В предыдущей заметке я поднял вопрос об аудите безопасности виртуальной инфраструктуры путем анализа конфигурации и мне поступило несколько вопросов по нашей бесплатной утилите vGate Compliance Checker.
vGate Compliance Checker позволяет быстро и просто проверить соответствие настроек виртуальной инфраструктуры требованиям отраслевых стандартов, рекомендаций и лучших практик. Поддерживается проверка ESX- и ESXi-серверов из состава VMware vSphere 4.1, VMware vSphere 5 и VMware vSphere 5.1. Предыдущая версия утилиты работает с ESX из состава VMware Infrastructure 3 и VMware vSphere 4.
Список стандартов, рекомендаций и практик, представленных в программе:
- PCI DSS 2.0;
- VMware Security Hardening Best Practices 4.1;
- CIS VMware ESX Server Benchmarks 4;
- Требованиям к классам "РД АС";
- Требованиям к ИСПДн (к сожалению, в текущей версии только по старым требованиям к классам, скоро будет обновление);
- Требованиям СТО БР к ИСПДн.
Вернемся к vGate Compliance Checker, с точки зрения интерфейса и функциональности утилита очень простая:
В главном окне программы отображается список ESX/ESXi-серверов для проверки. Сервера можно добавить, удалить, редактировать, в настройках задается таймаут подключения. Добавив все сервера, нажимаем "Запустить" и видим прогресс аудита:
По окончанию аудита станет доступной кнопка "Детали", по нажатию на ней откроется окно с кратким перечнем всех проверок и их результатом:
Подробную информацию можно получить в HTML-отчете - для его формирования нужно нажать на кнопку "Сохранить":
В отчете программы можно увидеть не только результаты проверки по каждому из пунктов, но и ознакомится с их подробным описанием. Кроме прочего, это позволяет быстро ознакомится со стандартами и рекомендациями, без необходимости анализировать первоисточники (бонус для читателей - отчет с описаниями настроек можно посмотреть тут).
Много вопросов возникает, когда пользователи спрашивают - как этот список параметров может относится к PCI DSS или "РД АС", ведь в них такого нет, в отличие от рекомендаций и лучших практик, где указываются конкретные настройки и их значения. Это действительно так, в нормативных документах не описываются конкретные настройки разных продуктов, мы провели серьезную аналитическую работу, чтобы превратить общие требования стандартов в список настроек ESX/ESXi и vGate. Естественно, проверка осуществляется на выполнение только тех требований, которые применимы к виртуальной инфраструктуре в части ESX/ESXi и vGate, положительный отчет не означает полное соответствие всей автоматизированной системы требованиям нормативных документов.
Загрузить vGate Compliance Checker можно на сайте Код Безопасности. На все возникающие вопросы я отвечу в комментариях, пишите!
Комментариев нет:
Отправить комментарий