Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo

Рекомендации по защите инфраструктуры виртуальных десктопов, созданных на базе платформы VMware View

gallery/архитектура вирт

Часть 1. Сетевая архитектура

Данная статья посвящена аспектам защиты инфраструктуры виртуальных десктопов, построенной на базе программного обеспечения VMware View. На текущий момент у VMware отсутствуют рекомендации по обеспечению защиты инфраструктуры VMware View наподобие Hardening Guide для VMware vSphere. Точнее сказать они есть, но разрозненны и находятся в различных документах, таких как white paper “VMware View Security Hardening Guide”, white paper “VMware View Security Server Hardening Guide”,  validated design guide “Mobile Secure Desktop” и т.п.

Статья должна быть в большей степени интересна сотрудникам организаций, отвечающим за информационную безопасность или проектирующим системы с учетом требований информационной безопасности, нежели собственно администраторам инфраструктуры VMware View и vSphere.

В части 1 статьи попытаемся рассмотреть рекомендации, которые могут предъявляться к сетевой архитектуре инфраструктуры виртуальных десктопов.

Раздел 1. Расположение элементов инфраструктуры

В рамках статьи “Технические требования и рекомендации по защите виртуальной инфраструктуры на базе VMware vSphere” уже говорилось, что один из подходов к построению защищенной сети организации – это использование идеологии сетевых зон и модулей, такой как Cisco SAFE (см. Рисунок 1).

gallery/view.1.safe brief

Рисунок 1. Зоны сети организации

Данный же подход должен применяться к построению сетевой архитектуры VMware View. Т.к. многие сетевые объекты на данный момент становятся виртуальными, то далее будем предполагать, что сетевая зона – это скорее некоторое физическое размещение, а сетевой модуль – логическое, на IP уровне (см. Рисунок 2). Также как и ранее будем считать, что между любыми сетевыми модулями существует межсетевое экранирование, это может быть как централизованный межсетевой экран или несколько, так и распределенные межсетевые экраны, в т.ч. виртуальные на базе технологии VMsafe.

gallery/view.2.safe

Рисунок 2. Модули сети организации

Рассматривая такую архитектуру необходимо понимать, где и как в ней будут расположены:

  1. Собственно виртуальные десктопы;
  2. Инфраструктурные серверы VMware View, а именно серверы View Connection, View Security, View Transfer.

В начале рассмотрим, где должны располагаться виртуальные десктопы. Очевидно, что располагаться они будут в серверной инфраструктуре на серверах виртуализации VMware vSphere, т.е. физически они будут располагаться в зоне Data Center, но они не должны принадлежать Модулю Data Center, в котором собственно должны находиться только серверные ресурсы. Пользовательские десктопы должны находится в Модуле User LAN, но он расположен в зоне Campus. В связи с этим имеет смысл выделить отдельно Модуль виртуальных десктопов (Модуль Virtual LAN, см. Рисунок 3). В случае же предоставления услуги Desktop as a Service различным организациям (заказчикам) имеет смысл говорить уже о модулях Virtual LAN A (виртуальные десктопы Организации А), Virtual LAN B (виртуальные десктопы Организации B) и т.д.

gallery/view.3.safe и virtual lan

Рисунок 3. Модули Virtual User LAN

После того, как мы разобрались с месторасположением виртуальных десктопов в сетевой архитектуре, рассмотрим инфраструктурные серверы VMware View. Для этого необходимо понимать как и по каким протоколам происходит взаимодействие между инфраструктурными серверами, физическими устройствами и виртуальными десктопами. VMware View может работать как со шлюзом безопасности (сервер View Security) так и без него. В случае работы со шлюзом безопасности соединение между физическим устройством (View Client) и виртуальным десктопом устанавливается через сервер View Security, без шлюза безопасности – напрямую. Каким образом происходит взаимодействие без использования шлюза безопасности можно посмотреть в разделе “Understanding VMware View Communication Protocols” главы 5 “Planning for Security Features” руководства “VMware View Architecture Planning”. Инфраструктурное же взаимодействие при работе со шлюзом безопасности VMware View Security приведено на Рисунок 4 в случае использования протокола PCoIP и на Рисунок 5 в случае использования протокола RDP.

gallery/view.4.pcoip

Рисунок 4. Сетевое взаимодействие инфраструктуры VMware View при использовании протокола PCoIP

gallery/view.5.rdp

Рисунок 5. Сетевое взаимодействие инфраструктуры VMware View при использовании протокола RDP

Итак, исходя из данных взаимодействий, необходимо вписать инфраструктурные серверы VMware View в сетевую архитектуру, представленную на Рисунок 2. Сетевое взаимодействие серверов достаточно сложное, поэтому нельзя сказать на 100%, что сервер должен размещаться только в таком-то сетевом модуле, но мы можем определить в каких сетевых модулях сервера могут размещаться, а в каких – нет.

