PCI DSS vs VMware part 4

Ниже я опишу как получить "чистый" скан в vGate Compliance Checker и VMware Compliance Checker for vSphere  для инфраструктуры установленной по принципу next->next->next. Не совсем типичный случай, но наиболее полно отражающий несоответствие стандарту PCI DSS.

Исследуемая  инфраструктура: ESXi  5.0.0, vCenter server установлен вместе с  MS SQL Server 2k8 R2 на MS Windows 2k3 st. R2 x64. Предварительно настроена только доменная авторизация. 

Результат скана vGate Compliance Checker:

Добавляем сервер ESXi, вводим имя учетной записи, пароль, запускаем скан:

vGate Compliance Checker Отчет о проверке Информация о соответствии настроек Ваших ESX/ESXi-серверов политикам безопасности PCI DSS, CIS Vmware ESX Server Benchmark и VMware Security Hardening Guide

Статистика

Проверено серверов: 1 Соответствуют политикам: 0 Не соответствуют политикам: 1 С ошибками: 0

[+][-] Сервер 192.168.10.128

[+][-] Политика VMware 4.1 [+][-] Запрет использования Managed Object Browser Не соответствует Политика блокирует возможность использования Managed Object Browser. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.15.4, VMware vSphere 4.1 Security Hardening Guide п.HCM02 "Disable Managed Object Browser" и PCI DSS v2.0 п.2.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет коммуникаций между виртуальными машинами через VMCI интерфейс Не соответствует Политика блокирует возможность использования VMCI интерфейса для соединения между виртуальными машинами. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.5 и VMware vSphere 4.1 Security Hardening Guide п.VMX12 "Disable VM to VM communication through VMCI". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки логирования виртуальных машин на ESX/ESXi-сервере Не соответствует Для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.4 "Rotate VM Log Files on the Host and Limit Their Size", VMware vSphere 4.1 Security Hardening Guide п.VMX20 и PCI DSS v2.0 п.10.7. Политика настраивает следующие параметры логирования: log.rotateSize=100000, log.keepOld=10 для каждой виртуальной машины. Политика назначается на ESX/ESXi-сервер. [+][-] Контроль за доступом через VMsafe CPU/Mem API Соответствует Если не используются продукты, работающие с VMsafe CPU/Mem API, то необходимо контролировать его применение. Политика проверяет, что у всех виртуальных машин сервера это API отключено и не настроено. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX52 "Control access to VMs through VMsafe CPU/Mem API". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер, но можно отменить контроль для некоторых виртуальных машин, назначив на них одноименную политику. Подробности в документации. [+][-] Разделение сетей консоли управления и виртуальных машин Соответствует Политика проверяет, что не используется одна сеть для Service Console (или Management vmkernel interface для ESXi) и виртуальных машин, для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.8.1 "Segregate Networks", VMware vSphere 4.1 Security Hardening Guide п.NAR01 и PCI DSS v2.0 п.1.2. Политика назначается на ESX/ESXi-сервер. [+][-] Отсылка событий сервера виртуализации на syslog-сервер Не соответствует Политика позволяет настроить ведение журнала событий ESX/ESXi-сервера на удаленном сервере syslog для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.11.3 "Configure syslogd to Send Logs to a Remote LogHost", VMware vSphere 4.1 Security Hardening Guide п.HLG01 и PCI DSS v2.0 п.10.2. Значение порта, отличное от 514, работает только на ESXi. Политика назначается на ESX/ESXi-сервер. [+][-] Проверка настроек SNMP агента (только для ESXi) Соответствует Политика позволяет проверить и задать в случае необходимости настройки для SNMP агента. Используйте ";" в качестве разделителя для указания нескольких обществ и приемников SNMP данных. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HMT02 "Ensure proper SNMP configuration (ESXi ONLY)". Политика назначается на ESXi-сервер. [+][-] Запрет подключения USB-носителей к ESX/ESXi-серверу Не соответствует Политика исключает возможность подключения съемных USB-носителей на ESX/ESXi-сервере. После включения данной политики необходима перезагрузка ESX сервера. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.VMX10 "Ensure Unauthorized Devices are Not Connected" и PCI DSS v2.0 п.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Контроль за доступом через VMsafe Network API Соответствует Если не используются продукты, работающие с VMsafe Network API, то необходимо контролировать его применение. Политика проверяет, что у всех виртуальных машин сервера это API отключено и не настроено. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX55 "Control access to VMs through VMsafe Network API". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер, но можно отменить контроль для некоторых виртуальных машин, назначив на них одноименную политику. Подробности в документации. [+][-] Ограничение размера vmx-файла Не соответствует Политика устанавливает максимальный размер для vmx-файла. Неконтролируемый размер VMX файла может привести к отказу в обслуживании при заполнении хранилища данных. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX21 "Limit informational messages from the VM to the VMX file". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Отключение приветственной страницы (Welcome Web Page) при подключении к интерфейсу управления ESX-сервера Не соответствует Политика отключает показ приветственной страницы (Welcome Web Page) при подключении к интерфейсу управления ESX-сервера. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCM05 "Disable Welcome web page". Политика назначается на ESX/ESXi-сервер. [+][-] Запрет отсылки информации о производительности ESX-сервера гостевым системам Не соответствует Политика отключает отсылку информации о загрузке ESX-сервера на гостевую OC, так как нарушитель потенциально может использовать эту информацию для получения информации об узле для осуществления дальнейших атак на хост. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.11 "Disable ESX Host Performance Data Delivery to a VM" и VMware vSphere 4.1 Security Hardening Guide п.VMX31. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин Не соответствует Политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.1 "Remove Guest Control of Hardware Devices", VMware vSphere 4.1 Security Hardening Guide п.VMX11 и PCI DSS v2.0 п.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Предотвращение шпионажа других пользователей на администраторских удаленных консолях Не соответствует Политика защищает открытую удаленную консоль Администратора от других подключений. Будет разрешено соединение удаленной консоли только с одной виртуальной машиной. Другие запросы будут отклоняться до окончания первой сессии. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.7 "Set RemoteDisplay.maxConnections to One", VMware vSphere 4.1 Security Hardening Guide п.VMX02 и PCI DSS v2.0 п.7.1. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки безопасности для виртуальных коммутаторов Не соответствует Политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи) для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.12 "Networking – vSwitch and PortGroup", VMware vSphere 4.1 Security Hardening Guide п.NCN03-05 и PCI DSS v2.0 п.7.1. Политика назначается на ESX/ESXi-сервер. [+][-] Предотвращение сжатия виртуальных дисков Не соответствует Политика устанавливает запрет на выполнение операции сжатия виртуального диска для каждой виртуальной машины для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.6 "Prevent Virtual Disk Shrinkage" и VMware vSphere 4.1 Security Hardening Guide п.VMX01. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Отключение неиспользуемого vSphere функционала Не соответствует Политика отключает у виртуальной машины функции для работы с VMware Workstation и Fusion. Остановка HGFS-сервера приведет к тому, что API, использующее его для отправки/приема файлов на/с гостевую систему (некоторые VIX команды или VMware Tools auto-upgrader) не будет работать. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.VMX24 "Disable certain unexposed features" и PCI DSS v2.0 п.2.2.4. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Включить Lockdown Mode Не соответствует Политика включает Lockdown Mode, который обязывает использовать vCenter для управления сервером (http://kb.vmware.com/kb/1008077). Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN02 "Enable lockdown mode to restrict remote access". Политика применяется только для ESXi-серверов, которые добавлены в vCenter. [+][-] Отключение Direct Console User Interface Не соответствует Политика блокирует возможность использования Direct Console User Interface. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN05 "Disable DCUI to prevent all local administrative control" и PCI DSS v2.0 п.7.1. Политика назначается на ESXi-сервер. [+][-] Аудит модулей ядра гипервизора без цифровой подписи Соответствует Политика проверяет загруженные модули ядра и информирует об использовании неподписанных модулей. Список разрешенных к загрузке неподписанных модулей можно расширить. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HMT15 "Audit for loading of unauthorized kernel modules (ESXi only)". Политика назначается на ESXi-сервер. [+][-] Запрет подключения съемных устройств на ESX/ESXi-сервере Не соответствует Политика запрещает подключение съемных устройств для соответствия требованиям PCI DSS v2.0 п.2.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX10 "Ensure Unauthorized Devices are Not Connected". Политика назначается на ESX/ESXi-сервер. [+][-] Отключение Tech Support Mode Не соответствует Политика блокирует возможность использования Tech Support Mode. Локальный и удаленный Tech Support Mode могут быть отключены независимо друг от друга. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN06 "Disable Tech Support Mode unless needed for diagnostics and break-fix" и PCI DSS v2.0 п.2.2.2. Политика назначается на ESXi-сервер. [+][-] Избегать использования несохраняющихся (nonpersistent) дисков Соответствует Политика проверяет и информирует об использовании independent-nonpersistent дисков у виртуальных машин. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.9 и VMware vSphere 4.1 Security Hardening Guide п.VMX22 "Avoid using independent-nonpersistent disks". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет удаленных операций в гостевой системе Не соответствует Политика блокирует возможность использования VIX API, что позволяет предотвратить запуск запрещенных операций на гостевой ОС для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.10 "Disable VIX API" и VMware vSphere 4.1 Security Hardening Guide п.VMX30. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет операций с буфером обмена Не соответствует Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.3 "Disable Cut and Paste", VMware vSphere 4.1 Security Hardening Guide п.VMX03 и PCI DSS v2.0 п.7.2. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX-сервер. [+][-] Установка и поддержка целостности файловой системы Не соответствует Политика ограничивает доступ к конфигурационным файлам служб для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.8 "Establish and maintain filesystem integrity", VMware vSphere 4.1 Security Hardening Guide п.HMT03 и PCI DSS v2.0 п.8.5. Политика назначается на ESX/ESXi-сервер. [+][-] Установка тайм-аута для работы в Tech Support Mode Не соответствует Политика устанавливает тайм-аут для работы в Tech Support Mode, по истечении которого Tech Support Mode будет отключен. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN07 "Set a timeout for Tech Support Mode". Политика назначается на ESXi-сервер. [+][-] Запрет NFS и NIS клиентов Не соответствует Политика блокирует работу NFS или NIS клиентов. Использование этих клиентов отключает межсетевой экран ESX-сервера для исходящих соединений. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.CON03 "Do not run NFS or NIS clients in the Service Console". Политика назначается на ESX-сервер. [+][-] Настройка постоянного журналирования на ESXi Не соответствует Политика позволяет задать путь к журнальному файлу в хранилище данных, что исключает потерю журнальных данных при перезагрузке сервера. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HLG02 "Configure persistent logging". Политика назначается на ESXi-сервер. [+][-] Ограничение доступа к VMsafe Network API Соответствует Политика позволяет ограничить доступ к VMsafe Network API путем задания единственного IP-адреса, который выступает в качестве VMsafe Network security appliance. Если указать "0" вместо IP, то доступ к VMsafe Network API будет запрещен. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.VMX56 "Restrict access to VMsafe network APIs" и п.HMT12 "Prevent unintended use of VMsafe network APIs". Политика назначается на ESX/ESXi-сервер. [+][-] Синхронизация времени Не соответствует Политика позволяет настроить синхронизацию времени для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.2 "Configure NTP", VMware vSphere 4.1 Security Hardening Guide п.HLG03 и PCI DSS v2.0 п.10.4. Политика назначается на ESX/ESXi-сервер. [+][-] Политика CIS for ESX 4 [+][-] Запрет использования Managed Object Browser Не соответствует Политика блокирует возможность использования Managed Object Browser. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.15.4, VMware vSphere 4.1 Security Hardening Guide п.HCM02 "Disable Managed Object Browser" и PCI DSS v2.0 п.2.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет коммуникаций между виртуальными машинами через VMCI интерфейс Не соответствует Политика блокирует возможность использования VMCI интерфейса для соединения между виртуальными машинами. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.5 и VMware vSphere 4.1 Security Hardening Guide п.VMX12 "Disable VM to VM communication through VMCI". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки логирования виртуальных машин на ESX/ESXi-сервере Не соответствует Для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.4 "Rotate VM Log Files on the Host and Limit Their Size", VMware vSphere 4.1 Security Hardening Guide п.VMX20 и PCI DSS v2.0 п.10.7. Политика настраивает следующие параметры логирования: log.rotateSize=100000, log.keepOld=10 для каждой виртуальной машины. Политика назначается на ESX/ESXi-сервер. [+][-] Контроль за доступом через VMsafe CPU/Mem API Соответствует Если не используются продукты, работающие с VMsafe CPU/Mem API, то необходимо контролировать его применение. Политика проверяет, что у всех виртуальных машин сервера это API отключено и не настроено. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX52 "Control access to VMs through VMsafe CPU/Mem API". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер, но можно отменить контроль для некоторых виртуальных машин, назначив на них одноименную политику. Подробности в документации. [+][-] Разделение сетей консоли управления и виртуальных машин Соответствует Политика проверяет, что не используется одна сеть для Service Console (или Management vmkernel interface для ESXi) и виртуальных машин, для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.8.1 "Segregate Networks", VMware vSphere 4.1 Security Hardening Guide п.NAR01 и PCI DSS v2.0 п.1.2. Политика назначается на ESX/ESXi-сервер. [+][-] Отсылка событий сервера виртуализации на syslog-сервер Не соответствует Политика позволяет настроить ведение журнала событий ESX/ESXi-сервера на удаленном сервере syslog для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.11.3 "Configure syslogd to Send Logs to a Remote LogHost", VMware vSphere 4.1 Security Hardening Guide п.HLG01 и PCI DSS v2.0 п.10.2. Значение порта, отличное от 514, работает только на ESXi. Политика назначается на ESX/ESXi-сервер. [+][-] Контроль за доступом через VMsafe Network API Соответствует Если не используются продукты, работающие с VMsafe Network API, то необходимо контролировать его применение. Политика проверяет, что у всех виртуальных машин сервера это API отключено и не настроено. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.17.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX55 "Control access to VMs through VMsafe Network API". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер, но можно отменить контроль для некоторых виртуальных машин, назначив на них одноименную политику. Подробности в документации. [+][-] Ограничение размера vmx-файла Не соответствует Политика устанавливает максимальный размер для vmx-файла. Неконтролируемый размер VMX файла может привести к отказу в обслуживании при заполнении хранилища данных. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX21 "Limit informational messages from the VM to the VMX file". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет отсылки информации о производительности ESX-сервера гостевым системам Не соответствует Политика отключает отсылку информации о загрузке ESX-сервера на гостевую OC, так как нарушитель потенциально может использовать эту информацию для получения информации об узле для осуществления дальнейших атак на хост. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.11 "Disable ESX Host Performance Data Delivery to a VM" и VMware vSphere 4.1 Security Hardening Guide п.VMX31. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин Не соответствует Политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.1 "Remove Guest Control of Hardware Devices", VMware vSphere 4.1 Security Hardening Guide п.VMX11 и PCI DSS v2.0 п.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Предотвращение шпионажа других пользователей на администраторских удаленных консолях Не соответствует Политика защищает открытую удаленную консоль Администратора от других подключений. Будет разрешено соединение удаленной консоли только с одной виртуальной машиной. Другие запросы будут отклоняться до окончания первой сессии. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.7 "Set RemoteDisplay.maxConnections to One", VMware vSphere 4.1 Security Hardening Guide п.VMX02 и PCI DSS v2.0 п.7.1. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки безопасности для виртуальных коммутаторов Не соответствует Политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи) для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.12 "Networking – vSwitch and PortGroup", VMware vSphere 4.1 Security Hardening Guide п.NCN03-05 и PCI DSS v2.0 п.7.1. Политика назначается на ESX/ESXi-сервер. [+][-] Предотвращение сжатия виртуальных дисков Не соответствует Политика устанавливает запрет на выполнение операции сжатия виртуального диска для каждой виртуальной машины для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.6 "Prevent Virtual Disk Shrinkage" и VMware vSphere 4.1 Security Hardening Guide п.VMX01. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Контроль за использованием VMsafe API для защитного модуля Соответствует VMsafe позволяет использовать одну из виртуальных машин как защитный модуль для инспектирования CPU/Memory или сетевых ресурсов других виртуальных машин. На всех виртуальных машинах, кроме испольняющей роль защитного модуля, эта функциональность должна быть отключена. Соответствует требованию CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.17.1. Политика назначается на ESX/ESXi-сервер, но виртуальные машины-защитные модули могут быть исключены из обработки соответствующей политикой. [+][-] Избегать использования несохраняющихся (nonpersistent) дисков Соответствует Политика проверяет и информирует об использовании independent-nonpersistent дисков у виртуальных машин. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.9 и VMware vSphere 4.1 Security Hardening Guide п.VMX22 "Avoid using independent-nonpersistent disks". После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет удаленных операций в гостевой системе Не соответствует Политика блокирует возможность использования VIX API, что позволяет предотвратить запуск запрещенных операций на гостевой ОС для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.10 "Disable VIX API" и VMware vSphere 4.1 Security Hardening Guide п.VMX30. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет операций с буфером обмена Не соответствует Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.3 "Disable Cut and Paste", VMware vSphere 4.1 Security Hardening Guide п.VMX03 и PCI DSS v2.0 п.7.2. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX-сервер. [+][-] Установка и поддержка целостности файловой системы Не соответствует Политика ограничивает доступ к конфигурационным файлам служб для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.8 "Establish and maintain filesystem integrity", VMware vSphere 4.1 Security Hardening Guide п.HMT03 и PCI DSS v2.0 п.8.5. Политика назначается на ESX/ESXi-сервер. [+][-] Синхронизация времени Не соответствует Политика позволяет настроить синхронизацию времени для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.2 "Configure NTP", VMware vSphere 4.1 Security Hardening Guide п.HLG03 и PCI DSS v2.0 п.10.4. Политика назначается на ESX/ESXi-сервер. [+][-] Политика PCI DSS [+][-] Запрет использования Managed Object Browser Не соответствует Политика блокирует возможность использования Managed Object Browser. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.15.4, VMware vSphere 4.1 Security Hardening Guide п.HCM02 "Disable Managed Object Browser" и PCI DSS v2.0 п.2.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки логирования виртуальных машин на ESX/ESXi-сервере Не соответствует Для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.4 "Rotate VM Log Files on the Host and Limit Their Size", VMware vSphere 4.1 Security Hardening Guide п.VMX20 и PCI DSS v2.0 п.10.7. Политика настраивает следующие параметры логирования: log.rotateSize=100000, log.keepOld=10 для каждой виртуальной машины. Политика назначается на ESX/ESXi-сервер. [+][-] Разделение сетей консоли управления и виртуальных машин Соответствует Политика проверяет, что не используется одна сеть для Service Console (или Management vmkernel interface для ESXi) и виртуальных машин, для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.8.1 "Segregate Networks", VMware vSphere 4.1 Security Hardening Guide п.NAR01 и PCI DSS v2.0 п.1.2. Политика назначается на ESX/ESXi-сервер. [+][-] Отсылка событий сервера виртуализации на syslog-сервер Не соответствует Политика позволяет настроить ведение журнала событий ESX/ESXi-сервера на удаленном сервере syslog для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.11.3 "Configure syslogd to Send Logs to a Remote LogHost", VMware vSphere 4.1 Security Hardening Guide п.HLG01 и PCI DSS v2.0 п.10.2. Значение порта, отличное от 514, работает только на ESXi. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет подключения USB-носителей к ESX/ESXi-серверу Не соответствует Политика исключает возможность подключения съемных USB-носителей на ESX/ESXi-сервере. После включения данной политики необходима перезагрузка ESX сервера. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.VMX10 "Ensure Unauthorized Devices are Not Connected" и PCI DSS v2.0 п.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Запрет контроля устройств ESX/ESXi-сервера со стороны виртуальных машин Не соответствует Политика запрещает гостевой операционной системе виртуальной машины контролировать устройства ESX-сервера для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.1 "Remove Guest Control of Hardware Devices", VMware vSphere 4.1 Security Hardening Guide п.VMX11 и PCI DSS v2.0 п.2.2. Политика назначается на ESX/ESXi-сервер. [+][-] Предотвращение шпионажа других пользователей на администраторских удаленных консолях Не соответствует Политика защищает открытую удаленную консоль Администратора от других подключений. Будет разрешено соединение удаленной консоли только с одной виртуальной машиной. Другие запросы будут отклоняться до окончания первой сессии. Соответствует требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.7 "Set RemoteDisplay.maxConnections to One", VMware vSphere 4.1 Security Hardening Guide п.VMX02 и PCI DSS v2.0 п.7.1. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Настройки безопасности для виртуальных коммутаторов Не соответствует Политика задает более строгие настройки работы виртуального коммутатора (запрещены смешанный режим, смена MAC-адреса и несанкционированные передачи) для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.12 "Networking – vSwitch and PortGroup", VMware vSphere 4.1 Security Hardening Guide п.NCN03-05 и PCI DSS v2.0 п.7.1. Политика назначается на ESX/ESXi-сервер. [+][-] Отключение неиспользуемого vSphere функционала Не соответствует Политика отключает у виртуальной машины функции для работы с VMware Workstation и Fusion. Остановка HGFS-сервера приведет к тому, что API, использующее его для отправки/приема файлов на/с гостевую систему (некоторые VIX команды или VMware Tools auto-upgrader) не будет работать. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.VMX24 "Disable certain unexposed features" и PCI DSS v2.0 п.2.2.4. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX/ESXi-сервер. [+][-] Отключение Direct Console User Interface Не соответствует Политика блокирует возможность использования Direct Console User Interface. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN05 "Disable DCUI to prevent all local administrative control" и PCI DSS v2.0 п.7.1. Политика назначается на ESXi-сервер. [+][-] Запрет подключения съемных устройств на ESX/ESXi-сервере Не соответствует Политика запрещает подключение съемных устройств для соответствия требованиям PCI DSS v2.0 п.2.2 и VMware vSphere 4.1 Security Hardening Guide п.VMX10 "Ensure Unauthorized Devices are Not Connected". Политика назначается на ESX/ESXi-сервер. [+][-] Отключение Tech Support Mode Не соответствует Политика блокирует возможность использования Tech Support Mode. Локальный и удаленный Tech Support Mode могут быть отключены независимо друг от друга. Соответствует требованию VMware vSphere 4.1 Security Hardening Guide п.HCN06 "Disable Tech Support Mode unless needed for diagnostics and break-fix" и PCI DSS v2.0 п.2.2.2. Политика назначается на ESXi-сервер. [+][-] Запрет операций с буфером обмена Не соответствует Политика устанавливает запрет на выполнение операций с буфером обмена для каждой виртуальной машины для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.16.3 "Disable Cut and Paste", VMware vSphere 4.1 Security Hardening Guide п.VMX03 и PCI DSS v2.0 п.7.2. После включения данной политики необходима перезагрузка виртуальных машин. Политика назначается на ESX-сервер. [+][-] Установка и поддержка целостности файловой системы Не соответствует Политика ограничивает доступ к конфигурационным файлам служб для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.8 "Establish and maintain filesystem integrity", VMware vSphere 4.1 Security Hardening Guide п.HMT03 и PCI DSS v2.0 п.8.5. Политика назначается на ESX/ESXi-сервер. [+][-] Отключить протокол IPv6 Соответствует Политика позволяет отключить протокол IPv6, если он не используется. Соответствует требованию PCI DSS v2.0 п.1.2.1 "Restrict inbound and outbound traffic to that which is necessary for the cardholder data environment". Политика назначается на ESX/ESXi-сервер. После применения политики необходим перезапуск сервера. [+][-] Синхронизация времени Не соответствует Политика позволяет настроить синхронизацию времени для соответствия требованиям CIS Security Configuration Benchmark For VMware ESX 4 v1.0 п.1.9.2 "Configure NTP", VMware vSphere 4.1 Security Hardening Guide п.HLG03 и PCI DSS v2.0 п.10.4. Политика назначается на ESX/ESXi-сервер.

