ФСТЭК дал рекомендации по харденингу VMware: эксперт разобрал ключевые моменты
ФСТЭК опубликовал новые рекомендации по повышению безопасности (харденингу) VMware. Эксперт «Газинформсервис» Дмитрий Служеникин в комментарии SecPost разобрал ключевые пункты документа, включая важность внешнего хранения логов, использование SIEM-систем и принципы создания надежных бэкапов.
Федеральная служба по техническому и экспортному контролю России опубликовала новый набор рекомендаций по настройке ПО в «условиях сложившейся обстановки». В этот раз регулятор коснулся рекомендаций для харденинга (повышения безопасности системы) VMware. В комментарии SecPost помощник начальника аналитического центра компании «Газинформсервис», секретарь Консорциума исследований безопасности технологий ИИ Дмитрий Служеникин разобрал новые рекомендации.
По словам Служеникина, первое, на что обращает внимание регулятор, — это сбор логов. В гайде подробно описаны их варианты и, кроме того, указано на возможность сохранения логов вне системы. Как считает эксперт, так регулятор «толсто» намекает на то, что лучше бы хранить логи отдельно.
«Это крайне важно в случае расследования инцидентов, — подчеркивает Служеникин. — Когда заражен и/или зашифрован основной сервер, получить с такого сервера логи проблематично. Также изменение логов злоумышленниками на другом сервере — это сложно и требует проведения полноценной операции по проникновению», — отмечает эксперт.
Также регулятор рекомендует пользоваться SIEM (Security Information and Event Management), предназначенным для мониторинга, анализа и управления событиями безопасности в корпоративной IT-инфраструктуре. SIEM объединяет функционал SIM (управление информацией, ориентированное на долгосрочное хранение логов, их анализ и отчетность) и SEM (управление событиями с акцентом на анализ, отправку предупреждений и автоматизированное реагирование).
SIEM необходим для мониторинга и разбора журналов событий. Служеникин признает, что человек может и в ручном режиме смотреть логи, — но задает риторический вопрос: «Нужно ли пахать поле на лошади при наличии трактора?»
Как отмечает Служеникин, регулятор обращает внимание на ряд действий, которые уже стали базовыми, — а именно бэкап на базе минимум трех копий системы с разными носителями для хранения. Исходя из собственного опыта он рекомендует также проведение обязательных тренировок по восстановлению систем из бэкапов. Бывает, что бэкапы-то есть, но после обновления или изменения файловой структуры их крайне сложно восстановить.
Регулятор также рекомендует обязательно пользоваться MFA (многофакторной аутентификацией) и ограничивать root-доступ по SSH для привилегированных пользователей, если нельзя установить запреты. Служеникин, в свою очередь, советует использовать PUM (Privileged User Management) и СКДПУ (Система контроля действий привилегированных пользователей) — это разные понятия, но они связаны.
«Документ подходит как начинающим пользователям виртуальной инфраструктуры, так и опытным — для самопроверки по разным параметрам. От блокировки портов HTTPS (порт 443), клиента vSphere для консоли (порт 902 TCP/UDP) и vMotion (TCP 8000) до аргумента при общении с руководством, когда они будут просить ресурсы под бэкапы или ограничивать доступы для поставщиков различных ИТ-услуг», — отмечает эксперт.
Читайте также
