+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Запускаю EDR на PVE хосте., Proxmox Виртуальная Среда

Undivided0519

Guest

03.03.2025 18:52:00

Задумался о том, чтобы запускать SentinelONE на самом хосте PVE. Конечно, нужно будет исключить из сканирования в реальном времени места хранения дисков ВМ/контейнеров, но есть ли какие-то подводные камни при установке EDR или антивируса в целом на хост PVE для обнаружения и остановки вредоносного кода?

jrhoades

Guest

08.04.2025 02:36:00

Мы тоже делаем что-то похожее с MS Defender. Вдохновлялись документацией MS по исключаемым файлам для Hyper-V https://learn.microsoft.com/en-us/d...crosoft-defender-antivirus#hyper-v-exclusions. Исключаем все файлы VM, например *.qcow2, файловую систему кластера /etc/pve/* и процессы Proxmox, такие как kvm, pmxcfs. Отказ от EDR для нас не вариант, поэтому будем рады получить официальные рекомендации от Proxmox.

guruevi

Guest

08.04.2025 03:33:00

От чего ты вообще себя защищаешь? Сам хост не запускает клиентские нагрузки, и любые интерфейсы управления должны быть изолированы в корректной среде. Можно даже использовать Secure Boot, чтобы не запускать "плохой" код. К тому же, большинство EDR-программного обеспечения ничего не делает в Linux, в основном требуется подгружать двоичный модуль ядра, но я никогда не видел, чтобы EDR обнаруживал и блокировал что-либо в Linux — кроме случаев, когда ты пытаешься выгрузить EDR, потому что он вызывает падение ядра. У меня был негативный опыт работы с программным обеспечением, которое может мешать работе критически важных систем. Например, проблема с CrowdStrike не так давно. В твоих гостевых системах EDR будет работать отлично. Если тебе это действительно нужно, и твой EDR поддерживает текущее ядро (что само по себе шутка с большинством EDR-провайдеров — поддержка Linux обычно является второстепенной задачей), он будет работать до тех пор, пока не потребуется обновление ядра, тогда тебе придется три месяца писать в их поддержку, чтобы они построили новый. Если тебе просто нужно поставить галочку для аудита, установи ClamAV, который, если не более, то не менее эффективен, чем CrowdStrike, Cylance, Sophos, Symantec, Defender (это даже в Windows – шутка) и любое другое коммерческое EDR, с которым я работал в Linux. Кстати, VMware тоже не запускает EDR на своих кластерных хостах, и ни одна другая коммерческая система кластерного хранения или виртуализации не поддерживает или рекомендует это. RedHat, Nutanix, Citrix и т.д. Настоящие инструменты безопасности: Ansible, Tripwire, Nessus, Snort, вышеупомянутый SecureBoot и т.д.

jrhoades

Guest

08.04.2025 03:47:00

Группировки ransomware обожают проникать на гипервизоры и шифровать, а потом удалять виртуальные машины на хосте – это было одним из тех преимуществ Proxmox перед ESXi, которое мы ценили: мы могли запускать security-агента прямо на хосте. Да, мы сегментируем сети хостов, используем MFA/SSO как для веб-интерфейса, так и для SSH и прочего, но это наша последняя линия обороны.

guruevi

Guest

08.04.2025 12:18:00

Опять же, ваш EDR обнаруживает активность на Ceph? Простой тест: напишите Python-скрипт, который перезаписывает зашифрованные данные в файл. Ваш EDR обнаружит или остановит это? Как он определит разницу между ransomware и гостем, использующим что-то вроде Bitlocker? Для защиты от ransomware вам нужны неизменяемые снимки и резервные копии на вашем хранилище.