Результаты политик для VMware 4.1 и CIS for ESX 4 нам пока не интересны.

PCI DSS наш сервер, естественно не соответствует. Для устранения уязвимостей буду использовать ESXi Shell (предварительно придется в services запустить ESXi Shell и SSH server) и PowerCLI.

- Запрет использования Managed Object Browser. Устранение этой уязвимости оставим напоследок, после ее устранения vGate Compliance Checker "ломается" (перестает получать данные от ESXi хоста)

 >vim-cmd proxysvc/remove_service "/mob" "httpsWithRedirect"

- Настройка логирования виртуальных машин на ESXi сервере. 

Я внес изменения в каждый *.vmx

logging = "true"

log.rotateSize = "100000"

log.keepOld = "10"

с первыми тремя параметрами все понятно, ограничения для "исключения возможности отказа в обслуживании при переполнении хранилища данных".

log.fileName = "/vmfs/volumes/datalog01/logvm/vmname.log"

этот параметр связан с моим личным "загоном": хранить, даже ограниченные, логи на продакшин системе считаю не совсем верным. Поэтому по мне так проще и удобнее при дальнейшем анализе и траблшутинге использовать отдельный datastore для хранения логов.

- Отсылка событий сервера виртуализации на syslog-сервер. Тут все совсем просто: перенаправляете логи ESXi на VMware Syslog Collector или любой другой централизованный сервер сбора логов, используемый в Вашей инфраструктуре.

- Запрет подключения USB-носителей к ESX/ESXi-серверу. Требование совершенно непонятно. Очень часто сервера используют всякие Token и прочие key. Вероятно авторы требования считают что ключи будут использоваться с помощью всяких USB over TCP/IP подключаясь через Cisco ASA. 

Я трактую этот пункт как: исключите возможность подключения различных не авторизованных устройств: USB, CD-ROM, floppy. Например:

floppy.present = "false"

Для остальных проводите проверку и инвентаризацию с помощью PowerCLI:

Get-VM | Get-USBDevice

Если такой вариант не устраивает, то отключите USB в BIOS, на BIOS поставьте пароль, состоящий из двух частей записанных на четыре листика, спрятанных в сейфы. 

По остальным пунктам продолжу в следующей части.