+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Документ по усилению безопасности Proxmox для соответствия требованиям., Proxmox Виртуальная Среда

bsinha

Guest

13.05.2024 21:50:00

У нас пара ВМ работает на production-сервере в 3-узловом кластере с использованием Proxmox и ceph. Теперь несколько аудиторов просят предоставить руководство по укреплению (hardening) установок Proxmox, так как ВМ работают в продакшене. Мы использовали ISO-файлы Proxmox VE и Proxmox Backup Server для установки на bare metal-узлы. Кажется, установка по умолчанию уже довольно укреплена. Кроме того, мы ограничили подключение к управлению, открыв его на другом порту, а не на 8006 и 8007. И мы не разрешили SSH из интернета. Теперь мой вопрос: какое руководство по укреплению мы должны подготовить для аудиторов? И какие дополнительные меры мы могли бы предпринять для дальнейшего укрепления системы?

weehooey-bh

Guest

15.05.2024 09:51:00

Значительная часть укрепления безопасности на любой платформе — это изменение конфигураций по умолчанию на более защищенные. Вы правы, они обе стартуют довольно безопасно. Установите sudo, создайте пользователей, отличных от root, принудительно включите TOTP (TFA) в GUI для всех учетных записей, убедитесь в наличии TLS-сертификатов для GUI, укрепите ssh (инструкции доступны онлайн), включите и используйте брандмауэр PVE. Убедитесь, что хосты находятся в отдельных сетях от гостей, изолируйте внутренние сети, которым не требуется внешняя связь. Например, corosync, Ceph backend, миграция. И это плюс следующие дополнительные пункты для PBS: Отделите сеть от PVE, разрешите доступ к PVE только через 8007, создайте пользователя и токен для резервного копирования PVE с минимальными правами. Именно этот токен используется в PVE для подключения к PBS.

itNGO

Guest

15.05.2024 12:44:00

Сейчас тестируем hardening-script от ovh-cloud. https://github.com/ovh/debian-cis. Используем Level 3 на PVE-сервере, и пока что вроде бы все работает нормально, но значительно "по-более" защищено. Было бы очень круто, если бы появились какие-нибудь дополнительные руководства или, скажем, более защищенная установка Proxmox по умолчанию. Сейчас при проверке с помощью "Center for Internet Security Debian Family Linux Benchmark v1.0.0" от Wazuh оценка получается очень низкая. А с учетом приближающегося NIS2, это может стать реальной проблемой для многих компаний, использующих PVE...

LnxBil

Guest

24.05.2024 10:46:00

Мы также используем дополнительный прокси между PVE и пользователями, использующими его, чтобы фактические хосты PVE вообще были недоступны. Это можно сделать с обратным прокси с привязными куками. Дополнительно (просто чтобы упомянуть): запускайте порты управления в отдельной, изолированной сети — то же самое для коммутаторов Ethernet/SAN, ИБП и т.д. Разделяйте как можно больше с помощью дополнительных VLAN или SDNs. Рассмотрите использование Keycloak или аналога для дальнейшей защиты. Имейте отдельные пользователей/роли для фактической административной работы и повседневного использования (например, администратор с несколькими ролями). Никогда не работайте от имени root (также для PVE, а не только для гостевых систем). У PVE очень полезная функция: группы безопасности. Не могу достаточно подчеркнуть, насколько это хорошо. Примените это к каждой виртуальной машине, и всё будет в порядке. Имейте внутри вашей виртуальной машины проверку, которая проверяет, применена ли группа безопасности брандмауэра по умолчанию, чтобы ничего не пропустить (у нас это реализовано со специальным JSON-endpoint, который должен быть недоступен, если мы включили нашу виртуальную DMZ группу безопасности для виртуальной машины).

foxdeluxx_88

Guest

31.10.2024 20:47:00

@itNGO, я тоже занимался укреплением безопасности по CIS Benchmark Debian 11/12, еще и тестировал с Wazuh (печально, что есть только .yaml для Family Linux). А какой у вас опыт? Были ошибки или проблемы? У меня пока около ~75% (настроек FW пока нет, некоторые тоже ложные срабатывания). Я реализовал всё, что, по моему мнению, возможно на PVE, но, конечно, могу еще наткнуться на одну-две проблемы из-за укрепления безопасности.

itNGO Guest	#6 0 01.11.2024 15:27:00 Сервер работает, но мы сейчас только на одном сервере, где сделана "хардёнинг"... это долгосрочный прототип.

waltar Guest	#7 0 01.11.2024 15:41:00 Очень интересный пост, полный заманчивых слов для читателей... Буду очень рад, если в итоге выйдет какой-нибудь гайд по соответствию требованиям. Спасибо всем за тестирование и работу над этим.

readyspace Guest	#8 0 03.07.2025 06:03:00 Всем привет! Я создала базовый чек-лист по комплаенсу, пока не привязанный ни к какому конкретному бенчмарку. Надеюсь, кому-то здесь пригодится. Буду рада любому фидбэку. ReadySpace.

LnxBil Guest	#9 0 07.07.2025 00:26:00 Спасибо, что поделились. У меня есть пара уточняющих вопросов и/или предложений: как вы управляете локальными администраторами, которые могут использовать sudo? Всё делается вручную? Может, добавить TOTP локальным администраторам тоже? Еще стоит ужесточить SSH, например, с помощью этого гайда по укреплению безопасности. SSH только из управляющей сети через SSH-конфиг или через Firewall? Это не совсем понятно из документа. SIEM — это хорошо, но, насколько я знаю, нет интеграции с другими лог-файлами из PVE. Вы нашли здесь какое-то другое решение?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры