Приказ суров, но справедлив. Часть 3 (целенаправленная совокупность взаимосвязанных действий).

В прошлых частях сурового и справедливого указа: часть 1 (теоретическая) и часть вторая (герменевтика) я постарался рассказать о требованиях Приказа ОАЦ № 62 к системам защиты систем виртуализации и о сложностях их толкования и реализации.

После всего что было, я просто обязан если не жениться, то рассказать про сертификацию ИС в РБ.
Однако я опоздал. Мой коллега Слава Аксенов уже все это сделал максимально информативно и доступно. С его разрешения публикую картинку о прелестях и тяготах, которые встречаются на жизненном пути информационных систем, живущих по понятиям согласно требований законодательства РБ.

VMUG #4 Belarus


4 декабря VMUG Belarus #4

Без регистрации никак.

Все традиционно:

Место: Галерея «NEWDAY», г. Минск, ул. Немига 36 (вход через ресторан NEWMAN)
Время: регистрация с 11.10, начало мероприятия 11.23

Самый правильный VMUG - некоммерческая встреча инженеров, посвященная стеку технологий виртуализации VMware.

Зачем: встретиться, поговорить за технологии виртуализации.

Маркетинга традиционно не будет.

1. Docker - и зачем оно вам надо ? Константин Введенский, VMware PSO, TAM, vExpert.
2. Horizon Cloud Pod - плюсы/минусы. Правдивая, настоящая история. Виктор Владимиров, VMware PSO, консультант.
3. Дизайн виртуального дата-центра. Правила хорошего тона. Антон Жбанков, vExpert, Cloud Architect.
4. VMware + Veeam. История спокойного сна IT отдела.  Владимир Ескин, технический консультант Veeam. Евгений Зосимов, технический консультант Veeam.
5. VMware Horizon + vSAN + NVIDIA GRID. Смешивай, но не взбалтывай. Александр Лавринович, Начальник IT-отдела ЗАО "БелКП-ПРЕСС".
6. vПроекты 2015 года. Накопленный опыт и практические советы. Владислав Кирилин, VMware PSO, Consultant.
7. VDI + VMware NSX. Демо для взрослых. Александр Купчинецкий, VMware, Senior System Engineer.
8. Встроенные средства обеспечения безопасности VMware vSphere. Сухо и комфортно. Сергей Горлинский, vExpert.


VMware vCloud Director WebMKSConsole (vmrc console) disconnected...

В жизни каждого инженера, делающего облака, наступает блаженный момент создания первой виртуальной машины через web интерфейс vCloud Director. Но чаще всего с первой попытки это бесчувственное чудовище отвечает вот такой картинкой:
vmrc console disconnected и беленький пустой экран в том месте, где должна быть консоль виртуальной машины. 
Причин такого беспредела может быть много. С самыми простыми и тривиальными все понятно: 

1. Некрасивенький не поддерживаемый браузер. Об этом vCD предварительно честно сообщит. Список поддерживаемых браузеров описан в kb. Все это дело сопровождается очень неприятной поправкой:
The vCloud Director Web Console is only compatible with 32-bit browsers. If a browser is listed as supported on a 64-bit operating system platform, the use of a 32-bit browser is assumed. 
... и отсутствием в списке поддерживаемых платформ OS X

2. С некоторых пор для работы с web console стало обязательным использование сертификатов, которые вы генерируете/импортируете при установке vCD. Поэтому необходимо корневые сертификаты импортировать в хранилище корневых доверенных. Данное условие необходимо выполнить как для интерфейса vCD, так и для console address (это такой второй интерфейс vCD, куда и происходят все редиректы при подключении к web console)

3. Сертификаты должны быть свежие и вкусно пахнущие действующие. Если вы внимательно их генерируете это не проблема, т.к. сами указываете срок действия сертификата. Если вы все делаете по любимому методу next/next/next, то сгенерированные, самоподписанные сертификаты будут валидны 3 месяца.

4. Нет разницы: используете вы самоподписанные сертификаты или выданные взрослым центром сертификации. Работает и с теми, и с другими.

