استفاده از ویژگی‌های VMware vSphere در حذف باج ­افزار

تجهیزات شبکه نیازمند رسیدگی هستند و مقابله با خرابی در سطح شبکه بسیار مهم است. از جمله ویژگی‌های VMware vSphere می توان گفت که از دو تکنیک‌ اصلی Failover شبکه پشتیبانی می‌کند: 802.3ad Link Aggregation Control Protocol یا LACP وvSphere NIC Teaming and Failover .

LACP یک روش متداول برای تجهیزات شبکه بوده که اتصالات جداگانه شبکه را جمع کرده و امکان Failover سریع و کنترل‌شده سرویس را در انواع مختلفی از حالت‌های خرابی فراهم می‌کند. LACP نیازمند این است که تجهیزات شبکه و ESXi بصورت درست پیکربندی گردد. LACP گاهی اوقات با سیستم‌های Storage تطبیق‌پذیر نیست که معمولاً روش‌های دیگری برای رسیدگی به Failover در حالت محدود به زمان دارند.

vSphere NIC Teaming and Failover نیازمند مشارکت از سوی سوئیچ‌های شبکه نبوده و پیکربندی ساده‌ای دارد. یک ادمین vSphere دو یا چند NIC فیزیکی را به یک سوئیچ مجازی متصل می‌کند که نشان می‌دهد ترافیک چگونه توزیع می‌شود و خرابی‌ها چگونه شناسایی شده و به آن‌ها رسیدگی می‌گردد. دو روش برای شناسایی خرابی‌ها وجود دارد: وضعیت لینک و Beacon Probing. وضعیت لینک صرفاً بررسی می‌کند که آیا NIC دارای لینک هست یا خیر و شاید وضعیت‌هایی را شناسایی نکند که در آن Spanning Tree پورتی را بلاک کرده، پورت دارای پیکربندی اشتباه است، پورت خطا ایجاد می‌کند و غیره.Beacon Probing می‌تواند Packetهایی را ارسال کند و روی NICهای دیگر به آن‌ها گوش دهد که کمک می‌کند پیکربندی‌های اشتباه را شناسایی کند، اما نیازمند سه یا چند NIC است تا کارآمد باشد. درست مثل طراحی کلاستر، وجود دو منبع اطلاعات بدین معنا است که وقتی خطا رخ داد، نمی‌توانیم «Tiebreaker» داشته باشیم.

Trusted Platform Modules

Trusted Platform Modules یا TPMها اجزای افزونه ارزان‌قیمت برای سخت‌افزار سرور هستند و سه هدف را برای سیستم عامل مثل ESXi برآورده می‌کنند:

1. فراهم کردن یک حوزه ایمن برای Storage
2. ایجاد اعداد تصادفی برای تغذیه PRNGها.
3. Host کردن گواهی‌ها و اثبات اینکه Host در حالت به‌خصوصی است برای ایجاد اعتماد.

TPM با رمزگذاری به Hostی متصل است که از ابتدا درون آن نصب و پیکربندی‌شده است، تا امکان انتقال به Host دیگری را نداشته باشد. از به‌روزرسانی دوم ESXi 7 به بعد، پیکربندی Host وقتی‌که روی ESXi Boot Volume ذخیره شده باشد، رمزگذاری می‌شود. اگر ESXi Host با یک TPM 2.0 فعال‌سازی شده باشد، کلید رمزگشایی را در TPM ذخیره می‌کند و به اطمینان حاصل کردن از اینکه اطلاعات حساسی روی Boot Volume ذخیره نشده باشد کمک می‌کند. ویژگی‌های دیگری مثلvSphere Native Key Provider، vSAN و ESXi Key Persistence نیز راز‌های خود را در TPM ذخیره می‌کنند.

شمای کلی شبکه مجازی مبتنی بر VMware vSphere

ویدیوهای بیشتر درباره ی VMware vSphere

TPMها مستقیماً به حملاتی مثل با ج‌افزار رسیدگی نمی‌کنند، اما چرخه عمر، استفاده مجدد و عملیات دیگر را ساده‌تر و ایمن‌تر می‌نمایند. این امر زمان کارمندان و بودجه سازمانی را آزاد کرده و به آن‌ها این توانایی را می‌دهد که روی دفاع‌های دیگر خود تمرکز کنند.