Сервера View Security могут размещаться только в следующих сетевых модулях:

  • при подключении пользователей через сеть Интернет, т.е. из дома, интернет-кафе, мобильных устройств и т.п. – в модулях Internet Remote Access VPN или Private Services DMZ;
  • при подключении пользователей через выделенные сети или VPN-соединения через Интернет, т.е. из других офисов, филиалов и т.п. – в модулях Extranet Remote Access VPN или Extranet DMZ;
  • при подключении пользователей локальной сети из зоны Campus – в модуле Extranet DMZ, а может и вовсе отсутствовать, т.к. в данном случае сервер-посредник и шифрование трафика внутри локальной сети может не требоваться.

Сервера View Connection могут размещаться только в следующих сетевых модулях:

  • при подключении пользователей через сеть Интернет, т.е. из дома, интернет-кафе, мобильных устройств и т.п. – в модулях Private Services DMZ (в случае размещения View Security в модуле Internet Remote Access VPN) или Data Center;
  • при подключении пользователей через выделенные сети или VPN-соединения через Интернет, т.е. из других офисов, филиалов и т.п. – в модулях Extranet Remote Access VPN (в случае размещения View Security в модуле Extranet Remote Access VPN) или Data Center;
  • при подключении пользователей локальной сети из зоны Campus – в модуле Data Center.

Сервера View Transfer могут располагаться в тех же модулях, что и View Connection, хотя не обязательно в одном и том же модуле с View Connection.

Для того, чтобы не описывать все возможные случаи размещения серверов далее мы примем, что сервера View Security размещаются в модуле Remote Access VPN (обобщенное название модулей Extranet Remote Access VPN и Internet Remote Access VPN), View Connection размещаются в модуле DMZ (обобщенное название модулей Extranet DMZ и Private Services DMZ), View Transfer размещаются также в DMZ.

На Рисунке 6 показано каким образом будут располагаться инфраструктурные серверы.

gallery/view.6.архитектура 2

Рисунок 6. Инфраструктура виртуальных десктопов VMware View

Сетевое взаимодействие пользовательских физических устройств и виртуальных десктопов приведено на Рисунок 7.

gallery/view.7.доступ 2

Рисунок 7. Сетевое взаимодействие пользовательских физических устройств и виртуальных десктопов VMware View

На рисунке показано, что:

  1. Внешние пользователи, в данном случае пользователи, подключающиеся через сеть Интернет, должны использовать сервер View Security.Их сетевое взаимодействие показано на рисунке красными стрелками.
  2. Внутренние пользователи получают доступ к виртуальных десктопам без использования сервера-посредника по незащищенному каналу. Они подключаются к брокеру соединений (сервер View Connection) и в случае, если доступ к виртуальному десктопу им разрешен, то View Client образует соединение напрямую с выделенным виртуальным десктопом.Их сетевое взаимодействие показано на рисунке прерывистыми зелеными стрелками. Но оптимально, на мой взгляд, и внутренним пользователям организовать доступ к виртуальным десктопам через сервер View Security, т.к. такое взаимодействие позволит прийти к однообразной схеме осуществления доступа как изнутри организации так и из сети Интернет, а также упростит сетевую фильтрацию взаимодействия пользователей виртуальных десктопов с сетевыми ресурсами. Такое сетевое взаимодействие показано на Рисунок 8 зелеными стрелками и на него далее будем ориентироваться при формулировании рекомендация для серверов, десктопов и т.д.
gallery/view.8.доступ 3

Рисунок 8. Сетевое взаимодействие пользовательских физических устройств и виртуальных десктопов VMware View

Неотъемлемой частью инфраструктуры виртуальных десктопов является собственно инфраструктура виртуализации VMware vSphere, которая управляется vCenter Server. Инфраструктура виртуализации должна использоваться для размещения на ней виртуальных десктопов и может использоваться для размещения на ней серверов VMware View. Далее мы будем предполагать, что инфраструктурные сервера VMware View виртуальные, и строить рекомендации из этого.

При этом рекомендуется использовать различные сервера ESXi и собственно инсталляции VMware vSphere для серверов и для виртуальных десктопов. На мой взгляд, это логично не только исходя из принципов ИБ, но и с точки зрения производительности управляющей части инфраструктуры, т.к. в случае виртуальных десктопов на vCenter Server устанавливается также View Composer (хотя с версии View 5.1 он может быть и на отдельном сервере), да и использовать одни и те же ESXi для виртуальных десктопов и серверов неразумно.

