют гибко распределять нагрузки аппаратных мощностей и размещать несколько виртуальных машин на физическом сервере, причем эти виртуальные машины могут управляться различными ОС.
Таким образом, при помощи vSphere выполняется виртуализация любой физической инфраструктуры, независимо от ее разветвленности и сложности управления. А при правильной настройке vSphere риски уязвимостей контейнерных сред сводятся к минимуму. vSphere также позволяет:
- организовать управление виртуальными центрами обработки и хранения данных;
- равномерно распределять нагрузки, исключая простои ЦОД;
- удаленно обслуживать офисную инфраструктуру, не задействуя местные IT-отделы;
- создавать в рамках действующей инфраструктуры облачные сервисы и облачные хранилища с использованием OpenStack.
Как включить вложенную виртуализацию VMware
Вложенная виртуализация требуется в тех случаях, когда нужен запуск ВМ или эмулируемых приложений в гостевых системах. Она включается путем редактирования vmx-файла ВМ таким образом: vhv.enable = TRUE. Чтобы изменить этот параметр, загрузите файл, а после измененную версию с помощью браузера датастора. Теперь ESXi должен прочитать измененный vmx-файл. Для этого зайдите по SSH в гипервизор и в командной строке введите:
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/reload Vmid
Первая часть кода необходима для отображения списка ВМ и для определения VMID нужной нам ВМ. Выяснив номер, добавьте его во второй команде, после чего включите ВМ и убедитесь, что вложенная виртуализация стала доступной.
Что такое виртуализация IOMMU VMware
Функции IOMMU, которые введены с vSphere 6.7, позволяют включить аппаратную виртуализацию в BIOS. Она обеспечивает поддержку изолированных ВМ, которые напрямую управляются ESXi. Преимущество этой технологии в том, что такие ВМ не зависят от хоста и используемой платформы виртуализации. Для активации функции IOMMU в настройках Virtualization Technology пропишите параметр Enabled, так как по умолчанию виртуализация IOMMU выключена.
Альтернативные продукты
В завершение кратко рассмотрим несколько других коммерческих решений для безопасности контейнерных сред.
- Aqua Cloud Native Security Platform. Позволяет сканировать образы Docker и обеспечивает онлайн защиту, отслеживая малейшие изменения в контейнерах и подозрительную активность.
- CipherTrust Data Security Platform. С помощью CipherTrust можно настроить безопасную работу пользователей Docker, ограничив им доступ к конфиденциальной информации в системе.
- CloudGuard for Container Security. К преимуществам этого продукта отнесем постоянный мониторинг облачной безопасности, в том числе контроль за кластерами Kubernetes.
- Guardicore Centra Security Platform. Одно из лучших решений для организации защиты образов Docker в среде Kubernetes. Есть возможность выбрать нужный уровень микросегментации с перенаправлением данных на определенные кластеры Kubernetes.
- MVISION Cloud for Container Security. Обеспечивает безопасность сред контейнеризации в облаке. MVISION Cloud анализирует встроенный код в режиме реального времени и отслеживает подозрительное поведение, которое может свидетельствовать об угрозах.
- NeuVector Container Security. Сквозная система безопасности для Kubernetes с возможностями гибкой настройки доступа и защиты контейнеров, а также фильтрацией на самых глубоких уровнях (до L7 включительно).
- Prisma Cloud Compute. Организует многоуровневую защиту контейнерной среды вплоть до обеспечения безопасности хостов ОС. Из других преимуществ Prisma Cloud Compute отметим возможность масштабирования.
- Qualys Container Security. Полная поддержка Kubernetes и Docker с защитой сред контейнеризации на каждом этапе (Build, Ship, Run). Поведение каждого контейнера тщательно отслеживается с помощью встроенного сенсора.
- StackRox Kubernetes Security Platform. Как и следует из названия, это решение было разработано специально под Kubernetes. Создание гибких правил и списков, обеспечение безопасности на каждом этапе жизненного цикла контейнеров, моделирование угроз, анализ конфигурации Kubernetes — вот лишь некоторые возможности StackRox.
- Sysdig Secure. Обеспечивает контроль загружаемых образов Docker, не допуская загрузки тех, которые представляют потенциальную опасность. Из других возможностей отметим аудит API Kubernetes.
- Tenable.io Container Security. Это ПО предназначено для оценки исходного кода образов Docker. Риски оцениваются в соответствии с собственной шкалой безопасности.
- Trend Micro Cloud One. Выполняет сканирование образов с последующей командой на разрешение или запрет развертывания. При положительном решении о развертывании Cloud One обеспечит защиту образа в среде контейнеризации.
Российские аналоги VMware
Уже более полугода российские пользователи лишены легальных обновлений VMware и большинства других продуктов западного рынка для виртуализации, поэтому многие вынуждены искать альтернативы. Одна из таких альтернатив — vStack, похожая по функционалу платформа, которая развивается уже более трех лет. И развивается успешно: по данным бенчмарка Geekbench, производительность vStack выше, чем у VMware, более чем на треть.
В доказательство приведем свежие июньские тесты (июнь 2022 г.) vStack и VMware на этой площадке по показателю Multi-Core Score, то есть по совокупной производительности ядер процессора. Также добавим следующие преимущества:
- в два раза меньшие затраты на лицензию vStack по сравнению с VMware;
- оплата только за используемые ресурсы;
- более гибкое построение инфраструктуры (самостоятельный выбор компонентов) и масштабирование (все компоненты определяются ПО).
Такое сочетание стоимости, повышенной производительности и удобства в использовании делает vStack отличной альтернативой VMware, и уже есть примеры успешного перехода компаний с ПО зарубежного разработчика на российское.