5. ... и самое интересное:

даже если все вышеописанное выполнено, вы все равно увидите унылую картинку №1
Природа жизнедеятельности java остается непознанной всем разумным человечеством, поэтому посмотрим, что в таком случае нам говорит сама java:
в отладочном режиме java консоль сообщает неутешительное - "я попробовала это сделать, но не смогла". Однако в красненьких сообщениях есть полезная информация: в строке подключений указан IP адрес, а не имя. В сертификатах мы же указали, естественно, имя.
Для сертификатов, выданных сторонним центром сертификации, данную проблему можно решить обходным путем, добавив поддержку альтернативных имен и внеся IP адреса интерфейсов в список этих самых альтернативных имен.

Для самоподписанных, использование которых не есть правильно, так сделать не получится, поэтому мы вынуждены сделать все правильно:
В настройках vCD необходимо прописать адреса интерфесов в строках "vCloud Director secure public URL" и особенно в "vCloud Director public console proxy address", не обращая внимания на ключевое "public":

Прописывание адреса для REST API на работоспособность REST API никак не влияет.

По мотивам бесед с достойнейшим из достойнейших @Константином Введенским

VMware vSphere 6.0.0b - работа над ошибками

Пару дней назад закончив ругаться на невнятные ошибки при импорте vAPP template из vSphere я описал ситуацию "нерабочести" такого действа в совокупности с включенным sDRS.
А уже вчера любимая компания зарелизила 6-ку до 6b-ки и указанная фича была пофикшена:
vApp creation fails when storage DRS is enabled 
When you use vCloud Director 5.5.3 with vSphere 6.0, any operation that clone a vApp, including add to my cloud, instantiate a vApp template, copy, relocate, or import a vApp might fail when the target virtual data center includes a storage DRS-enabled storage cluster that does not support source virtual machine's storage profile.
This failure logs an error message similar to the following:
Could not find datastore to create VM ...Cannot use datastore [vcId=nnnn, moref=datastore-nn] since it does not support storage policy SDRS_SP
Из полезного в новой сборке пофикшены баги с SSO, VASA, Host Profile, куча глюков в vCenter appliance, ошибки с отображением Hardwsre Status хостов, пакет глюков с VMware Tools, и невозможность создать vmfs5 размером большим 16 ТБ

Из МЕГО-полезного: стал возможен перенос SSL сертификатов VPXD при обновлении с 5.x на 6-ку
VPXD SSL certificates might not be migrated after upgrade to vCenter Server 6.0 
After you upgrade from vCenter Server 5.5 to 6.0 using an external Single Sign-On, the VPXD SSL certificates might not be migrated if the VPXD certificate is replaced by custom certificate prior to upgrade.
Также в сборку за буквой "b" добавлены все патчи, вышедшие после резина 6-ки.

Полные списки изменении для ESXi и vCenter. Доступны обновления и для закачки - ESXi и vCenter Server.


VMware User Group 2015 Россия. Программа.

Антон Жбанков обновил программу VMUG 2015 Россия.

10 июля, Москва

Владислав Кирилин (VMware), Сергей Горлинский (ActiveCloud) "Грузим грабли камазами"

Виктор Владимиров (VMware) "Horizon - плюсы и минусы из реальной практики внедрения"

Александр Серебряков (F5) "Построение отказоустойчивой платформы Horizon View"

Владимир Ескин (Veeam) "Veeam + VMware = Love"

Максим Шапошников (Nutanix) "Новости гиперковергентных инфраструктур"

Андрей Бешков (Microsoft) "Рекомендации по безопасности виртуальных инфраструктур"

Антон Жбанков (Step Logic), Сергей Груздов (Монт) "Демо-стенд на 1000ВМ. Только практика"

Константин Введенский (VMware) "Что такое vVols и с чем их едят"

Место проведения: Best Western Plus Vega Hotel & Convention Center


До встречи на VMUG!

vCloudDirector import vAPP template from vSphere vs SDRS

Organization Catalog, доказавший свою состоятельность и полезность в vCloudDirector, успешно клонировался в vSphere.
Однако, не смотря на всю кажущуюся простоту работы с ним, низкая информативность ошибок в совокупности со слабой описательной частью в различных вендорных мануалах, зачастую приводят к долгим изысканиям на тему "почему же оно не работает как надо".

