Share via

5Nine Cloud Monitor и Virtual Firewall beta 3.0

За разговорами об облачной инфраструктуре зачастую забывают о таком немаловажном аспекте, как безопасность. На мой взгляд, политика Microsoft в этом направлении несколько сместила фокус, отдав несколько очевидных решений на откуп партнерам, не идущих, впрочем, в ущерб основному функционалу.

Компания 5Nine Software, о продуктах которой уже неоднократно упоминалось в блоге, в рамках семейства Hyper-V Cloud Management, заявила о предварительной версии Virtual Firewall для Windows 8. Прежде чем приступить к "герою дня", вкратце рассмотрим возможности таких компонентов 5Nine для Hyper-V, как Cloud Monitor и Cloud Backup.

5nine Cloud Monitor для Hyper-V:

  • Единая консоль мониторинга
  • Поддержка Hyper-V в Windows Server 2008, Windows Server 2008 R2 SP1, а также бесплатной версиии Hyper-V Server 2008 R2.
  • Мониторинг в реальном времени процессорных ресурсов, потребления памяти, утилизации сетевой подсистемы, а также дисковых операций ввода-вывода
  • Возможности уведомления по e-mail и SMS в случае возникновения проблем с ресурсами
  • Наблюдение за физическими и виртуальными узлами без установки агентов
  • Использование "Run As" аккаунтов для делегирования полномочий

5nine Cloud Backup для Hyper-V :

  • Единая консоль управления
  • Поддержка PowerShell API
  • Поддержка кластеров Hyper-V
  • Поддержка Microsoft VSS, что позволяет выполнять резервные копии без остановки виртуальных машин без выделения окна обслуживания.
  • Возможность восстановления ВМ целиком на ресурсах, операция, схожая с Bare metal restore

Стоит отметить, что оба продукта на данном этапе развития лицензируются физический хост, вне зависимости от числа виртуальных машин, процессоров, ядер и т.п. Итак, перейдем к Virtual Firewall 3.0.

Единая, традиционно спартанская консоль 5Nine vFirewall позволяет довольно гибко управлять политиками безопастности узлов Hyper-V

Правила брандмауэра на данный момент включют возможность создания следующих правил:

  • Правила управления ARP-запросами
  • Правила шлюза по умолчанию
  • Правила IP и Broadcast

На примере приведено создание правило, блокирующее трафик виртуальных машин по 80-ому порту

Возможность контроля трафика основана на расширении возможностей виртуального коммутатора с использованием Microsoft Windows Filtering Platform

Антивирус, базирующийся на движке Sophos, позволяет сканировать гостевые операционные системы как по расписанию, так и рандомно, исходя из нагруженности виртуальной машины

Также имеется возможность запуска проверки вручную и просмотр результатов последнего сканирования

В отличие от Cloud Monitor и Cloud Backup, Virtual Firewall лицензируется на виртуальную машину.

Comments

  • Anonymous
    January 01, 2003
    Детализируя абсолютно верный ответ авторов,  можно указать на следующие отличия этой утилиты от стандартного firewall:
  1. Возможность централизованного управления политиками / правилами (через консоль или PS API  из системы управления ВМ  или сервера) , которая  требуется хостинг-клиентам;
  2. возможность хранения логов в  журнале,   как в виде  файла, так и в формате базы данных, которые необходимы  для соответствия законодательству.
  3. регулирование полосы пропускания от внешнего канала до ВМ  (входящей и исходящей);
  4. управляемое в зависимости от загрузки хоста сканирование для  защиты от вирусов с антивирусом  Sophos;
  5. HEARTBEAT SERVICE , который непрерывно проверяет, применяются ли правила сетевого трафика, а также многие другие функции www.5nine.ru/.../5nine-virtual-firewall-20-for-hyper-v  , необходимые предприятиям и хостинговым  компаниям, которые не могут быть реализованы  с помощью штатного брандмауэра Windows на виртуальных машинах. Также нереально настроить с помощью штатных средств  «облако»  большого размера со сложными политиками безопасности, не только in/out , но и портами открытыми /закрытыми между определенными ВМ внутри «облака». С вопросами  Вы можете обратиться в российское  представительство 5nine:  www.5nine.ru/.../contacts

  • Anonymous
    January 01, 2003
    Спасибо за разъяснения и оперативность. Основная мысль понятна.

  • Anonymous
    January 01, 2003
    Спасибо за статью. Однако есть один вопрос: Чем данное решение лучше обычного фаервола в ОС Windows? С помощью стандартного фаервола я могу выполнять все те же функции и к тому же управлять параметрами с помощью групповых политик? И небольшая поправочка: думаю немного напутали с версиями ОС - "Hyper-V Server 2009 R2" вро де как не было :)

  • Anonymous
    January 01, 2003
    Поправлено. С помощью Windows Firewall Вы сможете управлять трафиком для отдельно взятой машины без доступа в гостевую ОС?

  • Anonymous
    January 01, 2003
    Это решение ставится и настраивается на узле, что даёт пару сильных преимуществ:

  1. Независимость от ОС: DOS, Linux, Win95 или Win8 - не важно
  2. Независимость от действий админа ВМ (что очень важно для хостинга). Если я не хочу чтобы из ВМ что-то уходило, я это настрою на уровне хоста и эти настройки не перебить изнутри.
  3. Ну и опять же особо важно в случае хостинга - никаких там доменов и политик. Централизованное управление на узел или группу узлов.