احراز هویت و مجوز

یکی از متداول‌ترین روش‌ها برای نقض امنیتی زیرساخت سرقت اطلاعات اعتباری است. بسیاری از سازمان‌ها احراز هویت و مجوز زیرساخت خود را به یک ارائه‌کننده هویت مرکزی Microsoft Active Directory متصل می‌کنند. رد دسترسی یک مهاجم به زیرساخت‌ها معمولاً به جداسازی مدیریت هویت زیرساخت از سیستم‌های هویت بستگی دارد که برای باقی سازمان‌ دسکتاپ‌ها و غیره مورداستفاده قرار می‌گیرد.

مهاجمانی که یک ارائه دهنده هویت را دچار نقض امنیتی می‌کنند، اغلب می‌توانند خود را به گروه‌های مجوز اضافه کنند و به‌سادگی وارد سیستم‌هایی شوند که نباید به آن‌ها دسترسی داشته باشند. علاوه بر این، اتکا به سیستم‌های هویت مرکزی به این معنی است که مدیران آن سیستم‌ها به‌طور بالقوه مدیران زیرساخت نیز هستند، زیرا می‌توانند به‌دلخواه خود را به گروه‌های دسترسی به زیرساخت اضافه کنند. برخی از تلاش‌ها برای تطبیق‌پذیری با مقررات مثل PCI DSS و NIST 800-171، ادمین‌های مدیریت هویت را تحت عنوان In Scope برای ممیزی و تطبیق‌پذیری Flag می‌کند. سازمان‌هایی که نمی‌خواهند ادمین‌های دامین‌هایشان Storage، فایروال، vSphere یا سایر ادمین‌ها باشد، باید در استفاده از گروه‌های دامین برای مجوز تجدیدنظر کنند.

اکثر زیرساخت IT ازجمله vSphere، امکان انجام احراز هویت و مجوز روی دستگاه‌ها و خود سیستم‌ها فراهم می­کند. این امر مزیت عدم وابستگی به سیستم‌های دیگر را دارد، اما نظارت و ممیزی سخت و مدیریت آن خسته‌کننده است و تضمین نمی‌کند که یک ادمین از رمزهای عبور مجدد استفاده نخواهد کرد. vSphere امکان جداسازی مجوز را می‌دهد، جایی که احراز هویت می‌تواند در برابر یک منبع هویت مرکزی مانند Active Directory انجام شود، اما مجوز با یک گروه vSphere SSO انجام می‌شود و نه یک گروه دامین. این امر مزیت انجام ممیزی راحت را دارد و اغلب به‌راحتی پیاده‌سازی می‌شود، درحالی‌که دسترسی مهاجم را به‌طور تدریجی سخت‌تر می‌کند.

بسیاری از سازمان‌ها به ایجاد ارائه‌دهندگان هویت مجزا برای سیستم‌های زیرساخت IT خود شروع کرده‌اند ، مانیتورینگ دقیق برای لاگین‌های ناموفق و همچنین لاگین‌های موفقی که غیرعادی باشد. برخی از سازمان‌ها از ESXi Lockdown Mode استفاده می‌کنند تا دسترسی به تمام Hostها را محدود نمایند و احراز هویت روزمره را از طریق vCenter Server و vSphere Identity Federation انجام می‌دهند. استفاده از Active Directory Federation Services یا ADFS با Identity Federation امکان احراز هویت چندعاملی یا MFA را فراهم می‌کند و چندین افزونه Third-Party MFA آماده و قابل‌دسترسی از TOTP ساده گرفته تا خدمات کاملی مثل Duo، Okta، Ping و غیره می­باشند.

احراز هویت زیرساخت تحت پشتیبانی Microsoft Active Directory می­باشد که پشت کنترل‌های Perimeter زیرساخت پیاده‌سازی شده و فقط برای vSphere، NSX و اینترفیس‌های مدیریتی و نه بارهای کاری مورداستفاده قرار می‌گیرد. منبع احراز هویت به دلیل پشتیبانی‌اش روی تمام دستگاه‌ها به‌سادگی تحت عنوان Active Directory روی LDAPS پیکربندی می‌شود.