Итак, со всеми решениями, которые мы привели ранее, рекомендуется использовать следующую архитектуру (см. Рисунок 9).

gallery/view.9.архитектура вирт

Рисунок 9. Сетевое взаимодействие пользовательских физических устройств и виртуальных десктопов VMware View

Причем замечу, что сервер View Transfer должен располагаться на инфраструктуре виртуализации виртуальных десктопов, такое требование к нему выдвигается продуктом VMware View.

Напомним, что для более удобного оперирования различными сетями в виртуальной инфраструктуре были введены некоторые обозначений сетей (см. “Технические требования и рекомендации по защите виртуальной инфраструктуры на базе VMware vSphere”). В контексте инфраструктуры виртуализации десктопов используются:

  • сеть vManagement;
  • сеть vGuest.

Обе сети должны присутствовать на аппаратных серверах ESXi серверной и десктопной виртуализации. В сети vManagement должны быть управляющие интерфейсы ESXi и vCenter Server инфраструктур виртуализации и серверов и десктопов. В сети же vGuest, которая подведена к инфраструктуре виртуализации десктопов, должны быть только сети модулей Virtual User LAN и DMZ. Причем в сети модуля DMZ должны быть только сервера View Transfer.

Базы данных vCenter Server, View Composer и база с событиями VMware View могут быть расположены, например, в Модуле Data Center.

Раздел 2. Взаимодействие виртуальных десктопов.

Рекомендуется ограничить взаимодействие модуля Virtual LAN с другими сетевыми модулями при помощи межсетевого экранирования. При этом прямого взаимодействия между модулем Virtual LAN и модулем LAN осуществляться не должно. Должно разрешаться только взаимодействие из модуля LAN к виртуальным десктопам и только по протоколам инфраструктуры виртуальных десктопов через сервера Security Server.

Сами виртуальные десктопы могут быть инициаторами соединений только к серверам, но не к рабочим станциям. Они могут инициировать соединения с серверами модулей Data Center и Extranet DMZ, к остальным же ресурсам они должны получать доступ через сервера-посредники, как например Proxy-сервер для доступа к сети Интернет. Сервера же, расположенные в любом сетевом модуле, идеологически не должны иметь доступа к виртуальным десктопам, за исключением управляющих серверов из модуля Management и серверов View Security.

Также имеет смысл запретить прямое взаимодействие виртуальных десктопов между собой. Все взаимодействие должно происходить через серверные ресурсы, таким образом, мы должны решить проблему “общих шар” и т.п. Эта проблема может быть легко решена в виртуальной инфраструктуре при помощи использования сетевых экранов уровня VMware vSphere, использующих технологию (драйвера) VMsafe и осуществляющих локальное экранирование виртуальных десктопов. Например, такое экранирование может производить сетевой экран антивирусного программного обеспечения TrendMicro Deep Security (http://www.trendmicro.com.ru/products/deep-security/index.html).

И наконец, необходимо выбрать протокол взаимодействия виртуальных десктопов с физическими устройствами (PCoIP или RDP) и ограничить протокол при помощи межсетевого экранирования или следующими настройками View Manager.

Во View Administrator выбрать свойства пула и  в группе “Remote display Protocol” установить (VMware View Administration. Chapter 5. Creating desktop Pools. “Desktop and Pool Settings”):

  • параметр “Default Display Protocol”  установить в значение “PCoIP” (или “RDP”);
  • параметр “Allow users to choose protocol” в значение “No”.

Часть 2. Технологическая инфраструктура

В Части 2 статьи мы дадим некоторые рекомендации по настройкам серверов и служб технологической инфраструктуры VMware View.

Раздел 1. Платформа виртуализации vSphere

Как говорилось в Части 1 статьи для инфраструктуры виртуальных десктопов рекомендуется использовать один или несколько отдельных от остальной инфраструктуры виртуализации кластеров ESXi. Следует также  использовать vSphere DRS для эффективного распределения виртуальных десктопов связанного клонирования (linked-clone desktops) между ESXi в кластере.[VMware View Installation. Chapter 4. Installing View Composer. “Configuring the vSphere Environment for View Composer”]

Раздел 2. Серверы/службы

Сервер vCenter Server

Для инфраструктуры виртуальных десктопов следует использовать vCenter Server отдельный от vCenter Server, управляющего инфраструктурой серверной виртуализации (см. Часть 1). В случае использования виртуального сервера vCenter Server он должен быть расположен на инфраструктуре серверной виртуализации.

Сервер vCenter Server инфраструктуры виртуализации десктопов должен входить в домен AD.[VMware View Installation. Chapter 3. Preparing Active Directory. “Creating a User Account for vCenter Server”] При этом, в случае использования службы View Composer на сервере vCenter Server, он должен входить в домен AD, в котором находятся виртуальные десктопы, или в домен AD, который имеет с данным доменом доверительные отношения.

