Há algum tempo quero escrever sobre o assunto segurança, contudo não houve até então oportunidade melhor, nesta semana um fato interessante surgiu que me fez ler algumas documentações e me fizeram chegar a este artigo. Falo aqui sobre soluções de proteção para ambientes virtuais, neste primeiro artigo posiciono o tema dentro do cenário atual do mercado junto com algumas considerações técnicas do VMware vShield Endpoint e do Depp Security da Trend.

Hoje podemos dizer que o ambiente virtual deixou de ser coadjuvante para atuar no papel principal dentro dos Datacenters, este fato parece irreversível, uma vez que a habilidade de consolidar inúmeros servidores virtuais em um único pool de servidores físicos veio a agregar funcionalidades, diminuindo a complexidade e acelerando o oferecimento de novos serviços. O fato é que ambientes virtuais propiciam a criação de servidores muito rapidamente e algumas vezes de forma indiscriminada e sem controle, pois, diferente do modelo tradicional, onde um novo servidor poderia levar dias, semanas ou até meses para entrar no ar, em um modelo de servidores virtuais o tempo é reduzido muitas vezes para pouco mais de alguns minutos. Este fato alinhado ao oferecimento de desktops virtuais está criando novos panoramas para a administração dos centros de dados, a segurança destes ambientes tem sido colocada cada vez mais em foco devido à quantidade de máquinas virtuais e serviços existentes. Isso tem esbarrado nos moldes tradicionais de segurança que não atendem com primazia as necessidades dos ambientes virtuais.

Para atender as demandas geradas pelos ambientes virtuais em termos de segurança, é necessário haver mecanismos otimizados para tal. A VMware oferece o VMware vShield, uma suíte de segurança virtual baseada em virtual appliance que se integra ao VMware vCenter Server e está disponível nas versões Enterprise e Enterprise Plus do VMware vSphere.

VMware vShield

O VMware vShield é um componente de extrema importância dentro do datacenter virtual, uma vez que seu papel principal é fornecer segurança para uma camada onde o modelo tradicional não atende com total capacidade. No modelo tradicional as regras de firewall, por exemplo, são definidas em uma camada externa ao ambiente de virtualização, isso significa que para essa camada externa fazer parte do ambiente virtual é preciso que aja o direcionamento do tráfego dos servidores virtuais para os equipamentos de segurança que estão do lado de fora, ou seja, determinados tráfegos saem do ambiente virtual para serem analisados ou filtrados para, muitas vezes, voltar a um servidor do próprio ambiente virtual. Isso gera gargalos e cargas de trabalhos desnecessários em muitos pontos da rede como Switchs, Roteadores, Firewalls e servidores.

É neste e outros cenários de segurança que a suíte do VMware vShield consegue tirar todo o proveito das análises feitas em memória do hypervisor. Ele consegue não somente oferecer recursos de controle de tráfego, mas também todo conjunto relacionado à segurança que uma solução completa pode ofertar, como controle de perímetro, controle contra roubo de informação, balanceamento de carga de aplicações, NAT e integração com soluções de terceiros para controle anti-malware (antivírus).

O VMware vShield 5 inclui além do vShield Manager, quatro outros pacotes licenciados individualmente, são eles:

• vShield App
• vShield App with Data Protection
• vShield Edge e
• vShield Endpoint

Este último é o foco deste artigo e motivo pelo qual escrevo. O vShield Endpoint é um módulo instalado em cada host ESX, após sua instalação o host passa a ser coberto pela proteção do vShield. Este módulo possui a capacidade de interceptar em memória todo tráfego gerado por uma máquina virtual e entregar este conteúdo para uma ferramenta de terceiro analisar.

Módulo dvfilter

Devido a motivos de segurança, somente fabricantes de softwares parceiras da VMware como Trend, Symantec e McAfee possuem acesso as APIs responsáveis por penetrar este lado antes impenetrável e oculto do hypervisor. Com o vShield Endpoint o processamento na análise de vírus e anti-malware pode ser feito em memória e processado por um virtual appliance de uma dessas ou outra parceira VMware de segurança, não há a necessidade de haver um agente em cada máquina virtual responsável pelo escaneamento da memória e arquivos, uma vez que este processo pode ser feito por meio de um único agente instalado no host.

Isso significa que a carga de trabalho antes destinada ao escaneamento de arquivos e memória, patchs e outras atualizações, muitas vezes responsáveis pela degradação de performance de estações de trabalho e servidores, deixa de acontecer para cada VM e este processamento “extra” pode ser utilizado para outros fins voltados a necessidade do negócio.

Processo de instalação do VMware vShield Endpoint

A instalação do VMware vShield é feita a partir da importação de um virtual appliance OVF disponível no site da VMware para download, o arquivo com aproximadamente 900MB deve ser importado para o ambiente do vCenter a partir da opção File > Deploy OVF Template do vSphere Client.