وابستگی‌ها و جایگزینی سیستم

حملات باج‌افزار فرایندهای تداوم کسب‌و‌کار و Disaster Recovery را شروع می‌کنند. سپس آن فرایندها باید توسعه داده شوند تا نه فقط از دست رفتن یک سایت، بلکه همچنین اختلال عمدی داده‌ها در آن سایت را پوشش دهد. استفاده از دو سایت و همسان‌سازی و پشتیبان‌گیری مناسب بین آن‌ها باید کافی باشد. اکنون همه‌ی اتصالات بین سایت‌ها و بین سیستم‌های پشتیبان‌گیری باید تقویت شوند. برای این مقاله، فقط یک سایت مد نظر قرار گرفت.

در یک سایت مجزا، می‌توان یا با سرورهای فیزیکی اختصاصی یا با یک ESXi Host بدون کلاستر که کپی‌های اصلی DNS، KMS و سیستم‌های احراز هویت را نگهداری می‌کند به وابستگی‌ها رسیدگی کرد. با کلاستربندی خدمات روی آن Host با Instanceهای هم‌نژاد DNS، NTP، KMS و غیره که در کلاستر Local vSphere با استفاده از کلاسترهای Windows Server Failover یا keepalived وجود دارد، این Host کلاسترنشده و بارهای کاری آن را می‌توان بدون ایجاد مشکل Patch و سرویس کرد. همچنین می‌توان Host کلاسترنشده را طوری پیکربندی کرد که ماشین‌های مجازی DNS، NTP، KMS و غیره را به‌طور خودکار پس از Reboot راه‌اندازی کند تا زمان پاسخ پس از قطعی برق یا خرابی‌های دیگر به حداقل برسد.

Domain Name System یا DNS

DNS یکی از وابستگی‌های اصلی برای vSphere است و به‌عنوان روشی برای ایجاد اعتماد مبتنی بر Certificate بین بسیاری از اجزا در یک کلاستر vSphere مورداستفاده قرار می‌گیرد. برخی از اجزا را می‌توان بدون DNS مورداستفاده قرار داد. برای مثال، می‌توان Hostهای ESXi را توسط آدرس IP به یک کلاستر vSphere اضافه کرد. اما این امر هدف اصلی و تاریخی DNS یعنی کمک به انسان‌ها را نادیده می‌گیرد. در حقیقت، به‌صورت روزمره، بسیار ساده‌تر است که با سیستم‌هایی تعامل کنیم که دارای نام هستند، حتی اگر آن نام‌ها سری باشند.

بیشتر بخوانید: آشنایی با نحوه ی کار و چگونگی برقراری امنیت DNS

سرویس‌های DNS مبتنی بر Cloud می‌توانند برای اطمینان حاصل کردن از دسترس‌پذیری DNS برای همه سایت‌ها مفید باشند، اما همچنین ممکن است نام‌های سیستم داخلی را به‌صورت عمومی نشان دهند. ایده‌ی مخفی کردن سرویس‌ها برای ایمن‌سازی آن‌ها که معمولاً تحت عنوان امنیت از طریق مبهم‌سازی توصیف می‌شود، یک تکنیک امنیتی معتبر نیست. هرچند ما نمی‌خواهیم کار را برای مهاجمین تسهیل کنیم. در اینجا تصمیمات باید با احترام به کارمندان مدیریت اتخاذ شود و بین خطای انسانی و مبهم‌سازی تمایز قائل شویم.

Network Time Protocol یا NTP

خدمات زمانی برای عملیات درست vSphere و vSAN و همچنین ایجاد لاگ‌های ممیزی برای جرم‌شناسی و پاسخ به حادثه حیاتی هستند. فرایندی به نام Timestomping که در آن زمان سیستم تغییر می‌کند و به مهاجمین کمک می‌کند ایجاد فایل روی سیستم‌ها و ویژگی‌های آن‌ها را تغییر دهند تا فعالیت‌هایشان مخفی گردد.