Базу данных View Composer следует использовать в режиме High Availability.[Deployment and Technical Considerations Guide “VMware View Backup Best Practices”. Раздел View Backup and Restore. “Backup frequency Recommendations”]

Сервер View Security

Сетевой экран Windows Firewall на сервере View Security рекомендуется отключить и использовать внешние, по отношению к серверу, межсетевые экраны.[VMware Knowledge Base. Статья 1024610 “Using Windows Firewall and Dual Network Interface Cards with VMware View Servers”] Это могут быть как физические, так и виртуальные межсетевые экраны, использующие технологию VMsafe.

Сервер View Security следует размещать на отдельном виртуальном или физическом сервере, который не выполняет более других задач. В случае использования виртуального сервера View Security он должен быть расположен на инфраструктуре серверной виртуализации.

К View Security относятся службы операционной системы, перечисленные в Таблица 1.

gallery/view.tab.1

На сервере View Security следует запретить неиспользуемые инфраструктурой виртуальных десктопов службы (сервисы). Таким образом, следует отключить роль “Сервер”, а также запретить службы, перечисленные в Таблица 2.

gallery/view.tab.2

В списке контроля доступа к файлу <install_directory>\VMware\VMware View\Server\sslgateway\conf должны присутствовать только учетные записи SYSTEM и администраторов системы VMware View.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Далее обратим внимание на журнальные файлы сервера View Security.

Журналы служб сервера View Security находятся:[VMware View Security. VMware View Security Reference. “VMware View Resources”]

  • Windows System Event Logs
  • В файлах:
  • Windows Server 2008:

%ALLUSERSPROFILE%\Application Data\VMware\VMware View\VDM\logs\*.txt

  • Windows Server 2003:

<Drive Letter>:\Documents and Settings\All Users\Application Data\VMware\VDM\logs\*.txt

Введите текст

  • PCoIP Secure Gateway в подкаталог PCoIP Secure Gateway каталога журнальных файлов в файлы SecurityGateway_*.log

Размещение журнальных файлов можно изменить, но делать это не стоит.

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, необходимо оставить в разделе “VMware View Common Configuration –> Log Configuration” параметр ”Log Directory” в значении “Not Configured”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Доступ к журнальным файлам следует ограничить списком контроля доступа.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Максимальный размер журнальных файлов рекомендуется увеличить, например до 100 Мб относительно размера по умолчанию (10 Мб).

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе ”VMware View Common Configuration –> Log Configuration” параметр “Maximum debug log size in Megabytes” в значение “Enabled” и установить опцию “Maximum debug log size in Megabytes” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Максимальное количество журнальных файлов может быть увеличено, например, до 100 относительно количества по умолчанию (10).

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе “VMware View Common Configuration –> Log Configuration” параметр “Maximum number of debug logs” в значение “Enabled” и установить опцию “Maximum number of debug logs” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Максимальное количество дней, которое хранятся журнальные файлы, может быть также изменено, например, до 90 дней относительно количества по умолчанию (7 дней).

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе “VMware View Common Configuration –> Log Configuration” параметр “Number of days to keep production logs” в значение “Enabled” и установить опцию “Number of days to keep production logs” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Возможно также изменить пороговое значение минимально оставшегося дискового пространства для журнальных файлов. По умолчанию оно составляет 200 Мб и рекомендуется его не менять.

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, необходимо оставить в разделе “VMware View Common Configuration”  параметр “Disk threshold for log and events in Megabytes” в значении “Not Configured”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Дополнительно можно включить расширенное журналирование событий (trace и debug).

В групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе “VMware View Common Configuration”  параметр “Enable extended logging” в значение “Enabled”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Сервер View Connection

Сетевой экран Windows Firewall на сервере View Connection рекомендуется отключить.[VMware Knowledge Base. Статья 1024610 “Using Windows Firewall and Dual Network Interface Cards with VMware View Servers”] Необходимо использовать внешний по отношению к серверу межсетевой экран.

Соединение между репликами серверов View Connection должны осуществляться по высокоскоростным линиям связи.[VMware View Installation. Chapter 1 System Requirements for Server Components. “Network Requirements for Replicated View Connection Server Instances”]

Сервер View Connection должен принадлежать домену AD.[VMware View Installation. Chapter 3. Preparing Active Directory. “Configuring Domains and Trust Relationships”, VMware View Installation. Chapter 5. Installing View Connection Server. “Installation Prerequisites for View Connection Server”] Однако он не должен быть контроллером домена AD.[VMware View Installation. Chapter 3. Preparing Active Directory. “Configuring Domains and Trust Relationships”, VMware View Installation. Chapter 5. Installing View Connection Server. “Installation Prerequisites for View Connection Server”] При этом все реплики сервера View Connection должны находиться в одном домене AD или в доменах, имеющих доверительные отношения.