Deploy do vShield Endpoint

As telas de Deploy de OVF são auto-explicativas, basta clicar em next, next e next, neste post darei maior ênfase as telas onde há necessidade de interação.

Antes da instalação do vShield no ambiente precisei instalar no host ESXi 5.0 o patch bundle ESXi500-201109401-BG, veja o KB 1027808 para mais detalhes. Dica, leia o último trecho deste post antes de continuar :-/

Após a importação do arquivo OVF uma nova máquina virtual foi provisionada e está disponível no inventário para ser inicializada, porém antes, verifique nas configurações da VM se a reserva de memória está em acordo com suas políticas internas, aqui quando fiz a importação, a reserva inicial era igual à quantidade de memória virtual da VM instalada e como meu ambiente de homologação do vSphere é sobre o VMware Workstation em um note com 8GB de memória somente, não consegui dar PowerOn no virtual appliance do vShield na primeira tentativa.

Feito alguns ajustes nas configurações da VM chega o passo da configuração do vShield Manager.

1) Inicialize o vShield Manager e faça logon na console da máquina virtual com o usuário e senha admin/default.

vShield Manager

2) Entre no modo de configuração com o comando “enable”, digite a senha padrão “default” e em seguir o comando “setup” para configurar a interface IP.

vShield Manager setup

3) Feita a configuração do endereçamento IP o próximo passo é acessar via navegador o servidor configurado usando usuário admin senha default e registrar o plugin do vShield Manager no vCenter Server.

Tela de acesso ao vShield Manager

Preencha as informações do vCenter Server com as informações do seu ambiente e clique em register:

Configurando vShield Manager

O passo anterior irá preparar o vCenter e adicionará uma nova aba de configuração chamada vShield ao vSphere Client para cada componente gerenciável, além de criar um novo ponto de configuração do vShield em Solutions and Applications de onde é possível ter todas as funcionalidades existentes na console web de configuração do vShield Manager.

Configurando vShield Manager

4) O próximo passo é a preparação do Host ESXi para o agente do Endpoint. No inventário de Hosts and Clusters clique sobre o host que deseja proteger e a seguir na aba vShield recém criada. Clique na opção Install para o módulo do vShield Endpoint.

Instalando vShield Endpoint

5) O último passo é a instalação do virtual appliance de segurança, neste artigo a abordagem é feita sobre o Deep Security 7.5 da Trend Micro. O Deep Security é o software responsável por se integrar ao VMware vShield e realizar todas as funcionalidades de escaneamento de conteúdo em busca de vírus e malware, além de outras funcionalidades de segurança como Firewall, Intrusion Detection and Prevention (IDS/IPS) e controle de aplicações para ambientes virtuais. Sua versão mais atual é a 8.0 a qual se expande ao ambiente físico, conseguindo prover tanto segurança para o mundo virtual quanto para o mundo físico, contudo no momento do download do produto para testes no site da Trend só tive disponível a versão 7.5 do Deep Security, uma pena.

Deep Security

O Deep Security foi originalmente desenvolvido por uma empresa canadense chamada Third Brigade, a qual em abril de 2009 foi adquirida pela Trend Micro. O Deep Security foi o primeiro sistema de proteção completamente otimizado para ambientes virtuais, também foi o primeiro produto agora da Trend a integrar em sua suíte de segurança proteção para web application, intrusion prevention (IDS/IPS) e controle contra intrusão (firewall). Por estes motivos, a Trend possui hoje no mercado a solução com maior maturidade e robustez, suas características para ambientes virtuais estão bem à frente de produtos como McAfee Total Protection for Endpoint e Symantec Endpoint Protection.

Este fato se dá, devido a otimização do Deep Security para ambientes virtuais e sua completa integração com o VMware vShield. Em testes feitos pelo Tolly Group, empresa especializada em testes de validação, foi mostrado que o software de segurança da Trend foi a solução que ofereceu menor consumo de recursos de Memória, CPU e Disco em testes de carga do sistema, isso significa uma maior carga de trabalho possível de rodar com máxima performance sobre os hosts de virtualização, ou seja, maior taxa de consolidação e otimização dos recursos. Além disso, o Deep Security foi o que apresentou menor foot print, ou seja, menor exigência de uso de memória por servidor. Na prática, estes resultados significam economia e preservação do capital investido (CAPEX) e do custo operacional (OPEX), uma vez que a possibilidade de virtualizar mais com menos recursos é real.

Comparativo do Tolly Group

O Deep Security consiste em um conjunto de soluções que trabalham juntas para prover proteção:

• Deep Security Manager, o componente de gerenciamento central de toda a solução é usado para configurar políticas de segurança e gerenciar os demais componentes da suíte.

• Deep Security Virtual Appliance, é uma máquina virtual construída para rodar em ambientes VMware vSphere, ela é a responsável por fornecer proteção Anti-Malware, IDS/IPS, Firewall, Web Application Protection e controle de aplicação sem o uso de agentes na máquina virtual.

