前言:
对于任何一个IT人而言,平台安全都是不可忽视的话题。但是我们最近看到越来越多的企业被各种病毒攻击,并造成不可挽回的损失。在和很多企业负责人沟通时,很多企业负责人忽略一个问题就是如何从平台角度考虑,如何构建安全的平台。更多是从单一攻击手段角度去讨论如何防范某一种攻击手段。其实大家更应该思考的是,正是因为你的安全从平台层面,从根本上就是具有漏洞的,所以才会被黑客发现和锁定,这才是对于管理者来说,更核心需要考虑的问题。等保2.0中等保三级对于云化环境的微分段能力规定绝对具有当下的现实意义,但是很多公司在做云平台或者虚拟化平台过程中,忽略了微分段的重要性。
例如如下文章提到的:在许多环境中,网络分段要么设计不良,要么根本不存在,导致攻击者可以轻松横向移动以破坏 vCenter、ESXi和其他基础架构。这个是平台建设中尤其是虚拟化平台建设中,大家都会忽略的东西向安全防护能力,但是却是最基础的平台安全能力!
注意:这也是你的公司被黑客盯上的基本前提,你的这个基本能力的缺失,才是黑客攻击你的足够条件和理由,相信我-黑客的每次攻击都是精心准备的,就像如下文章提到的,你们公司的数据中心信息可能已经在暗网被明码标价了。
原文链接:https://www.altaro.com/vmware/two-factor-authentication-vcenter/
组织比以往任何时候都更需要关注其环境中的安全性。新的网络安全威胁层出不穷,坏人不断尝试新的方法来入侵您的网络、关键业务服务和应用程序。网络犯罪分子破坏网络和业务关键数据的最常见的古老方式之一是通过破坏凭据。
如果您考虑一下,如果攻击者拥有特权用户帐户,那么游戏就结束了。他们无需找到隐蔽的漏洞或零日攻击,只需使用被盗凭据即可走进您的环境的前门。VMware vCenter 是VMware vSphere实施的核心。它是 vSphere 基础架构的关键部分。如果受到攻击,攻击者基本上掌握了您的 vSphere 环境和工作负载的核心。
设置双重身份验证以保护用户凭据,尤其是管理员帐户,是增强用户帐户整体安全性的好方法。是否可以在 vCenter Server 上配置双重身份验证?这是如何实现的,需要考虑哪些因素?
传统的用户名和密码已经存在了几十年。长期以来,用户的用户名通常是他们的名字和姓氏的组合,可以是截断的名字,也可以是全名,中间有句点。密码是一串字符,除用户外,任何人都看不到或知道。
尽管经历了数十年的安全演进以及更强大的应用程序和企业服务,但令人惊讶的是,经典的用户名和密码仍然是当今保护系统的主要方式。为什么这令人担忧?如前所述,泄露的凭据是当今攻击者进入环境的最常见方式之一。
在IBM 的 2021 年数据泄露成本报告中,它记录了以下有关凭证受损的统计数据:
为什么密码如此容易被破解?这是由于许多不同的原因。但是,最终用户通常倾向于选择弱密码或容易猜到的密码。此外,许多用户选择他们容易记住的密码,并且他们可能在任何地方都使用相同的密码。
今天,这个问题被放大了,因为组织让用户创建了无数服务的登录名,无论是在本地还是在云中。不幸的是,人性就是如此,用户经常选择一个密码,他们可以在他们的数字工作空间中找到的服务中重复使用。
它会导致与跨许多服务使用的关键业务数据相关联的弱用户登录。尽管与普通最终用户相比,管理员更了解安全性为何如此重要,但他们也因选择弱密码并在包括VMware vCenter Server在内的环境中的特权帐户中重复使用这些密码而感到内疚。在许多环境中,网络分段要么设计不良,要么根本不存在,导致攻击者可以轻松横向移动以破坏 vCenter、ESXi和其他基础架构。
攻击者非常狡猾,并使用复杂的方法来破坏凭据。最常见的密码攻击类型是:
尽管是较老的攻击类型之一,但网络钓鱼攻击仍然非常有效。攻击者制作看起来非常合法的电子邮件,并将其伪装成来自用户熟悉的合法或已知供应商或企业。网络钓鱼电子邮件可能会要求用户输入其当前密码以查看其安全信息。
一旦用户输入当前密码,攻击者现在就可以访问与组织相关的特定服务或解决方案的合法密码。网络钓鱼攻击可以轻松获取组织使用的凭据,然后将其用于恶意目的。
如果您管理 Microsoft 365,专用的电子邮件安全服务对于公司提供最有效的安全级别至关重要。Hornetsecurity 是领先的云电子邮件安全提供商,并提供对其产品范围的免费试用。
蛮力攻击尝试对用户帐户使用许多不同的密码,以使用常见密码、容易猜到的密码,甚至破解密码来破坏用户帐户。暗网上存在泄露的密码列表,甚至来自包含在实际泄露事件中获得的密码的合法渠道。
攻击者知道,即使是不同的用户也有相同的想法。因此,通常会针对其他用户帐户尝试破解密码以查找使用相同密码的帐户。如果扫描了足够多的用户帐户,攻击者通常会成功找到使用相同字符转换、短语和字符串的其他用户帐户。
密码喷洒是另一种形式的密码攻击,攻击者选择一些常用密码并将这些密码喷洒到多个帐户,甚至跨不同组织。这些攻击通常非常成功,并且不会触发诸如 Active Directory 中的帐户锁定之类的安全机制,因为它们为每个用户帐户尝试的密码很少。
攻击者通常以 Microsoft Active Directory 为目标,这是当今最流行的企业目录服务。Microsoft Active Directory 通常包含在本地使用或联合到云环境的所有用户名和密码。将服务和解决方案链接到集中式身份目录从管理角度和安全性方面具有许多优势,例如集中式密码策略等。
IT 管理员通常将vCenter Server 身份验证与 Active Directory连接起来。此方法允许使用一组凭据,用于 Windows 登录和访问 vCenter Server 以及其他服务。但是,不利的一面是,如果攻击者破坏了合法的 Active Directory 凭据,他们现在可以使用 Active Directory 身份验证访问所有服务,包括 vCenter Server。
此外,管理员可以在 vCenter Server 中授予其域管理员帐户管理员权限,而不是使用凭据仅具有 vSphere 所需访问权限的基于角色的访问权限。入侵同时拥有域管理员权限和 vSphere 管理员权限的帐户的攻击者拥有“通往王国的钥匙”。Active Directory 用户在 vSphere 中委派了高级权限,这为破坏其帐户的攻击者提供了便利。
将 vSphere 与 Active Directory 用户帐户本身链接起来并不一定是不好的做法。相反,这样做时缺乏遵循其他最佳实践。其中包括基于角色的访问、不在 vSphere 权限中使用域管理员用户帐户以及未能启用多重身份验证。
暗网上一个极其令人担忧的趋势是一个新的险恶实体——初始访问代理(IAB)。它是什么?Initial Access Broker 是一个新的犯罪实体,专门向勒索软件团伙和其他希望发起勒索软件攻击的黑客出售合法和有效的凭证。
初始访问代理将“腿部工作”从寻找受损凭证或渗透到网络中,并以艰难的方式做到这一点。相反,IAB 提供在暗网上销售的凭证。提供的凭据可能包括以下凭据:
IAB 将执行渗透网络或使用网络钓鱼活动来获取凭据的操作。然后,这些凭证将与报价一起在线发布,说明访问类型和用户的权限级别。IAB 运营商通常根据访问权限级别和公司收入来收取访问凭证的价格。
这些信息对于寻找勒索软件攻击的下一个目标的攻击者来说是必不可少的。此外,目标组织的规模和收入流将有助于确定勒索软件攻击成功后所需的赎金以及企业支付赎金的可能性。
IAB 提供攻击者执行最终目标(勒索软件攻击)所需的凭据。随着攻击的增加,勒索软件对当今的企业来说是一种越来越危险的瘟疫,它们可能带来的损害是前所未有的。
与 IAB 一样,暗网上还有另一项发展有助于促进攻击的增加。勒索软件即服务 (RaaS)已将针对犯罪分子的勒索软件商品化。过去,实施和操作成功的勒索软件攻击需要一定的技巧和能力,首先是开发恶意软件,然后进行攻击,最后收集赎金。
您可以想到勒索软件即服务 (RaaS),很像 Google Workspace 或 Microsoft 365。它是软件即服务,但在 RaaS 的情况下,它是恶意软件。不过,原理是一样的。使用 RaaS,购买 RaaS 服务的攻击者不必了解勒索软件的内部工作原理或所有技术细节。这些由运行 RaaS 服务的勒索软件组处理。相反,附属攻击者可以简单地使用经过验证的成熟勒索软件进行攻击。如果攻击成功,勒索软件组会收到一定比例的赎金。
暗网上的 IAB 和勒索软件即服务 (RaaS) 开发都导致了当今勒索软件攻击的激增和成功攻击的增加。VMware vSphere 真的容易受到勒索软件攻击吗?如何在 VMware vSphere 环境中进行勒索软件攻击?