На сервере View Connection не должна быть установлена роль Windows Terminal Server.[VMware View Installation. Chapter 5. Installing View Connection Server. “Installation Prerequisites for View Connection Server”]

Сервер View Connection следует располагать на отдельном виртуальном или физическом сервере, который не выполняет более других задач.[VMware View Installation. Chapter 5. Installing View Connection Server. “Installation Prerequisites for View Connection Server”] В случае использования виртуального сервера View Connection он должен быть расположен на инфраструктуре серверной виртуализации.

К View Connection относятся службы операционной системы, перечисленные в Таблица 3.

gallery/view.tab.3

На сервере View Connection следует запретить неиспользуемые инфраструктурой виртуальных десктопов службы (сервисы). Таким образом, следует запретить службы, перечисленные в Таблица 4.

gallery/view.tab.4

На сервере View Connection следует настроить синхронизацию времени с используемыми в организации серверами времени.[VMware White Paper “VMware View Security Server Hardening Guide”. Пункт VSS 07]

Рекомендуется настроить фильтр доменов, в которых сервер View Connection будет производить поиск пользователей.

Для настройки фильтра доменов в сервере View Connection используется команда “vmadmin”.[VMware View Installation. Chapter 3. Preparing Active Directory. “Trust Relationships and Domain Filtering”]

Резервная копия файлов LDAP-каталога должна быть защищена при помощи списка управления доступом. В него должны входить только учетные записи “SYSTEM” и группы администраторов View Connection на уровне операционной системы.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Windows Server 2008:

<Drive Letter>:\ProgramData\VMWare\VDM\backups

Windows Server 2003:

<Drive Letter>:\Documents and Settings\All Users\Application Data\VMWare\VDM\backups

В списке контроля доступа к файлу <install_directory>\VMware\VMware View\Server\sslgateway\conf должны присутствовать только учетные записи “SYSTEM” и администраторов VMware View.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Доступ к файлу настройки Web-сервера Tomcat web.xml должен быть ограничен учетными записями “SYSTEM” и администраторов VMware View.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

<install_directory>\VMware View\Server\broker\webapps\ROOT\Web INF

Должны быть запрещены рекурсивный сбор и хранение сервером View Connection информации о доверенных доменах. Такую информацию сервер должен собирать каждый раз при аутентификации пользователя доверенного домена в инфраструктуре виртуальных десктопов. Запрещение связано с тем, что сервера View Connection сохраняют в памяти информацию о доверии.

В групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе “VMware View Server Configuration” параметр “Recursive Enumeration of trusted domains” в значение “Disabled”.[VMware View Administration. Chapter 8. Configuring Policies. “View Server Configuration ADM Template Settings”]

Далее обратим внимание на журнальные файлы сервера View Connection.

Журналы служб сервера View Connection находятся:[VMware View Security. VMware View Security Reference. “VMware View Resources”]

  • Windows System Event Logs
  • В файлах:

  • Windows Server 2008:

%ALLUSERSPROFILE%\Application Data\VMware\VMware View\VDM\logs\*.txt

  • Windows Server 2003:

<Drive Letter>:\Documents and Settings\All Users\Application Data\VMware\VDM\logs\*.txt

Размещение журнальных файлов может изменяться, но также как и в случае с сервером View Security делать это не стоит.

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе “VMware View Common Configuration –> Log Configuration” параметр “Log Directory” в значение “Not Configured”.

Доступ к журнальным файлам должен быть ограничен списком контроля доступа.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Следующие параметры повторяют параметры журналирования View Security, приведенные выше, но, несмотря на это, приведем их в данном разделе также.

Максимальный размер журнальных файлов рекомендуется увеличить, например до 100 Мб относительно размера по умолчанию (10 Мб).

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе ”VMware View Common Configuration –> Log Configuration” параметр “Maximum debug log size in Megabytes” в значение “Enabled” и установить опцию “Maximum debug log size in Megabytes” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Максимальное количество журнальных файлов может быть увеличено, например, до 100 относительно количества по умолчанию (10).

Введите текст

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе “VMware View Common Configuration –> Log Configuration” параметр “Maximum number of debug logs” в значение “Enabled” и установить опцию “Maximum number of debug logs” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Максимальное количество дней, которое хранятся журнальные файлы, может быть также изменено, например, до 90 дней относительно количества по умолчанию (7 дней).

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе “VMware View Common Configuration –> Log Configuration” параметр “Number of days to keep production logs” в значение “Enabled” и установить опцию “Number of days to keep production logs” в значение “100”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Возможно также изменить пороговое значение минимально оставшегося дискового пространства для журнальных файлов. По умолчанию оно составляет 200 Мб и рекомендуется его не менять.

Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, необходимо оставить в разделе “VMware View Common Configuration”  параметр “Disk threshold for log and events in Megabytes” в значении “Not Configured”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Дополнительно можно включить расширенное журналирование событий (trace и debug).

В групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе “VMware View Common Configuration”  параметр “Enable extended logging” в значение “Enabled”.[VMware View Administration. Chapter 8. Configuring Policies. “View Common Configuration ADM Template Settings”]

Служба View Composer

Для организации пулов виртуальных десктопов следует использовать View Composer. При этом служба View Composer может быть расположена на vCenter Server, который управляет инфраструктурой виртуализации десктопов, или на отдельном виртуальном или физическом сервере. На отдельном сервере ее можно размещать, начиная с версии VMware View 5.1.

Рекомендуется базу данных View Composer располагать на отдельном сервере. Сервер базы данных View Composer не должен совмещаться с сервером vCenter Server или с сервером View Composer. Для управления базой данных View Composer может использоваться СУБД Microsoft SQL Server или СУБД Oracle. База данных View Composer должна находиться в режиме High Availability.[Deployment and Technical Considerations Guide “VMware View Backup Best Practices”. Раздел View Backup and Restore. “Backup frequency Recommendations”] Для хранения данных сервера View Composer должен быть создан отдельный экземпляр (instance) базы данных.

Сервер View Transfer

Сервер View Transfer должен быть виртуальным.[VMware View Installation. Chapter 6. Installing View Transfer Server. “Install View Transfer Server”] При этом сервер View Transfer должен располагаться на инфраструктуре виртуализации десктопов и управляться тем же vCenter Server, что и виртуальные десктопы.[VMware View Architecture Planning. Chapter 4. Architecture Design Elements and Planning Guidelines. “View Transfer Server Configuration”]

К View Transfer относятся службы операционной системы, перечисленные в Таблица 5.

gallery/view.tab.5

Доступ к файлу настройки Web-сервера Apache httpd.conf должен быть ограничен учетными записями “SYSTEM” и администраторов VMware View.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

<install_directory>\VMware\VMware View\Server\httpd\conf

Репозиторий сервера View Transfer должен находиться в общей сетевой папке (Remote Transfer Server Repository). Локальное хранилище использовать не рекомендуется. Доступ к общей сетевой папке репозитория следует ограничить правами на Чтение (Read) и Изменение (Modify) специально созданной для репозитория доменной учетной записи.

Журналы служб сервера View Transfer находятся:[VMware View Security. VMware View Security Reference. “VMware View Resources”]

  • Windows Server 2008:

<Drive Letter>:\ProgramData\VMware\VDM\logs\*.txt

  • Windows Server 2003:

%ALLUSERSPROFILE%\Application Data\VMware\VDM\logs\*.txt

Журналы службы Web-сервера Apache находятся:[VMware View Security. VMware View Security Reference. “VMware View Resources”]

<Drive Letter>:\Program files\Apache Group\Apache2\logs\error.log

Доступ к журнальным файлам View Transfer и Web-сервера Apache следует ограничить списком контроля доступа.[VMware View Security. VMware View Security Reference. “VMware View Resources”]

Раздел 3. Аутентификация и авторизация

На Рисунок 1 приведена схема, показывающая технологические учетные записи и их права, используемые инфраструктурой виртуальных рабочих станций VMware View.

gallery/view.10.accounts

Рисунок 10. Учетные записи и их права, используемые инфраструктурой виртуальных десктопов [VMware View Security. VMware View Security Reference. “VMware View Accounts”]

Рассмотрим права учетных записей, используемых инфраструктурой виртуальных десктопов, в порядке, обозначенном на Рисунок 1.

Администраторы VDI

Вначале рассмотрим права администратора(ов) инфраструктуры виртуальных десктопов.

Под номером 1 обозначены права администратора инфраструктуры во View Manager. Привилегии администратора(ов) могут быть глобальными и объектными. Внутренние привилегии View Manager мы рассматривать не будем, т.к. они даются встроенным ролям и обычно использовать их для других целей не приходится. Объектные привилегии даются на конкретные объекты – пулы, десктопы, постоянные диски. Объектные привилегии позволяют давать доступ на администрирование, например, только конкретных пулов виртуальных десктопов, т.е. передавать полномочия, например, филиалам, организациям–потребителям услуг виртуальных десктопов и т.п. Предопределенные административные роли в иерархии View Manager приведен в Таблица 7, а набор возможных привилегий, из которых возможно формировать собственные роли во View Manager приведен в Таблица 7.