سیستم‌های مدیریتی کلیدی و ارائه‌دهندگان کلیدی

vSphere دارای دو نوع رمزگذاری Data-at-Rest اصلی است: VM Encryption و vSAN Data-at-Rest Encryption. VM Encryption با رمزگذاری فایل‌های VM Object از ماشین‌های مجازی حفاظت می‌کند. این یعنی می‌تواند روی هر Storageی کار کند اما روی حذف داده‏های تکراری و فشرده‌سازی Storage Array اثر منفی دارد.vSAN Data-at-Rest Encryption گروه‌های دیسک زیر لایه vSAN Datastore را رمزگذاری کرده و این کار را به‌گونه‌ای انجام می‌دهد که حذف داده‏های تکراری و فشرده‌سازی را حفظ کند. این دو تکنولوژی‌ می‌توانند با یکدیگر همکاری کنند، اما VMware به دلایل مربوط به پیچیدگی و عملکرد، رمزگذاری دوگانه را پیشنهاد نمی‌کند. بااین‌حال، ویژگی‌هایی مثل vTPM روی VM Encryption حساب می‌کنند و وقتی روی vSAN ذخیره شوند، خوب عمل خواهند کرد.

در هر دو مورد کلیدهای رمزگذاری وجود دارد که توسط ارائه‌کننده کلید فراهم می‌گردد. vSphere سه نوع ارائه دهنده کلید را مورد پشتیبانی قرار می‌دهد:

• ارائه‌دهنده کلید استاندارد، روش سنتی ذخیره‌سازی کلیدهای رمزگذاری با استفاده از یک سیستم مدیریت کلید یا KMS خارجی و سازگار با KMIP.
• ارائه‌دهندهTrusted Key ، که در آن ارائه‌دهندهStandard Key  از طریق vSphere Trust Authority پروکسی می‌شود و دسترسی به کلیدهای رمزنگاری محدود به Hostهایی است که گواهی از راه دور را می‌گذرانند.
• ارائه‌دهنده کلید Native جایی که vSphere می‌تواند کلیدهای رمزنگاری خود را برای رمزگذاری تولید و ذخیره کند.

تفاوت اصلی بین ارائه‌دهنده کلید استاندارد و ارائه‌دهنده کلید Native امنیت فیزیکی است. ارائه‌دهنده کلید استاندارد، کلیدها را به‌طور مداوم روی میزبان‌ها Cache نمی‌کند، مگر اینکه از ESXi Key Persistence استفاده شود، که پیش‌فرض نیست و در این مقاله بیشتر مورد بررسی قرار نخواهد گرفت. وقتی‌که یک Host که از ارائه‌دهنده کلید استاندارد استفاده می‌کند، ری‌استارت شود، لازم است تمام کلیدهای رمزگذاری را از ارائه‌دهنده جمع‌آوری کرده و فرض کند که KMS برای انجام آن قابل‌دسترسی است. این یک ملاحظه وابستگی مهم است. این امر همچنین بدین معنا است که داده‌های به سرقت رفته به KMS دسترسی ندارند، درنتیجه نخواهند توانست Volumeهای رمزگذاری‌شده vSAN یا Objectهای VM را باز کنند.

ارائه دهنده کلید Native باید از وابستگی‌ها اجتناب کند و درنتیجه اگر TPM در دسترس باشد، با استفاده از آن به‌طور مداوم کلیدهای رمزگشایی را روی ESXi Hostها ذخیره می‌کند. این امر برای یک کلاستر توانایی ری‌استارت مناسب را بدون دسترسی به vCenter Server فراهم می‌کند که باید داخل کلاستر حفاظت‌شده اجرا گردد. درنتیجه کلاسترهای vSphere در مکان‌های فاقد امنیت فیزیکی کافی، ممکن است تحت ریسک باشند، زیرا مهاجمی که کل کلاستر را به سرقت ببرد خواهد توانست آن را Boot کند.

محیط ما: کلاستر ما در یک دیتاسنتر دارای حفاظت‌های امنیتی فیزیکی فراوان است. ما استفاده از ارائه دهنده کلید Native را انتخاب کردیم زیرا پیکربندی و استفاده از آن با vSAN ,VM Encryption و vTPM برای بارهای کاری بسیار ساده است.

قابلیت کاربرد محصول

NIST Cybersecurity Framework پنج عملکرد را به‌عنوان بخشی از یک نمای جامع از چرخه عمر امنیت سایبری تعریف کرده است. NIST Special Publication در سال 1271 نیز سه عملکرد را توصیف می‌کند:

• شناسایی: ایجاد درک سازمانی برای مدیریت ریسک سیستم‌ها، دارایی‌ها، داده‌ها و قابلیت‌ها.
• حفاظت: ایجاد و پیاده‌سازی سیستم‌های امنیتی مناسب برای اطمینان حاصل کردن از خدمات.
• شناسایی: ایجاد و پیاده‌سازی فعالیت‌ مناسب برای شناسایی رخ دادن رویداد امنیت سایبری.
• توسعه: ایجاد و پیاده‌سازی فعالیت‌ مناسب برای اقدام در مورد رویداد امنیت سایبری شناسایی شده.
• بازیابی: ایجاد و پیاده‌سازی فعالیت مناسب برای پشتیبانی از برنامه‌های خودترمیمی و بازیابی هرگونه قابلیت یا خدماتی که به دلیل رویداد امنیت سایبری دچار مشکل شده بودند.
• 
  از طریق این لنزها و لنزهای اصول رایج امنیت اطلاعات مانند CIA Triad، همه ویژگی‌ها در تمام محصولات VMware به نحوی خطر را کاهش می‌دهند و می‌توان آن‌ها را به یک یا چند مورد از این عملکردها Map کرد.

ویژگی‌های VMware vSphere

VMware vSphere مبنای دیتاسنترهای تعریف‌شده توسط نرم‌افزار بوده و دارای کاربرد مستقیمی با چندین عضو در Framework می­باشد و همچنین عملکردهای دیگری را از طریق یکپارچه‌سازی با ابزاری مثل Carbon Black Workload، NSX و غیره فراهم می‌کند. ویژگی‌هایی مثل VM Encryption، vMotion، DRS، Snapshotها، همسان‌سازی، دسترس‌پذیری بالا و Cloneها مستقیماً با حفاظت، پاسخ و بازیابی ارتباط دارند.

بیشتر بخوانید: بررسی راهکارهای پشتیبان‌گیری از پایگاه داده‌ در پلتفرم‌های مجازی‌سازی VMware و vSphere

VMware NSX

VMware NSX شبکه مبتنی بر نرم‌افزار Overlay را با تکنولوژی فایروال ریزبخش‌بندی پیشرفته به نامNSX Distributed Firewall فراهم می‌کند. با قابلیت جداسازی بارهای کاری و داده‌ها با استفاده از Tagهای امنیتی و فیلترینگ Layer 7 برمبنای Fingerprint برنامه کاربردی، حرکت جانبی باج‌افزار را کاهش می‌دهد و از دارایی‌ها در مقابل حملات محافظت می‌کند. مجموعه ابزار VMware NSX همچنین حاوی اتصال VPN، قابلیت‌های IDS/IPS، امنیت و مشاهده‌پذیری Container و یکپارچه‌سازی با ابزار Carbon Black است. NSX در شناسایی، حفاظت، تشخیص و پاسخ کاربرد دارد.

VMware SASE و SD-WAN

مجموعه ابزار VMware Secure Access Service Edge یا SASE شامل قابلیت‌های SD-WAN است که یک تنظیم‌کننده SaaS Control Plane را فراهم می‌کند که امکان مدیریت پیکر‏بندی مرکزی را روی تمام مناطق و پیاده‌سازی‌ها فراهم می‌نماید. دستگاه SD-WAN می‌تواند سخت افزار فیزیکی مستقل یا یک ماشین مجازی باشد که بر روی یک Hypervisor اجرا می‌شود. ازآنجایی‌که مدیریت و پیکربندی این دستگاه تماماً از تنظیم‌کننده‌ی Cloud ارائه می‌شود، پس از ثبت دستگاه در کنترل‌کننده Cloud، هیچ گونه پیکربندی Local وجود ندارد. این امر به‌طور قابل‌توجهی میزان آسیب‌پذیری را برای حملات Local پایین آورده و همچنین احتمال خطاهای پالیسی که مهاجمین بتوانند از آن‌ها سوءاستفاده کنند را کاهش می‌دهد. با اضافه شدنVMware vRealize Network Insight، تجهیز VMware SD-WAN می‌تواند جزئیات Real-Time کل ترافیکی که در هر تجهیز SD-WAN حرکت می‌کند را گزارش دهد. ابزار VMware SASE در شناسایی، حفاظت و تشخیص کاربرد دارد.