勒索软件可以攻击 VMware vSphere 环境不再只是一种“理论”。毫无疑问,您可能已经开始在新闻、Reddit 和其他地方看到 vSphere 管理员已经开始看到攻击 VMware vSphere 环境的第一手勒索软件。
去年在 Reddit 上弹出的一个帖子收到了来自相关 vSphere 管理员的无数观点和评论,可在此处找到:
可以在此处阅读上述勒索软件线程的验尸报告:
如果您通读上述 ESXi 勒索软件帐户的事后分析,您会在攻击事后的第 3 步中发现:
在攻击中,根据攻击的执行方式,我们可以假设黑客拥有具有管理员级 vSphere 权限的管理员级域帐户。Sophos最近还详细介绍了针对 ESXi 服务器的此类攻击。在这次攻击的细节中,Sophos 指出:
虽然提到的攻击利用了对 ESXi 主机的直接访问,但 VMware vCenter Server 是一个完美的目标,因为通过 vCenter Server,如果 vCenter 受到攻击,所有 ESXi 主机都容易受到攻击。此外,它强调了在整个基础架构环境中保护用户帐户的重要性。回到 Sophos 的帖子,他们给出了以下安全建议:
“在其网络上运行 ESXi 或其他虚拟机管理程序的管理员应遵循安全最佳实践。这包括使用唯一的、难以暴力破解的密码,并尽可能强制使用多因素身份验证。”
多年来,vSphere 一直没有受到勒索软件组织的关注。然而,在过去一年左右的时间里,vSphere 环境似乎在勒索软件组织和一般攻击者的雷达上迅速上升。它通常代表一个简单的目标,密码实践不佳和其他因素在起作用。
首先,我们需要了解什么是双因素身份验证以及它为什么有助于保护用户帐户。双因素是多因素身份验证 (MFA)的一种。多因素身份验证 (MFA) 是指需要多个信息因素来进行身份验证的身份验证方案。例如,密码是用于验证用户身份的单一因素。
常见的密码因素一般包括三种:
密码是您知道的。指纹是你的东西。使用智能手机发送或生成的一次性密码是您所拥有的。
单一因素的问题是它只需要一条信息来建立和验证用户身份。在用户帐户上启用多因素身份验证会使帐户受损变得更加困难,因为它需要多个信息组件来建立身份。
双因素身份验证 (2FA) 是最流行的多因素身份验证形式,它通过结合两个因素有效地增强帐户安全性。双重身份验证需要您知道的东西(密码)和您拥有的东西(一次性密码)。使用双重身份验证时,除了正确的密码外,您还需要一次性密码才能成功进行身份验证。
最常见的双因素身份验证实施涉及使用智能手机提供通过短信接收或使用身份验证器应用程序生成的一次性密码。使用双因素身份验证的主要好处是,破坏用户帐户密码的攻击者没有完成成功身份验证所需的所有因素。如果没有成功进行身份验证,攻击者可以做的事情就会受到限制。
今天提供的任何详细说明如何加强网络安全的最佳实践指南都将包括在您的用户帐户中实施双因素身份验证。启用双因素身份验证后,成功进行勒索软件攻击的可能性会大大降低。虽然这不是为防范勒索软件而需要采取的唯一网络安全措施,但它是最重要的措施之一。
除了对组织的安全性产生积极影响外,合规性框架还需要多因素身份验证。示例包括合规性框架,例如 PCI DSS 3.2 和 NIST 800-53 第 4 版。因此,组织有很多理由全面实施多因素身份验证,包括 vCenter Server。
在 vSphere 7.0 之前,vCenter Server 包含一个内置的身份提供程序,VI 管理员已经知道并熟悉了多年(自 vSphere 6.0 起)。默认情况下,vCenter 使用“vsphere.local”域(可以更改)作为身份源。您还可以配置内置身份提供程序以连接到:
组织可以使用此配置配置登录到具有 Active Directory 帐户的 vCenter Server。在 vSphere 7 中,VMware 通过引入身份联合使实施多因素身份验证变得更加容易。身份联合引入了将 vCenter Server 连接到外部身份提供程序的功能,这允许将 vCenter Server 的身份验证过程与当今企业中使用的身份解决方案联合。