gallery/view.tab.6
gallery/view.tab.7

В Таблица 8 приведены наиболее распространенные задачи администрирования во View Manager и соответствующие данным задачам привилегии – глобальные и объектные с указанием объектов, на которые они распространяются.

gallery/view.tab.8.1
gallery/view.tab.8.2

Под номером 2 обозначены права администратора инфраструктуры в vCenter Server. Администратору нужны права на уровне vCenter Server для создания основного образа пула виртуальных десктопов. Права для создания основного образа представлены в Таблица 9.

gallery/view.tab.9

View Manager

Для доступа View Manager к vCenter Server должна быть создана доменная пользовательская учетная запись в том же домене, что и сервер View Connection, или в разных доменах, но с доверительными отношениями.[VMware View Installation. Chapter 3. Preparing Active Directory. “Creating a User Account for vCenter Server”]

Под номером 3 на Рисунок 1 обозначены права учетной записи View Manager на сервере vCenter Server на уровне операционной системы. Данная учетная запись должна иметь пользовательские права на сервере vCenter Server, а в случае использования View Composer она должна иметь права администратора на сервере vCenter Server (входить в локальную группу “Administrators”).[VMware View Installation. Chapter 8. Configuring View for the First Time. “Configure a vCenter Server User for View Manager, View Composer, and Local Mode”]

Под номером 4 на Рисунок 1 обозначены права учетной записи View Manager на сервере vCenter Server на уровне самого программного обеспечения vCenter Server.

Подключение View Manager к vCenter Server должно осуществляться при помощи ограниченной учетной записи, имеющей права на vCenter Server в зависимости от использования View Composer или локального режима (Local Mode).

Проверить используемую учетную запись можно во View Administrator. В нем выбрать “View Configuration –> Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” проверить имя пользователя “User name” для доступа к vCenter Server.[VMware View Installation. Chapter 5. Installing View Connection Server. “Add vCenter Server Instances to View Manager”]

В Таблица 10 представлены права учетной записи View Manager в vCenter Server в случае, если не используется ни View Composer, ни локальный режим (Local Mode).

gallery/view.tab.10

Права учетной записи View Manager на уровне vCenter Server в случае использования View Composer расширяются относительно стандартных (см. Таблица 10) привилегиями, перечисленными в Таблица 11.

gallery/view.tab.11

Права учетной записи View Manager на уровне vCenter Server в случае использования локального режима (Local Mode) расширяются относительно привилегий View Manager в случае использования View Composer (см. Таблица 10 и Таблица 11) привилегиями, перечисленными в Таблица 12.

gallery/view.tab.12

View Composer

Под номером 5 на Рисунок 1 обозначены права учетной записи View Composer к базе данных View Composer. В качестве системы управления базой данных View Composer может выступать Microsoft SQL Server или Oracle.

В случае использования Microsoft SQL Server в качестве модели аутентификации может быть выбрана интегрированная с операционной системой Windows аутентификация или аутентификация SQL сервера. В случае размещения базы данных на том же сервере, что и vCenter Server, необходимо использовать интегрированный метод аутентификации, а в других случаях – аутентификацию SQL сервера. В случае использования интегрированного метода аутентификации пользователь, под которым происходит обращение viewComposer к базе данных, не должен иметь дополнительных к правам обычного пользователя прав в операционной системе сервера баз данных. Пользователь, под которым происходит обращение View Composer к базе данных СУБД Microsoft SQL Server, должен иметь роль db_owner fixed database в базе данных View Composer.

В случае использования Oracle пользователь, под которым происходит обращение viewComposer к базе данных, должен иметь не следующие права:[VMware View Installation. Chapter 4. Installing View Composer. “Configure an Oracle Database User for View Composer”]

grant connect to <user>;

grant resource to <user>;

grant create procedure to <user>;

grant create view to <user>

grant create sequence to <user>;

grant create table to <user>;

grant create materialized view to <user>;

grant execute on dbms_lock to <user>;

grant execute on dbms_job to <user>;

grant unlimited tablespace to <user>;

Под номером 6 на Рисунок 1 обозначены права учетной записи View Composer в корпоративном каталоге Microsoft Active Directory.

Подключение View Composer к AD должно осуществляться при помощи ограниченной учетной записи.

Проверить используемую учетную запись можно во View Administrator. В нем выбрать “View Configuration –> Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “View Composer settings” в окне “Domains” выбрать имя домена, нажать кнопку “Edit…” в появившемся окне “Edit Domain” проверить имя пользователя “User name”.[VMware View Installation. Chapter 5. Installing View Connection Server. “Configure View Composer Settings for vCenter Server”]

View Composer требует, чтобы учетная запись, под которой он работает с Active Directory, обладала привилегиями для добавления и удаления учетных записей компьютеров в определенную организационную единицу OU.

