Виртуализация *

Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять процессорные мощности. Дальнейшее расследование показало, что хакеры получили доступ к платформе виртуализации через скомпрометированный каталог Active Directory и установили на серверы майнеры.

Эти истории сподвигли меня на то, чтобы разобрать проблему безопасности виртуальных сред с помощью методики ХардкорИТ. Конечно, время вспять мы не повернем, но помочь героям наших кейсов и другим компаниям избежать подобных атак в будущем — вполне. Подробности под катом!

В последнее время государство усилило требования к информационной безопасности. Это коснулось государственных информационных систем, критической инфраструктуры и систем обработки персональных данных. Теперь компаниям приходится выбирать между двумя вариантами защиты виртуальной инфраструктуры: использовать платформы с уже встроенной защитой или добавлять средства безопасности к обычным решениям. У обоих подходов есть свои плюсы и минусы. Особенно важно учитывать, что защищенные версии платформ обычно появляются на один-два года позже обычных. Это создает дополнительные трудности при внедрении таких решений. 

Меня зовут Александр Еремин, и я руководитель практики серверной виртуализации К2Тех. В этой статье вместе с моим коллегой Аскаром Добряковым из К2 Кибербезопасность я расскажу о восьми российских платформах виртуализации с сертификатом ФСТЭК. Вы узнаете об особенностях каждой платформы, их сильных сторонах и ограничениях. Также разберем, какие решения подойдут для разных организаций и задач. Статья будет полезна техническим специалистам и руководителям, которые планируют внедрять защищенную виртуализацию. 

Представленный ниже текст — это попытка систематизировать подход к ПО серверной виртуализации как в целом, так и в части отечественных продуктов. Я как сотрудник «ЛАНИТ‑Интеграции» постарался подойти к вопросу не с точки зрения количественных и качественных показателей (как когда‑то сравнивали циферки максимумов VMware vSphere и Microsoft Hyper‑V), а со стороны потребностей заказчика. Наверняка многие вопросы, которые будут здесь затронуты, вам знакомы. Может, вы уже давно продвинулись дальше в своих изысканиях. Что ж, в таком случае это лишний повод для вас поделиться своими мыслями с сообществом.

Всем привет. Данная статья не более чем эксперимент. Тем более, что сейчас есть тренд на запуск баз данных в контейнерах т.к. это действительно производительнее и нет лишнего оверхеда в сравнении использования технологий, которые используют виртуализацию. Во многих статьях есть поле манипуляций — это выводы на основе одного бенчмарка или когда надо доказать и обосновать, что принятое решение самое лучшее. В рамках статьи будет проверка работы clickhouse запускаемый в qemu‑kvm, firecracker, containerd.

Атаки на виртуальную инфраструктуру VMware ESXi в последнее время стали заметно набирать обороты. Сценарий, когда злоумышленник получает доступ к гипервизору, а затем останавливает все виртуальные машины и шифрует их диски, выглядит пугающе реалистично, особенно если компания не подготовлена к таким угрозам. Речь не только о редких случаяx, когда проникают особо изощрённые APT-группы. Всё чаще встречаются относительно простые, но крайне эффективные шифровальщики, которые атакуют хост ESXi, оставляя администраторов и владельцев инфраструктуры с зашифрованными файлами и практически без каких-либо зацепок для быстрого восстановления.

Именно с такой ситуацией я столкнулся в своей деятельности - крупная коммерческая организация скомпрометирована сначала через фишинг и получение доступа во внутреннюю инфраструктуру с использованием VMware Horizon. Следом за этим, используя уязвимость программного обеспечения, VMware злоумышленником получен доступ к ESXI и загружены вредоносные сценарии.

Мое внимание привлек тот факт, что ни одно средство защиты информации не воспринимало эти файлы как вредоносные.

В прошлых постах мы разобрали виртуализацию и гиперконвергенцию — два кита, на которых держится современная IT-инфраструктура. Сегодня поговорим об их младшем, но не менее важном брате — эмуляции, без которой многие вещи в современном IT были бы просто невозможны, а некоторые технологии, которые мы воспринимаем как должное, так и остались бы красивыми идеями на бумаге.

В новой версии мы расширили возможности защиты платформ виртуализации: поддержали OpenNebula и отечественную платформу на ее основе — ПК СВ «Брест», а также актуализировали агенты для многих других систем виртуализации. Расширили возможности защиты Почты VK WorkSpace. В консоли управления добавили новый раздел Журнал аудита и полностью переработали подраздел управления лицензиями. Кроме того, обеспечили интеграцию с системами SIEM и внедрили ряд других улучшений.

Секрет Полишинеля, что общая производительность нарезанного на виртуальные хосты сервера снижается. Проблема возникает, если эти потери становятся настолько значительны, что тормозят работу программ. Делюсь опытом, как нам удалось решить эту задачу. В нашем случае, серверы были настроены для работы с 1С.

Привет, Хабр! Меня зовут Матвей Мочалов, я — компьютерный инженер и один из авторов корпоративного блога cdnnow. Ранее мы с вами разбирались в нюансах виртуализации и её подводных камнях на разных платформах. Сегодня поговорим про следующий этап эволюции — гиперконвергенцию, которая вроде как должна упростить нам жизнь. Но, как водится в мире IT, не всё так однозначно.

Виртуальные сети, VLAN-ы, трафик север-юг/запад-восток, оверлей, L2 поверх L3 — и кто только придумал всю эту конструкцию? Думаю, такие мысли знакомы многим админам и инженерам. 

Всё становится проще с SDN (Software-Defined Networking). Меня зовут Михаил Фучко, я архитектор SDN в команде zVirt. В этом посте я расскажу, зачем и как мы в Orion soft разрабатывали и интегрировали SDN в нашу систему виртуализации.

Обсудим:

- Какие требования есть у компаний к SDN в продукте;

- Почему выбрали OVN/OVS;

- С какими проблемами столкнулись при интеграции с oVirt и какие решения нашли, чтобы их устранить.

Статья будет полезна разработчикам встраиваемых систем, которые хотят автоматизировать процесс тестирования своих проектов. Отдельный блок посвещен отладке gdb в эмуляторе QEMU. В качестве примера используется библиотека логирования (GitHub, Habr)

QEMU позволяет эмулировать работу не только одной отдельной машины, но и связывать несколько независимых машин между собой. Для организации такой связи их обычно объединяют в одну сеть, например с использованием virio-net-pci. Но виртуальный ethernet — не единственный способ, связь может быть и более близкой и плотной: общая память и mailbox, линии gpio и даже NTB.

Быстрая работа связанных QEMU машин приятна при разработке/отладке и очень важна при массовом прогоне автотестов в CI: нужна как высокая пропускная способность, так и низкая задержка передачи сообщения. Для одной из задач с коллегами из отдела системного программирования YADRO я оптимизировал часть такой связки, а именно — обмен прерываниями. В статье расскажу о дизайне нескольких подходов организации IQI, разберу внутреннее устройство QEMU и поделюсь, как оправдались наши ожидания. 

Привет, Хабр! В прошлых постах мы разобрали особенности Docker на разных системах и его не менее интересного собрата Podman от Red Hat. Сегодня поговорим о ещё одном творении той же компании — OpenShift, который позиционируется, как "корпоративная" версия Kubernetes. Но так ли всё радужно, как рассказывают на презентациях?

Каждый, кто имеет дело с более-менее крупной IT-инфраструктурой, знает, что в мире сетей есть две прямо противоположных реальности. В одной — виртуализация с эффективным дроблением ресурсов, но потерей скоростей, в другой — Bare Metal с высокой скоростью и мощностью, но слабой гибкостью в вопросах выделения ресурсов. И если вы уже задались вопросом: «А можно без крайностей?», я инженер R&D-команды Cloud.ru Вадим Михеев, расскажу, как нам удалось достичь скоростей передачи пакетов в SDN на уровне Bare Metal на примере облака OpenStack. А еще посмотрим, какой прирост к скорости передачи пакетов дает технология ASAP².

Статья будет полезна всем обладателям железок NVIDIA Mellanox ConnectX-5/6/7, использующим виртуализацию, ну а остальные смогут посмотреть, какие способы ускорить сеть для своих клиентов мы тестируем и, возможно, вдохновиться.

Боты стали незаменимыми помощниками уже почти для любого бизнеса. Чат‑боты автоматизируют обработку запросов, улучшая пользовательский опыт и снижая нагрузку на сотрудников. Боты для Telegram‑каналов и других мессенджеров помогают распространять нужную информацию, управлять группами и решать целый ряд других задач.

Выбор хостинга для бота и запуск его на сервере — задачи с которыми ежедневно сталкивается множество пользователей. В этой статье мы расскажем о вариантах хостинга ботов и разберем по шагам на конкретном примере как запустить Telegram бота на платформе Dockhost.

Привет! Я Сергей, ведущий специалист поддержки в Т-Банке. За шесть лет прошел путь от обслуживания клиентов до поддержки и развития продуктов управления совместной работой.

Как-то ко мне обратился руководитель и попросил систематизировать процессы в поддержке пользователей, сделать их прозрачными и измеримыми и чтобы наши пользователи чувствовали заботу, получая ответы как можно скорее.

За время работы часто приходилось сталкиваться с разными ситуациями, и все эти знания пригодились при организации поддержки в Unidraw, о которой расскажу в этой статье. Метод, который мне помог, универсальный, и его можно автоматизировать на разных этапах. 

Проксмокс, он же прокс, он же Proxmox VE, или Proxmox Virtual Environment - в очередной раз обновился. Платформа виртуализации, плавно, в отличии от конкурентов развивающаяся уже 16 с половиной лет (!), вышла, в этот раз, с небольшим, но интересным списком обновлений.

С развитием контейнеризации возникла потребность в удобных решениях для хостинга. Это привело к появлению различных платформ, адаптированных к контейнерной архитектуре. Эти платформы помогают ИТ-специалистам сосредоточиться на развитии софта, переложив заботы об администрировании на облачную инфраструктуру.

В этой статье мы расскажем о PaaS и CaaS сервисах для работы с контейнерами и сделаем небольшой обзор российских платформ для хостинга приложений на основе Docker.

Продолжаем рассказывать про то, как быстро и просто начать использовать нашу систему резервного копирования Кибер Бэкап.

В первой части мы обсудили, как развернуть Кибер Бэкап на ОС Linux и создать план резервного копирования. Сегодня поговорим о защите платформ виртуализации.

Привет, Хабр! Меня зовут Матвей Мочалов, я — компьютерный инженер и один из авторов корпоративного блога cdnnow! Как-то мы уже обсуждали особенности Docker на разных системах, а сегодня я хочу копнуть глубже — поговорить о том, как наша индустрия поймала саму себя в ловушку Джокера и умудрилась запутать всех, выдавая контейнеризацию за виртуализацию.

Продолжим об этом ниже в посте.