Одной из самых удобных функций при формировании каталога является импорт виртуальных машин в каталог из vSphere. 

На начальной стадии импорт редко проходит успешно и чаще завершается малопонятными ошибками как эти:
"The operation could not be reformed because the argument is invalid. A specified parameter was not correct.
StoragePlacementSpec.podSelectionSpec.initialVmConfig[].disk.diskid"
Row was updated or deleted by another transaction (or unsaved value mapping was incorrect)
Не смотря, на кажущиеся отличия в описании этих ошибок, природа их одинакова. Обе ошибки связаны с отсутствием "чего-то" в кластере, на ресурсах которого хранится и используется Organization Catalog. 

Теперь о необходимых шагах, чтобы такой импорт прошел без ошибок:

1. Предположим, что у нас есть 2 кластера: кластер управления и ресурсный кластер (в рамках которого и хранится каталог). Не смотря на то, что импорт доступен из любого из кластеров, исходной lun хранения vm должен быть доступен для хостов ресурсного кластера. 
Шарить один lun между разными кластерами не является хорошей практикой, но это придется сделать для машин, зарегистрированных в кластере управления или исходную vm необходимо будет переместить на ресурсный кластер и в нем же vm зарегистрировать.

2. Настройки vm, как контейнера, должны быть максимально обезличены:
Никаких подключены дисков и сетевых адаптеров c подмапленными сетями. 

3. Самое неочевидное и смело попадающее в категорию "not a bug but a feature" - в качестве назначения хранения каталога нельзя использовать storage cluster с включенным SDRS. В случае невыполнения данного условия импорт падает с ошибкой, описанной выше. Этим VMware как бы намекает, что каталоги необходимо хранить в рамках отдельного lun, который, кстати, должен быть доступен всем хостам ресурсного кластера, но может быть недоступен как часть ресурса пользовательского VDC. Если такой возможности нет, и вы храните системный каталог в рамках общего storage cluster с включенным SDRS - на время импорта отключайте SDRS

Ну и напоследок: если вы ленивы, просто создайте универсальный vmx, который будет проходить необходимые проверки, подложите его к машинке, а после импорта замените. Вариант работает, но я не несу никакой ответственности если используя такой вариант вы что-то сломаете, как, впрочем, вообще не несу никакой ответственности в любой другой ситуации. 

VMware User Group 2015 Россия



10 июля в Москве. Стильно Модно Молодежно. Много технических докладов и никакого маркетинга.

Подробности и регистрация здесь.

nbbf: vShield Manager & Specify a vCenter user


Один известный производитель ПО для виртуализации продолжает радовать багами фичами в своих продуктах.
Ролевой доступ, казалось бы, куда уж проще, но нет.

Возникла необходимость предоставить доступ сетевому инженеру к vShield Manager.
Пошел на SSO, сделал учетку и добавил ее через интерфейс vShield Manager.



Красота. Высылаю login | password. А мне вот так в ответ:


Думаю, ладно промазал с паролем два раза. Меняю пароль еще раз, высылаю сетевику, а он мне - "ничего не изменилось". Сетевики люди специфические, особенные - проверил сам, результат - "ничего не изменилось"

В поисках решения вопроса с очередной фичей логики было мало, но был результат. 
Чтобы доступ заработал пришлось дать доступ Администратора на объект "виртуальная машина"
Красота... при полном отсутствии логики.

Приказ суров, но справедлив. Часть 2 (герменевтика)



Как она ни пыталась, она не могла найти тут ни тени смысла, хотя все слова были ей совершенно понятны (c)

В прошлый раз я остановился на описании мат. части двух документов, определяющих принципы защиты информации в РБ и РФ:

·       Приказ ОАЦ за номером 62 «О некоторых вопросах технической и криптографической защиты информации»
·       Приказ ФСТЭК за номером 17 «Об утверждении Требований
 о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Для большей наглядности свел информацию, касающуюся виртуализации, в одну общую табличку.