• Deep Security Agent, é um agente adicional que deve ser instalado diretamente na máquina virtual, está disponível para Windows, Linux, Solaris, HP-UX e AIX, o agente oferece IDS/IPS, Firewall, Web Application Protection, Contole de Aplicação e adicionalmente monitoramento integrado e Log Inspection.

Instalando o Deep Security.

Os arquivos necessários para instalação do Deep Security podem ser baixados a partir do site da Trend Micro junto com a licença Trial para essa versão. Basicamente serão 4 arquivos necessários:

Arquivos de instalação

• Agent-Windows-7.5.0-5593.x86_64.msi – Agente para instalação em máquinas virtuais
• Appliance-ESX-7.5.0-5569.x86_64.zip – Virtual appliance do Deep Security
• FilterDriver-ESX-7.5.0-5586.x86_64.zip – Usado para acoplar cada host ESX a console de gerenciamento.
• Manager-Windows-7.5.6561.x64.exe – Software de gerenciamento que deve ser instalado em um servidor Microsoft, podendo ser uma máquina virtual, no meu caso o próprio vCenter Server.

Observação: Mantenha-os no mesmo diretório que a instalação do Deep Security Manager encontra-se durante a instalação do DS Manager, pois durante a instalação o Virtual Appliance e o Filter Driver serão importados para dentro do DS Manager para posterior configuração do host e do Virtual Appliance.

Arquitetura do Deep Security

Arquitetura do Deep Security

Algumas considerações importantes

O Deep Security Manager deve ser único por ambiente, a não que queira adicionar redundância a primeira instância.

Cada host ESX deve estar protegido pelo vShield Endpoint

Cada host ESX possui seu próprio Virtual Appliance, esta deve ser a consideração mais pertinente para largos ambientes onde múltiplos hosts estão presentes em cluster, uma vez que para cada host existente haverá uma máquina virtual dedicada.

Cada máquina virtual protegida deve ter os agentes do vShield Endpoint e do Deep Security instalados.

Instalando o Deep Security e seus componentes

Deep Security Manager

O processo de instalação do DS Manager é bastante simples, o wizard em sua totalidade pode ser colocado a frente aceitando os termos de instalação e clicando em Next quando é pedido, salientarei a seguir somente os passos de instalação que pedem interação.

Instalação do Deep Security Manager

Instalação do Deep Security Manager

Para fins de testes deixei selecionado a opção de banco de dados “Embedded”, ou seja, embutido e já incluso na solução, outras opções seriam Microsoft SQL Server e Oracle destinados para ambientes de produção e larga escala.

Instalação do Deep Security Manager Banco de Dados

A tela seguinte refere-se ao tipo de ativação do produto, ou seja, você pode ativar uma ou mais funcionalidades conforme módulos adquiridos no momento da compra. Para fins de testes foi adicionado neste momento a chave de ativação na opção Single Activation Code.

Instalação do Deep Security Manager Ativação

As telas a seguir pedem respectivamente que seja especificado hostname, portas de comunicação, usuário e senha e atualizações automáticas.

Instalação do Deep Security Manager

Instalação do Deep Security Manager

Instalação do Deep Security Manager

O passo seguinte adiciona o VMware vCenter como entidade de administração dentro da console do DS Manager. Para isso, faça logon no Deep Security Manager via web browser na porta 4119, por exemplo: https://nomedoservidor:4119 usando o usuário e senha definidos durante a instalação.

Logando no DS Manager

Clique com o botão direito sobre Computers e selecione Add VMware vCenter...

Adicionando VMware vCenter no DS Manager

Preencha os campos solicitados com as informações do VMware vCenter de seu ambiente.

Configurando VMware vCenter no DS Manager

Na tela seguinte inclua as informações do vShield Manager instalado anteriormente

Configurando VMware vShield no DS Manager

A próxima opção é referente a configuração dos endereços IP do Deep Security Virtual Appliance que ainda será instalado e as recomendações padrões devem ser alteradas somente se necessário.

Configurando IP do Deep Security Virtual Appliance

Os últimos dois passos são para aceitar os certificados SSL a serem gerados, basta clicar em Accept e depois em Finish.

Se tudo deu certo, uma tela semelhante a seguir deve ser mostrada na console do DS Manager refletindo a realidade de seu vCenter.

Tela do DS Manager com vCenter

Estes passos totalizam a instalação do VMware vShield Manager,  do vShield Endpoint e do Deep Security Manager com integração com vCenter Server e suas máquinas virtuais. Os próximos passos são referentes à preparação dos hosts para o Deep Security Virtual Appliance e configurações mínimas a fim de manter as máquinas virtuais protegidas e operantes, porém, este que vos escreve cometeu uma leve escorregada na leitura dos pré-requisitos para o Deep Security 7.5 :-), ele só é suportado até a versão 4.1 do vSphere e meu super notebook tem instalado o vSphere 5.0. Dessa forma, providenciarei a instalação do vSphere 4 e prosseguirei de onde parei com este artigo em sua segunda parte.

Aguarde e até breve!