Для этого необходимо: [VMware View Installation. Chapter 3. Preparing Active Directory. “Create User Account for View Composer”, VMware Knowledge Base. Статья 1007659 “Minimum permissions required for View Composer”]

  • Зайти на контроллер домена
  • Запустить “Start –> Programs –> Administrative Tools –> Active Directory User and Computers”
  • Отметить пункт в меню “View –> Advanced Features”
  • Нажать правой кнопкой мыши на организационной единице <VDI Computers>[Организационная единица, в которой располагаются виртуальные рабочие станции] и выбрать пункт меню “Properties” (<VDI Computers> - организационная единица, в которой находятся учетные записи виртуальных десктопов)
  • Выбрать закладку “Security”. Нажать на кнопку “Advanced”
  • Выбрать закладку “Permissions”. Нажать на кнопку “Add” для добавления пользователя View Composer
  • В появившемся окне выбрать пользователя и нажать “Ok”
  • Далее в окне “Permissions Entry for <VDI Computers>” выбрать закладку “Object” и в списке “Permissions” установить “Allow” для:
  • List Contents;
  • Read All Properties;
  • Write All Properties;
  • Read Permissions;
  • Create Computer Objects;
  • Delete Computer Objects.
  • Выбрать закладку “Properties”. В ней в списке “Apply to” выбрать “Descendant Computer objects” и в списке “Permissions” установить “Allow” для “Write All Properties”.

Аудит

Под номером 7 на Рисунок 1 обозначены права учетной записи View Manager к базе данных событий VMware View. Также как и в случае с базой данных View Composer в качестве системы управления базой данных View Composer может выступать Microsoft SQL Server или Oracle, да и права учетной записи к базе данных совпадают с View Composer.[VMware View Installation. Chapter 9. Creating an Event Database. “Add a Database and Database User for View Events”]

View Transfer

Под номером 8 на Рисунок 1 обозначены права учетной записи сервера View Transfer к репозиторию. Данная учетная запись должна иметь права на чтение и запись в общую сетевую папку репозитория.

Пользователь виртуального десктопа

Под номером 9 на Рисунок 1 обозначены права пользователя на виртуальном десктопе. Более подробно об этих правах мы поговорим в следующей главе, в том числе и при использовании локального режима (см. номер 10 на Рисунок 1).

Раздел 4. Защита взаимодействия

Поговорим немного о том, каким образом можно защитить технологические соединения.

Во-первых, во время установки серверов View Security следует использовать парные пароли для начальной аутентификации серверов View Connection и View Security между собой. При подсоединении сервера Security Server к серверу Connection Server начальный парный пароль (pairing password) должен задаваться исходя из парольной политики[VMware View Installation. Chapter 5. Installing view Connection Server. “Configure a Security Server Pairing Password”], а его время жизни должно быть не более, например, 10 минут.[VMware View Installation. Chapter 5. Installing view Connection Server. “Configure a Security Server Pairing Password”]

Далее, соединение View Manager (Connection Server) с vCenter Server должно осуществляться по защищенному при помощи SSL каналу.

Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –> Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” проверить, что отмечен чекбокс “Connect Using SSL”.[VMware View Administration. Chapter 1. Configuring View Connection Server. “Add vCenter Server Instances to View Manager”, VMware View Security. VMware View Security Settings. “Security-Related Server Settings in View Administrator”]

Коммуникации между компонентами View Manager должны быть защищены использованием цифровой подписи.[VMware View Administration. Chapter 1. Configuring View Connection server. “Message Security Mode for View Components”, VMware View Security. VMware View Security Settings. “Security-Related Global Settings in View Administrator”]

Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” установить параметр “Message security mode” в значение “Enabled”.

Раздел 5. Другие рекомендации

С точки зрения ограничения нагрузки на инфраструктурные сервера можно рекомендовать выполнять следующие требования.

Установить значение максимального количества одновременных запросов View Manager к vCenter Server на инициализацию (provisioning) виртуальных машин.[По умолчанию 8. Это значение не влияет на инициализацию виртуальных рабочих станций связанного клонирования (linked-clone)]

Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –> Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” нажать кнопку “Advanced >>” и установить параметр “Max concurrent provisioning operations” в значение.[VMware View Administration. Chapter 1. Configuring View Connection Server. “Add vCenter Server Instances to View Manager”]

Установить значение максимального количества одновременных запросов изменению состояния виртуальных машин (включение, выключение, приостановка (suspend) и т.п.).[По умолчанию 5. Это значение влияет на виртуальные рабочих станций и на связанные клоны (linked-clone)]

Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –> Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” нажать кнопку “Advanced >>” и установить параметр “Max concurrent power operations” в значение.[VMware View Administration. Chapter 1. Configuring View Connection Server. “Add vCenter Server Instances to View Manager”]