以下是vCenter Server 7 中Single Sign On > Configuration > Identity Provider屏幕的屏幕截图。
vCenter Server 7 身份提供程序配置
您可以单击更改身份提供者链接来更改或查看当前提供者。请注意在 vCenter Server 7 配置中配置的默认 Microsoft ADFS。
在 vSphere 7 vCenter Server 中查看和配置身份提供程序
这一新功能有助于将 vCenter Server 身份验证流程与当今企业中的身份联合解决方案(如 Active Directory 联合身份验证服务 (ADFS))集中在一起。更重要的是,随着围绕多因素身份验证的讨论,此功能开辟了多因素身份验证等功能,包括双因素身份验证方法。
下面来自 VMware 的信息图显示了 vCenter Server 中身份联合过程的工作流。
vSphere 7 中的身份联合工作流(由 VMware 提供)
目前,在撰写本文时本机支持的唯一身份提供者是 Active Directory 联合身份验证服务 (ADFS)。但是,正如官方博客文章中所述,VMware 无疑会扩展未来版本 vSphere 中原生支持的可用身份提供程序列表:
“vSphere 7 最初支持 ADFS,因为它代表了我们大部分客户拥有并且可以轻松使用的功能。随着我们向 vSphere 教授更多身份验证“语言”,将会有更多选项出现。
VMware 已根据标准协议构建了新的身份联合功能,这非常棒,因为这将允许更广泛的身份提供者。vSphere 7 身份联合功能使用行业标准协议,包括 OAUTH2 和 OIDC。但是,在 vSphere 中集成各种身份提供程序仍需要时间,因为即使采用开放标准,它们每个都使用不同的身份“架构”。
如上所述,vCenter Server 7 身份联合当前“包含”的选项是 Active Directory 联合身份验证服务 (ADFS)。此外,VMware 提到他们将 AFDS 作为第一个身份联合选项,因为这是他们的大多数企业客户目前正在使用的解决方案。
但是,可能不会在所有客户环境中部署 Active Directory 联合身份验证服务 (ADFS)。此外,将 Active Directory 联合身份验证服务 (ADFS) 配置为为您的 vCenter Server 启用 2FA 将涉及大量复杂性,仅在 vCenter 上启用 2FA。ADFS 配置附带额外的基础架构要求及其自身的配置、故障排除和生命周期维护。
虽然 ADFS 本身没有特定的许可,但 ADFS 服务器需要 Windows 许可,并且需要额外的基础架构资源来配置基础架构。如果 ADFS 已经到位,那么在 vCenter 中为 2FA 采用这条路线是一个很好的选择。这通常用于联合 Microsoft Office 365 和其他云服务的用户登录。
是否有可用于使用 vCenter Server 设置 2FA 的免费选项?您可以使用 vCenter Server 设置双因素身份验证,而无需使用 vSphere 7 中的新身份联合功能。 Duo Security 提供了他们解决方案的免费版本,允许创建一个简单的双因素应用程序,该应用程序可以通过vSphere 客户端。
提出了一个问题,即双因素身份验证和自动化流程。两者如何重合?这是一个很好的问题,在使用环境中运行的自动化流程实施两因素身份验证时需要考虑这一问题。
根据身份验证令牌的维护时间,双因素身份验证可能会对自动化流程造成挑战。每次流程运行时,自动化流程都可能需要重新验证。一些双因素身份验证解决方案,如 Duo、OKTA 等,允许管理员根据特定条件绕过双因素提示,如用户、应用程序、源网络等。
使用双因素提示的这些特殊豁免可以在整个环境中明智地用于自动化任务和这些运行的用户上下文。然而,这是一把双刃剑。打开或绕过双因素提示是双因素身份验证在环境中提供的盔甲中的漏洞。
然而,通常会有一个“最佳点”,包括豁免、绕过和其他可以实施的规则,这些规则仍然可以提供良好的平衡。考虑两因素和自动化的一些最佳实践包括:
企业中通过 vCenter Server 访问 vSphere 环境的另一种登录机制是 Sign Sign-On (SSO)。vSphere 是否支持使用单点登录 (SSO) 登录?是的,它确实。VMware vCenter Single Sign-On 通过允许 vSphere 组件使用安全令牌机制进行无缝通信来保护您的环境。这比要求用户分别对每个组件进行身份验证要安全得多。
如前所述,Single Sign-On 域是 vSphere 6.0 及更高版本中的“内置”身份源,在安装期间默认为 vsphere.local。您可以在“摘要”仪表板下查看登录到 VAMI(vCenter Server Appliance 管理界面)时配置的单点登录域。
在 VAMI 界面中查看 vCenter Server Single Sign-On 域
vCenter Single Sign-On 解决方案结合使用:
您还可以使用外部 SAML 服务提供程序将 SAML 服务提供程序添加到 vCenter Single Sign-On 解决方案,或使用 VMware 原生 SAML 解决方案,例如 vRealize Automation 解决方案中的解决方案。
让我们看看为 vCenter Server 配置 ADFS 连接的过程。在 ADFS 管理控制台中,创建一个新的Application Group。使用“访问 Web API 的服务器应用程序”模板。
在 ADFS 中创建新的应用程序组
在下面的屏幕中,您需要输入指向您的 vCenter Server的重定向 URI 。此外,复制客户端标识符以供以后使用。
添加 vSphere 重定向 URI
您从哪里获得重定向 URI?在身份提供者配置中,您可以单击更改身份提供者链接旁边的信息按钮并复制两者以在 ADFS 配置中使用。
从 vCenter Server 收集重定向 URI
在Configure Application Credentials屏幕上,单击Generate a shared secret旁边的复选框。
生成共享密钥
输入您从服务器应用程序屏幕复制的客户端标识符。
配置 WebAPI
在应用访问控制策略屏幕上,单击允许所有人并要求 MFA选项。这是为您的 vCenter Server 登录启用 MFA 的关键配置部分之一。
在 ADFS 中配置访问控制策略
确保选择了allatclaims和openid选项。
配置应用程序权限
查看在摘要屏幕上配置的选项,然后单击下一步。
创建新应用程序组的摘要
新的应用程序组创建成功。
在 ADFS 中成功创建应用程序组
现在,我们需要向应用程序添加一些声明规则。导航到我们刚刚创建的应用程序组的属性。
查看 ADFS 应用程序组的属性 查看 ADFS 应用程序组的属性
导航到颁发转换规则并选择添加规则。
我们添加的三个将来自模板Send LDAP Attributes as Claims。选择 Active Directory 作为属性存储。LDAP 属性和传出声明类型的第一组配置是:
为组创建新的声明规则
下一对包括:
为名称 ID 创建新的声明规则
最后,映射以下内容:
为 UPN 创建新的声明规则
您的 Web API 属性应如下所示。
vCenter 2FA 的新 ADFS Web API 属性
除了 open-id 配置 URL 之外,我们拥有填充 vCenter Server 身份提供程序配置所需的所有信息。要获取该 URL,请使用 cmdlet:
确保只选择以 https:// 开头的 URL,并且不要在输出中包含最后的“}”。
从 ADFS 服务器获取 openid 配置
现在,让我们回到身份提供者配置并选择 ADFS 服务器。我们现在可以填充所需的信息,包括:
现在,要使用 vSphere 7 中内置的 ADFS 功能在 VMware 中配置 vCenter 双重身份验证,我们只需指向我们在上面的 ADFS 配置中为 MFA 配置的 ADFS 配置组应用程序。在 vSphere Client 中导航到Administration > Single Sign On > Configuration > Identity Provider > Identity Sources > Change Identity Provider。
在身份提供者中更改身份提供者
选择 Microsoft ADFS 选项。
选择 Microsoft ADFS 选项
接下来,输入之前创建的新 ADFS 组应用程序中的相关 ADFS 信息。
使用 ADFS 信息填充 vCenter Server 身份提供程序
在“用户和组”屏幕上,使用有权搜索 Active Directory 的用户填充所需信息。
配置您的用户和组以搜索 Active Directory
单击完成以完成 Active Directory 联合身份验证服务的身份提供程序的配置。
查看并确认 ADFS 身份提供程序
为确保您的 ADFS 配置适合多因素,您可以在此处遵循 Microsoft 文档:
双重身份验证本身的管理将在 ADFS 层和/或 Azure MFA 处理。基本上,一旦身份提供程序配置到位,vCenter 将身份验证移交给 ADFS,指向 ADFS。在 vSphere 中配置和验证身份验证后,您可以使用“Windows 管理工具”下的官方 Active Directory 联合身份验证服务 (ADFS) 管理控制台管理 ADFS 实施:
Azure MFA 集成将使用您的 Azure 门户进行管理:
由于新的 vCenter Server 7.0 身份提供程序 2FA 解决方案的关键是 ADFS,vCenter Server 中的 2FA 故障排除将围绕 ADFS 故障排除进行。可在 Microsoft 官方文档站点上找到用于解决 ADFS 登录问题(包括 MFA)的良好资源:
您可能会遇到哪些常见的 ADFS 错误:
可以在此处找到有关 Azure 多重身份验证故障排除的特定文档:
为了保护您的 VMware 环境,Altaro 提供了终极的VMware 备份服务,以快速保护备份并复制您的虚拟机。我们一直在努力让我们的客户对他们的备份策略充满信心。
此外,您可以访问我们的VMware 博客,了解有关 VMware 的最新文章和新闻。
大量网络安全证据、研究和最佳实践文档表明,启用多因素身份验证是大幅降低遭受网络攻击的可能性的好方法。例如,勒索软件攻击通常始于被盗、泄露或泄露的凭据。结果,坏人可以轻松地进入网络,而无需使用其他方法来侵入网络。
多因素身份验证 (MFA) 是一种身份验证形式,要求用户使用多个信息“因素”来证明其身份。这些包括你知道的东西、你是的东西和你拥有的东西。双因素身份验证是两种信息因素的流行组合,通常是您知道的信息(密码)和您拥有的信息(接收或生成一次性密码的电话)。
勒索软件会影响 VMware vSphere 吗?不幸的是,是的,它可以。勒索软件组明确针对 vSphere 环境,使用恶意 Python 脚本在数据存储级别加密虚拟机。因此,许多安全公司看到企业中对 ESXi 的攻击数量惊人地增加。
在某种程度上,几乎所有对 vSphere 的勒索软件攻击都是从凭据受损开始的。许多环境中糟糕的网络安全卫生、vSphere 中缺乏基于角色的权限以及添加到 vSphere 管理员权限中的域管理员凭据导致容易成为 vSphere 目标。
vSphere 管理员增强其 vSphere 环境安全性的一个好方法是在环境中实施安全最佳实践。它包括保护 vSphere 管理网络、关闭 SSH 访问、在 ESXi 中使用锁定模式以及实施双因素身份验证。
VMware vSphere 7 允许 VI 管理员添加外部身份源来处理身份验证请求。这一新功能使得将 vSphere 环境连接到已经可以执行 MFA 的现有身份验证提供程序成为可能。如本文的演练所示,VI 管理员现在可以与现有的身份验证提供程序集成,例如 Active Directory 联合身份验证服务 (ADFS)。VMware 计划在未来添加额外的身份提供者,以便为外部身份提供者提供更多选项。
但是,如果没有新功能,客户可以向 vSphere 添加双重身份验证,而无需外部身份提供程序配置,这为使用免费工具在 vCenter Server 中提供 2FA 提供了机会。
| 留言与评论(共有 0 条评论) “” |
