Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo

Технические требования и рекомендации по защите виртуальной инфраструктуры на базе VMware vSphere

gallery/vsphere.avatar

2013 год

Часть 2. Системы хранения данных

Список литературы

[1] VMware vSphere 4.0 (4.1) Security Hardening Guide. Пункт NST 03

[2] http://en.wikipedia.org/wiki/World_Wide_Name

[3] М.Михеев “Администрирование VMware vSphere” стр.156

[4] Fibre Channel SAN Configuration Guide. “Using Zonning” стр.19-20

[5] VMware vSphere 4.0 (4.1) Security Hardening Guide. Пункт NST 01

[6] VMware vSphere 4.0 (4.1) Security Hardening Guide. Пункт NST 02

В составе инфраструктуры виртуализации могут быть использованы следующие внешние системы хранения данных:

  • Storage Area Networks (SAN), предоставляющие доступ к блочным устройствам с использованием технологий Fiber Channel (FC) или Fiber Channel over Ethernet (FCoE);
  • Network Attached Storages (NAS), предоставляющие доступ к блочным устройствам с использованием инкапсуляции команд SCSI в IP-пакетах (iSCSI);
  • Network File System (NFS) путем монтирования на ESX(i) общих папок файлового сервера с использованием протокола NFS.

В целях обеспечения корректной работы должны быть использованы только совместимые оборудование и компоненты согласно требованиям VMware «Compatibility guide».

SAN

Очевидно, что для обеспечения максимальной надежности подсистемы хранения данных подключение ESX(i) к FC/FCoE SAN должно производиться с избыточным резервированием компонентов:

  • HBA и/или портов;
  • Линий коммутации между компонентами;
  • Коммутаторов;
  • Процессоров ввода/вывода.
gallery/vsphere.2.01.подключение esx(i) к san

Рисунок 1. Подключение ESX(i) к SAN

Дисковое пространство, предназначенное для использования в инфраструктуре виртуализации, должно быть выделено в отдельные зоны в конфигурации оптических коммутаторов сетей хранения данных [1]. При этом зонирование рекомендуется осуществлять с использованием портов оптических коммутаторов, а не по World Wide Name [2] (WWN). Во-первых, потому что возможен спуфинг WWN, а во-вторых, потому что одному порту ESX(i) может соответствовать несколько WWN [3]. Зоны должны образовываться исходя из того, что в каждой зоне может находиться один инициатор (HBA) и несколько устройств хранения (targets) [4]. Это связано больше с практикой использования разрешений на SAN и удобством аудита разрешений.

Должны быть выделены устройства хранения (targets) отдельно для каждого кластера серверов ESX(i). В части 1 данной статьи мы рассматривали несколько вариантов построения. Для первого варианта (использование разного аппаратного обеспечения виртуальными машинами разных сетевых зон) мы считаем, что необходимо выделять отдельные устройства хранения (targets) для каждой из зон – зоны Data Center, зоны Extranet и зоны Internet Edge. Во втором варианте (использование единого аппаратного обеспечения для всех виртуальных машин) считается, что устройства хранения (targets) выделяются в общем для виртуальной инфраструктуры, если, конечно, она не разделяется на несколько кластеров. В случае, если в каждой сетевой зоне несколько кластеров, то в целях обеспечения безопасности необходимо для каждого кластера выделять отдельные устройства хранения (targets).

При этом необходимо понимать, что в некоторых случаях возможно временное разрешение доступа от узлов одного кластера ESX(i) к устройствам хранения другого кластера ESX(i) при необходимости осуществления миграции виртуальных машин (Storage vMotion) между этими кластерами, но только на время проведения операции.

В случае, если в пределах созданной зоны необходимо дополнительно ограничить доступ хостов ESX(i) к отдельным LUN без изменения конфигурации оптических коммутаторов сетей хранения данных (например, для ограничения доступа к отдельным томам VMFS), должны быть использованы средства VirtualCenter или средства управления дисковыми массивами для организации маскирования LUN [1].

Очевидно, что также физические сервера не должны иметь доступ к устройствам хранения, которые выделены для обслуживания серверов виртуальной инфраструктуры ESX(i).

iSCSI

Для подключения к iSCSI NAS должны использоваться специализированные iSCSI HBA (hardware initiated iSCSI) либо отдельные физические сетевые интерфейсы ESX(i) или логические интерфейсы, отделенные на 2 уровне модели OSI от других сетей (Software initiated iSCSI). Резервирование компонентов должно производиться аналогично FC SAN.

Разграничение доступа между iSCSI хранилищами серверов ESX(i), обслуживающих каждую сетевую зону, должно осуществляться при помощи VLAN. Для серверов ESX(i) каждой сетевой зоны должны быть выделены один или несколько собственных VLAN, доступ к которым должны иметь

  • только сервера, обслуживающие данную сетевую зону, или только конкретный кластер этого набора серверов
  • и iSCSI хранилища, предназначенные для использования этим набором серверов.

Было бы неплохо сегменты сети, используемые для подключения ESX(i) к iSCSI хранилищам, защищать при помощи межсетевого экранирования. Очевидно, что IP-хранилища образуют, по-сути, уже новый сетевой модуль или зону, и трафик между ними и другими зонами нужно ограничивать межсетевым экранированием. Но огромные потоки трафика дают значительную нагрузку на используемые межсетевые экраны. Следовательно, необходимо использовать либо специализированные межсетевые экраны, либо строить инфраструктуры хранилищ таким образом, чтобы взаимодействие между отдельными сетями было минимальным, например, только в целях управления. Таким образом архитектурно сеть vStorage должна может представлять собой набор немаршрутизируемых VLAN-ов.

Подключение к хранилищам iSCSI должно использовать механизм обоюдной аутентификации Challenge Authentication Protocol (CHAP) трафика iSCSI на клиенте (ESX(i), initiator) и сервере (iSCSI-сервер, target) [5]. При этом на клиенте (ESX(i), initiator) и на сервере (iSCSI-server, target) для каждой пары “ESX(i) – iSCSI-сервер” должны быть указаны различные секреты для аутентификации [6].

В vSphere Client значения в Configuration->Storage Adaptors->iSCSI Initiator Properties->CHAP->CHAP(Target Authenticates Host) и Mutual CHAP(Host Authenticates Target) необходимо установить в "Use CHAP" и для каждого устанавить "Name" и "Secret". Значения "Secret" для разных подключений к хранилищам iSCSI должны быть различны.

В случае, если в пределах созданного VLAN необходимо дополнительно ограничить доступ хостов ESX(i) к отдельным LUN без изменения конфигурации коммутаторов сетей хранения данных (например, для ограничения доступа к отдельным томам VMFS), должны быть использованы средства VirtualCenter или средства управления дисковыми массивами для организации маскирования LUN [1].

Для подключения к инфраструктуре виртуализации территориально удаленных элементов iSCSI хранилищ каналы связи должны быть защищены, например, шифрованием трафика.

NFS

Для подключения к разделяемым файловым системам NFS должны использоваться отдельные физические сетевые интерфейсы ESX(i) или логические сетевые интерфейсы, отделенные на 2 уровне модели OSI от других сетей.

Разграничение доступа между NFS хранилищами серверов ESX(i), обслуживающих каждую сетевую зону, должно осуществляться при помощи VLAN. Для серверов ESX(i) каждой сетевой зоны должны быть выделены один или несколько собственных VLAN, доступ к которым должны иметь

  • только сервера, обслуживающие данную сетевую зону, или только конкретный кластер этого набора серверов
  • и NFS хранилища, предназначенные для использования этим набором серверов.

Также как и в случае с iSCSI было бы неплохо сегменты сети, используемые для подключения ESX(i) к NFS хранилищам, защищать при помощи межсетевого экранирования. Также для подключения к инфраструктуре виртуализации территориально удаленных элементов NFS хранилищ каналы связи должны быть защищены, например, шифрованием трафика.