Carbon Black و Carbon Black Workload

مجموعه ابزار VMware Carbon Black امنیت جامعی را برای بار کاری و Endpointها فراهم کرده و درک بهتری از وضعیت امنیتی را با مانیتورینگ رفتار بارهای کاری فراهم می‌نماید. Carbon Black Workload با vSphere یکپارچه‌سازی می‌شود و امکان ایجاد یک نمای مرکزی و جامع را از وضعیت امنیتی بارهای کاری فراهم می‌کند. این ابزار در کنار یکدیگر ارزیابی‌های ریسک مربوط به Exploitهای احتمالی و فعالیت‌های مخرب را برای پاسخ سریع به حملات باج‌افزار ازجمله یکپارچه‌سازی با VMware Cloud Disaster Recovery برای تجزیه‌و‌تحلیل و بازیابی منعطف فراهم می‌کنند. این ابزار در کل چارچوب امنیت سایبری NIST کاربرد دارند.

VMware vRealize Suite

مجموعه ابزار VMware vRealize شامل موارد زیر است:

• Operations Manager، ابزاری است که IT را قادر می‌سازد تا انواع مشکلات را در یک محیط، ظرفیت روند و عملکرد مانیتور کند و از طریق استفاده از بسته‌های تطبیق‌پذیری و امنیتی از پیش ساخته شده در دسترس از طریقVMware Solutions Exchange به‌طور مداوم، امنیت و تطبیق‌پذیری را نیز مانیتورینگ نماید. Operations Manager در پاسخ به شناسایی و تشخیص روی چارچوب امنیت سایبری مفید است.
• Network Insight ابزاری است که به‌طور دقیق فعالیت شبکه و پیکربندی‌های بار کاری را مانیتور می‌کند و به ادمین‌ها و کارمندان امنیتی این توانایی را می‌دهد که ترافیک را تصویرسازی کرده و در موردش گزارش دهند. Network Insight همچنین با NSX یکپارچه‌سازی می‌شود و می‌تواند به مدیریت و خودکارسازی بسیار جزئی و دقیق قواعد فایروال توزیعی کمک کند. Network Insight به شناسایی، تشخیص و پاسخ رسیدگی می‌کند.
• Log Insight ابزاری است که لاگ کردن ترافیک را در فرمت‌های استاندارد Syslog و مشابه Syslog قبول می‌کند و ترافیک مانیتورینگ رویداد را در یک جدول زمانی متداول تجمیع می‌نماید که بیان می‌کند چه هشدارهایی می‌توانند ایجاد شوند. Log Insight به شناسایی، تشخیص و پاسخ رسیدگی می‌کند.

VMware Cloud Disaster Recovery

VMware Cloud Disaster Recovery محصولی است که همراه با VMware Cloud on AWS کار می‌کند و به سازمان‌ها اجازه می‌دهد در صورت رخ دادن فاجعه، با استفاده از ویژگی‌های منعطف Public Cloud برای صرفه‌جویی در پول و زمان رسیدگی به سایت‌های Failover و Disaster Recovery، به‌طور منعطفی از خودشان محافظت کنند. ویژگی‌های جدید در VMware Cloud Disaster Recovery شامل Ransomware Recovery است که از یکپارچه‌سازی‌های مستقیم با Carbon Black استفاده می‌کند تا به حملات در حال انجام رسیدگی کرده و بازیابی را خودکارسازی کند. Cloud Disaster Recovery و Ransomware Recovery به حفاظت، شناسایی و بازیابی رسیدگی می‌کنند.

باج‌افزار مشکلی است که نمی‌توان با یک راهکار واحد آن را برطرف کرد. چیزی که باعث افزایش پیچیدگی می‌شود این است که رویکردهای بارهای کاری با رویکردهای اجزای زیرساخت IT متفاوت هستند. جایی که بارهای کاری می‌توانند از حفاظت‌های یکپارچه‌سازی‌شده در زیرساخت بهره ببرند، زیرساخت باید خودکفا باشد. برای مقابله با باج‌افزار و حملات دیگر در زیرساخت، در ابتدا باید محیط‌هایی را معماری کنیم که منعطف، دارای خودترمیمی، ایزوله و سخت‌گیر باشند.