Приказ суров, но справедлив. Часть 1 (теоретическая).


Начну с того, что я так и не смог найти картинку для этого поста корелирующую с содержанием и выбрал максимально подходящую с моей точки зрения.

Не прошло и трех лет 16 января 2015 года широкому кругу заинтересованных стала доступна обновленная версия Приказа ОАЦ за номером 62, в которой впервые появилось столь любимое всеми нами слово «виртуализация». А это значит, что существование технологий виртуализации официально признано и узаконено для использования в государственных органах РБ, естественно, при выполнении всех обозначенных требований по обеспечению технической и криптографической защиты информации.
Требований таких набралось не много не мало, а 8 штук. Числятся они за номерами с 47 по 54, распространяются на классы объектов информатизации A2, Б2 и B2 и звучат так:

PCI DSS и хостинг-провайдеры

Начиная с версии стандарта 2.0 вместе с требованиями к виртуализации появились требования к хостинг-провайдерам. В версии 3.0 данные требования претерпели изменения, но все же остались,

А это значит, что вполне допустимо размещать сайты из scope PCI DSS на ресурсах публичного хостинг-провайдера, который предоставляют общую среду размещения данных для нескольких клиентов на одном и том же сервере.

Попытаемся разобраться чего это будет стоить для клиента и как сильно надо заморачиваться провайдеру, чтобы удовлетворить требованиям PCI DSS.

1. Хостинг-провайдеры должны обеспечивать безопасность сред и данных, принадлежащих каждой из обслуживаемых сторон
Как и принято в PCI DSS общее требование обо всем и не о чем. Природа требования вполне очевидна: совместное использование серверов клиентами как попадающими под требования PCI DSS, так и нет, Атака на PCI DSS-ого клиента возможна через менее защищенного не PCI DSS-ого.

2. Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/парольная фраза) для каждого клиента.
К счастью и в силу торжества здравого смысла, данное требование исключает хостинг-провайдеров, а до июля 2015 года носит рекомендательный характер.

3. Внедрить и поддерживать следующие политики и процедуры взаимодействия с поставщиками услуг, которые имеют доступ к данным держателей карт или могут повлиять на безопасность данных держателей карт.
Данное требование распространяется на клиентов, а не хостинг-провайдера, однако, клиент может и должен спросить провайдера за наличие соответствующих политик, регламентов, процедур. Говоря проще: если, вы передаете хостинг-провайдеру данные держателей карт - вы идиот ваш хостинг-провайдер идет в бой с PCI DSS по полной программе, с выполнением всех требований стандарта.

Добираемся до самого интересного: "Приложение А. Дополнительные требования PCI DSS для поставщиков услуг хостинга", данное приложение ставит крест на нашем желании разместить сайтик из scope PCI DSS где-нибудь на стороне.

4. Согласно требованиям 12.8 и 12.9 все поставщики услуг, имеющие доступ к данным держателей карт (включая поставщиков услуг общего хостинга) должны выполнять требования PCI DSS.
Для хостинг-провайдера это значит, что он идет на аудит по полной программе, с выполнением всех требований + дополнительные требования для хостинг-провайдеров.

Дополнительные требования для хостинг-провайдера совершенно понятны, очевидны, разумны, не требуют дополнительных комментариев и являются нормой для хостинг-провайдеров:

4.1 Ограничить доступ приложений каждого клиента только к своей среде данных держателей карт:
Ни одно приложение и ни один пользователь не может использовать имя пользователя, от которого работает разделяемый веб-сервер.
Все CGI-скрипты, используемые клиентом, должны быть созданы и запущены от имени идентификатора клиента.

4.2 Ограничить доступ клиента только к своей среде данных держателей карт:
Ни один из клиентов не должен обладает правами администратора/суперпользователя.
Каждый клиент имеет права чтения, записи и выполнения только своих утилит и данных. Для ограничения могут применяться права доступа к файловой системе, списки контроля доступа, средства chroot, jailshell и т.п.
У клиентов должны отсутствовать права записи в разделяемые системные библиотеки и исполняемые файлы.
Просмотр журналов протоколирования должен быть доступен только владельцу.
Для каждого клиента должны быть установлены лимиты на использование следующих системных ресурсов: дисковое пространство; канал; память; ЦП.

4.3 Протоколирование действий и событий должно быть включено для каждого клиента и соответствовать требованию стандарта PCI DSS.
Протоколирование должно быть настроено для всех типичных используемых на сервере приложений сторонних производителей.
Протоколирование должно быть включено по умолчанию.
Журналы должны быть доступны для просмотра администратору и клиенту, для которого выполняется протоколирование.
Журналы должны быть расположены в каталогах, доступных клиенту.

4.4. Наличие процессов, позволяющих провести расследование инцидентов по каждому клиенту.
У хостинг-провайдера должны быть внедрены политики, описывающие правила проведения расследования в случае компрометации данных клиентов.

*мечте конец

Сколько же стоит такое удовольствие?
Прайс листа, естественно, нет, но на просторах интернета от профильных специалистов была озвучена цифра - 1 млн. мертвых президентов.
Цифра озвучена представителями профильных интеграторов, помогающих заблудшим найти путь к соответствию стандарту, поэтому смело делим ее на 5.
В полученные 200К входит подготовка к прохождению аудита собственными силами, заказать аккредитованных VISA аудиторов (QSA), обеспечить им приличную вписку и питание по расписанию. Это capex первого года аудита, последующие ежегодные opex (ежегодное подтверждение) будут, вероятно, меньше. Естественно, разговор идет о PCI DSS Level 1 (с обработкой более 6 млн. транзакций в год),

Для хостинг-провайдера эта процедура обойдется примерно в 50k capex первого года и opex 20 ежегодно.

**бизнес плану конец

С учетом наличия в РБ 2-4 прошедших PCI DSS Level 1 банков, появления ручного хостинг-провайдера под их нужды выглядит совершенно маловероятным,






VMUG VMware's EVALExperience


В начале 2015 года для участников VMUG Advantage подписки стала доступна новая программа    - VMware's EVALExperience.

Заплатив две сотни мертвых американских президентов кроме всяких скидок на обучение, курсы, книги, экзамены в рамках EVALExperience предоставляется доступ к всяким полезным лицензионным ключам на продукты компании VMware.

В списке присутствуют все самое вкусное:
  • VMware vCenter Server™ 5 Standalone for vSphere 5
  • VMware vSphere® with Operations Management™ Enterprise Plus
  • VMware vCloud Suite® Standard
  • VMware vRealize™ Operations Insight™
  • VMware vRealize Operations™ 6 Enterprise
  • VMware vRealize Log Insight™
  • VMware vRealize Operations for Horizon®
  • VMware Horizon® Advanced Edition
  • VMware Virtual SAN™
Естественно, все это закрыто унылым "для домашнего использования, не для коммерческих целей и т.п". 

Процесс доступа ко всему этому счастью достаточно простой: регистрация на vmug.com, покупка VMUG Advantage, на почту приходит письмо с ссылкой на https://vmugadvantage.onthehub.com для подтверждения регистрации на EVALExperience,  подтверждаем, логинимся здесь и получаем картинку с доступными продуктами. Дальше как в магазине: выбираем, покуем за 0 $, получаем ссылку на загрузку и ключик. 


Oracle DB backup... Veeam ?

В декабре прошло года в очередной раз прошел VMUG Belarus. Было много интересных, познавательных и противоречивых докладов.

Огромное спасибо компаниям Veeam, VMware за поддержку и помощь в организации.
Генриху Загальскому, Саше Купчинецкому, Антону Жбанкову, Александру Емецу, Володе Ескину и Владу Кирилину за качественный контент и приятное общение.

Никогда не выкладывал презентации докладчиков - без живого общения с авторами они не особо полезны. Однако, в этот раз будет небольшое отклонение от правила. 




Настоятельно рекомендую к вдумчивому ознакомлению и осознанному использованию. 
Делать бекапы умеют все вендоры, а восстанавливать нет. 
И да, оно и правда работает :)

... а в этом году будет весенний vmug :)