Федеральная служба по техническому и экспортному контролю (ФСТЭК России) обновила официальные рекомендации по обеспечению безопасности виртуальной инфраструктуры, построенной на решениях VMware. Документ, опубликованный 23 января, адресован государственным органам и операторам объектов критической информационной инфраструктуры (КИИ). Его появление напрямую связано с комплексом вызовов, включающим санкционное давление и радикальные изменения в лицензионной политике компании после её приобретения корпорацией Broadcom.
Ключевым контекстом является прекращение с начала 2025 года всех форм технической поддержки и обновлений безопасности для российских пользователей VMware. При этом проблемы не сводятся лишь к санкциям. В 2024 году Broadcom полностью отказалась от бессрочных лицензий, переведя клиентов на подписочную модель. Следовательно, многие организации остаются с унаследованными версиями продуктов, которые больше не получают заплаток для уязвимостей. Новые рекомендации призваны стать практическим руководством для администраторов по максимальному ужесточению конфигурации имеющихся систем в этих условиях.
Документ содержит детальные предписания по настройке всех ключевых компонентов: хостов ESXi и центра управления vCenter. Центральное место в методике занимает организация надёжного сбора и анализа логов (журналов событий). ФСТЭК предписывает обеспечить обязательную переадресацию журналов с хостов на защищённый удалённый сервер Syslog. Это исключает возможность их модификации или удаления злоумышленником после потенциального взлома. Далее эти данные должны передаваться в SIEM-систему (Security Information and Event Management - система управления событиями и информацией безопасности) для непрерывного мониторинга.
Рекомендации детализируют, какие именно события необходимо отслеживать. Например, в списке для немедленного оповещения значатся отключение виртуальных машин, попытки выполнения команд, содержащих строки типа "encryptor" (указание на возможную активность программ-шифровальщиков), создание новых учётных записей и изменение привилегий в Active Directory. Таким образом, акцент делается на обнаружении не только внешних атак, но и инсайдерских угроз или действий злоумышленника, уже проникшего в сеть.
Отдельный блок мер посвящён жёсткому ограничению и контролю административного доступа. ФСТЭК рекомендует полностью запретить доступ по протоколу SSH, особенно для учётной записи root. Если это невозможно, необходимо перейти на аутентификацию по SSH-ключам и настроить строгое ограничение времени сессии. Для всех привилегированных пользователей вводятся требования обязательного применения многофакторной аутентификации (MFA) и регулярной смены паролей. Принцип минимальных привилегий должен соблюдаться неукоснительно.
Важным направлением является защита целостности самих хостов. Документ предписывает активировать безопасную загрузку (Secure Boot) и принудительный режим выполнения только подписанного кода. Это блокирует запуск неавторизованного вредоносного ПО на гипервизоре. Кроме того, необходимо заблокировать установку неподписанных пакетов VIB (VMware Installation Bundle) и ограничить использование потенциально уязвимых служб, таких как VMware Network API.
Рекомендации также охватывают архитектурные аспекты безопасности. Среди них - правильная настройка политик безопасности на виртуальных коммутаторах, изоляция наиболее критичных компонентов в отдельные сетевые сегменты с использованием межсетевых экранов, а также организация доступа к хостам по принципу белых списков. Отдельное внимание уделено резервному копированию. Требуется хранить не менее трёх копий на разных типах носителей, одну из них - в полностью изолированном от сети сегменте.
При этом ФСТЭК прямо указывает на необходимость планирования перехода с VMware. Согласно данным аналитиков, в России сегодня представлено более 90 продуктов для виртуализации. Таким образом, новые рекомендации служат одновременно и руководством по экстренному укреплению безопасности оставшихся систем VMware, и сигналом для ускорения процессов импортозамещения в ключевом сегменте ИТ-инфраструктуры. Документ носит прикладной характер и предоставляет администраторам конкретные, технически выверенные шаги для повышения устойчивости виртуальных сред в отсутствие поддержки вендора.