jrhoades

Guest

08.04.2025 12:55:00

Не обнаруживает активность ransomware на гостевых VM, а обнаруживает её на самом узле Proxmox. Злоумышленник проникает на ваш узел Proxmox, останавливает VM через CLI, а затем шифрует файлы qcow2. Сейчас это в основном происходит на ESXi и Hyper-V, например: https://www.microsoft.com/en-us/security/blog/2023/11/28/addressing-hypervisor-vulnerability-for-mass-encryption/.

guruevi

Guest

08.04.2025 13:05:00

Да, я понимаю, но насчёт эксплойта, на который ты дал ссылку, есть ли какой-нибудь EDR, который бы его обнаружил на гипервизоре сейчас? Если думаешь, что да, пожалуйста, проверь. Windows Server тоже имеет Defender, по крайней мере, встроенный, и на Windows всегда стоит запускать EDR, тогда почему бы его не использовать на собственной платформе? Мне кажется, у большинства предприятий сейчас есть EDR, но эти типы ransomware, использующие "живой с земли", почему-то не обнаруживаются.

jrhoades

Guest

08.04.2025 14:45:00

Похоже, может и не обнаружить начало атаки LOLBin, но должно обнаруживать другие артефакты программ-вымогателей, такие как шифрование файлов, удаление файлов и т.д. Например, мы получаем оповещения на наших файловых серверах под Linux, когда большое количество файлов изменяется. Также должно обнаруживать/блокировать сетевой трафик к серверам управления и прочему. Мы даже запускаем его на наших HPC-серверах без каких-либо проблем, так что не уверен, в чем же подвох.

guruevi Guest	#9 0 08.04.2025 16:41:00 Да, но определение гипервизора заключается в том, что большое количество блоков постоянно изменяется. Более того, я сильно сомневаюсь, что EDR вообще осознает трафик типа Ceph и может интегрироваться в него. Даже файл QCOW2 — это всего один файл, тебе нужно зашифровать всего несколько блоков, чтобы сделать его совершенно непригодным для использования. Опять же, ты описываешь ситуацию на Linux-клиентах, где люди с браузерами делают глупости, а не на гипервизоре, и для тех да, есть EDR. Трафик на C&C-серверы — ему уже пришлось бы знать (заблокировать) их, и это кажется мне задачей, которую лучше решать на периметре с помощью IDS, интегрированного в брандмауэры. Моя позиция заключается в том, что как только программа-вымогатель получает достаточные права для начала своей атаки, уже слишком поздно, у нее глубокий доступ в твою сеть и, к тому же, root-доступ в этот момент. Если это произошло на твоем гипервизоре, ты взломан, тебе нужно отключить свой дата-центр, стереть компьютеры администраторов, стереть твои jump-хосты, стереть весь кластер и восстанавливаться из… снимков и резервных копий. У меня нет проблем с EDR как инструментом обнаружения, но то, что ты описываешь, может быть зафиксировано любым SIEM, и, скорее всего, когда атакующий только стучится в дверь. Позволять ему вмешиваться (убивать ВМ, зависать ядра, добавлять измеримые задержки при вызовах чтения/записи и т.д.) всегда было проблемой для нас, особенно в кластерах, ты потенциально зависаешь весь кластер, потому что CrowdStrike использует своих клиентов для тестирования динамического обновления — это произошло дважды на Linux до печально известного сбоя Windows, именно поэтому, даже на ВМ мы больше не позволяем EDR работать в качестве модуля ядра — ему приходится использовать BPF вместо этого. Мне бы очень хотелось услышать о хорошем EDR-инструменте для Linux, который a) строит интерфейс ядра независимо от версии ядра b) не вмешивается в законные операции и c) может на самом деле обнаруживать «плохое поведение» как на хосте, так и в ВМ и контейнерах. Сейчас кажется, что большинство поставщиков EDR просто там, чтобы отметить галочку, что у них также есть Linux (и то же самое можно сказать о Mac), но они обнаруживают только Windows-угрозы и Windows-подобное поведение, повторяют ту же атаку на Python, и ничего не обнаруживают.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры