آموزش مفاهیم شبکه های کامپیوتری

با  منتشر شدن vSphere 6.7 به عموم مردم، طبیعی است که بحث های زیادی در اطراف ارتقا به آن وجود دارد. چگونه می توانیم ارتقا دهیم یا حتی چرا باید ارتقاء دهیم از سوالات پرطرفدار اخیرا بوده است. در این پست من این سؤالات و همچنین ملاحظاتی را که باید قبل از ارتقاء vSphere بررسی شود را پوشش خواهم داد. این ارتقاء دادن یک کار ترسناک یا غم انگیز نیست .

 

چرا ؟

خب بیاید با چرا شروع کنیم . چرا باید به vSphere 6.7 ارتقاء دهیم ؟ با VMware vSphere 6.7 سرمایه گذاری خود را در VMware تقویت می کنید. از آنجا که vSphere در قلب SDDC VMware قرار دارد ، ارائه و بنیاد ساختار اساسی برای استراتژی cloud  شما ارائه میکند ، ارتقاء دادن باید اولویت اصلی ذهن شما باشد اما تنها پس از دقت و توجه به ویژگی ها و مزایا و اینکه چگونه آنها را به نیازهای کسب و کار بر گردانید. شاید تیم های امنیتی برای یکپارچگی دقیق تر برای هر دو سیستم Hypervisor و سیستم عامل مهمان درخواست کرده باشد بنابراین استفاده از vSphere 6.7 و پشتیبانی از Trusted Platform Module (TPM) 2.0 یا Virtual TPM 2.0 اکنون مورد نیاز است. اگر امنیت نباشد ، شاید انعطاف پذیری برنامه ای در vSphere 6.7 که آن پیشرفت های تکنولوژی NVIDIA GRID ™ vGPU ، اجازه می دهد تا مشتریان قبل از vMotion آنرا را متوقف کند و از VM های فعال شده با vGPU خلاص شوند. صرف نظر از خود ویژگی ها، مهم این است که اطمینان حاصل شود ویژگی های مورد نیاز به طور مناسب به شرایط کسب و کار برمی گردند.

چرا

یکی دیگر از دلایل اینکه چرا باید ارتقاء پیدا کنیم به علت پایان پشتیبانی محصول یا کار آن است. اگر قبلا شنیده باشید، VMware vSphere 5.5 به سرعت به پایان عمر خود نزدیک می شود. تاریخ دقیق پایان کلی پشتیبانی برای vSphere 5.5  در روز 19 سپتامبر 2018 است. با در نظر داشتن این موضوع، ارتقاء باید در خط مقدم طرح های شما باشد. اما خبر خوب در مورد پایان سافتن vSphere 5.5 ، این است که VMware پشتیبانی عمومی از vSphere 6.5 را تا پنج سال کامل از تاریخ انتشار آن تا تاریخ 15 نوامبر 2021 گسترش داده است. اگر شما از من بپرسید این نکته بسیار شگفت انگیزی است. نقطه عطف بعدی درک چگونگی به ارتقاء به vSphere 6.5 /6.7 است که مشتریان را قادر می سازد تا مزایای یک راه حل نرم افزاری SDDC که کارآمد و امن است را داشته باشند .

 

چگونه

خب اجازه دهید در مورد چگونگی صحبت کنیم. چگونه ارتقا دهیم؟ برای شروع ، VMware انواع بسیاری از مستندات را برای کمک به نصب یا ارتقاء VMware vSphere با استفاده از VMware Docs فراهم می کند. سایت VMware Docs به رابط بسیار ساده تر که شامل قابلیت جستجو بهتر در نسخه ها و همچنین یک گزینه برای ذخیره اسناد در MyLibrary برای دسترسی سریع برای بعد به روز شده است . vSphere Central یک مخزن غظیم از منابع vSphere است از جمله وبلاگ ها، KB ها، فیلم ها، و walkthroughs ها که برای کمک به مشتریان است تا به سرعت اطلاعات مورد نیاز خود را پیدا کنند. بعدا، هر گونه راه حل VMware که با محیط شما مرتبط  باشد را بررسی کنید ، مانند مدیریت بازیابی سایت SRM)، Horizon View Composer) ، یا VMware NSX . قبل از شروع ، همچنین تعیین کنید که آیا تنظیم فعلی شما از معماری جاسازی شده یا خارجی برای SSO / PSC استفاده می کند، به این دلیل که ممکن است مسیر ارتقا شما را تحت تاثیر قرار دهد.

یک عامل کلیدی در کمک به اینکه چگونه به ارتقاء محیط vSphere بپردازد، بررسی در محدوده سازگاری های نسخه میباشد . همه نسخه های vSphere قادر به ارتقا به vSphere 6.7 نیستند. به عنوان مثال، vSphere 5.5 یک مسیر ارتقاء مستقیم را به vSphere 6.7 ندارد. اگر شما در حال حاضر vSphere 5.5 را اجرا می کنید، قبل از ارتقا به vSphere 6.7 ابتدا باید به vSphere 6.0 یا vSphere 6.5 ارتقا دهید. بنابراین قبل از اینکه شما به نصب جدیدترین نسخه vSphere 6.7 ISO خود بپردازید ، یکبار مسیر خود را اینجا انجام دهید و هر محیطی را که ممکن است در نسخه پایین تر از vSphere 6.0 اجرا کنید در نظر داشته باشید. قبل از شروع ارتقاء vSphere 6.7 ، این محیط قدیمی را به یک نسخه سازگار vSphere ارتقا دهید. پس از بحث درباره چگونگی ارتقاء، ما باید به طور طبیعی در مورد برنامه ریزی ارتقاء صحبت کنیم.

یادآوری:روش های پشتیبانی شده برای ارتقاء میزبان های vSphere شما عبارتند از: با استفاده از ESXi Installer، دستور ESXCLI از داخل (ESXi Shell، vSphere Update Manager (VUM و Auto Deploy.

برنامه ریزی

راز ارتقاء موفق با شروع برنامه ریزی شده است. ما درباره نحوه شروع آماده سازی برای ارتقاء vSphere با درک چگونگی و چرایی آن بحث کرده ایم. گام های منطقی بعدی شروع برنامه ریزی است. این جایی است که شما خود را در حال بررسی یافته ها در محیط خود و همچنین جمع آوری فایل های نصب و راه اندازی آنها برای ارتقاء. آماده میکنید .   بسیار مهم است  که ترتیب و مراحل سایر محصولات VMware را مشخص کنید بنابراین شما کاملا درک می کنید که باید قبل یا بعد از vCenter Server و ESXi باید چه کنید.   ارتقاء برخی محصولات غیرمجاز ممکن است نتایج بدی داشته باشد که می تواند یک مشکل را در برنامه ارتقاء شما قرار دهد. برای مشاهده جزئیات بیشتر با بررسی vSphere 6.7 Update Sequence KB Article شروع کنید. در طول برنامه ریزی مشتریان باید تمام محصولات ، نسخه ها و واحدهای تجاری را در نظر بگیرند که ممکن است در طول و یا بعد از ارتقاء تحت تاثیر قرارگیرند. برنامه ریزی باید شامل تست آزمایشگاهی ارتقا باشد تا اطمینان حاصل شود که روند و نتایج را درک کنید. انجام یک بررسی سلامتی vSphere ممکن است بهترین پیشنهادی باشد که میتوانم بدهم . ارزیابی vSphere می تواند به کشف منابع هدر رفته، مشکلات محیطی و حتی مواردی ساده مانند تنظیم نادرست NTP یا DNS کمک کند. در نهایت تمام اطلاعات محاسباتی ، ذخیره سازی  ، شبکه ایی و بک آپ های vendors را برای سازگاری با vSphere 6.7 جمع آوری کنید. هیچ چیز بدتر از آن نیست که بعد از ارتقاء محیط خود متوجه شوید که یک rd party vendor3 نسخه سازگار با vSphere را ارائه نکرده باشد.

ملاحظات ارتقاء

برای کمک بیشتر به مشتریان در ارتقاء vSphere ، من مجموعه کاملی از ملاحظات ارتقا را برای کمک به شما در شروع برنامه ارتقاء به vSphere 6.7. جمع آوری کرده ام.

ملاحظات vSphere

از آنجا که vSphere پایه ای برای SDDC است، بسیار مهم است که قابلیت همکاری آن را با نسخه های فعلی نصب شده در پایگاه داده های شما بررسی شود .

• An Upgrade from vSphere 5.5 to vSphere 6.7 GA directly is currently not supported
• vSphere 6.0 will be the minimum version that can be upgraded to vSphere 6.7
• vSphere 6.7 is the final release that requires customers to specify SSO sites.
• In vSphere 6.7, only TLS 1.2 is enabled by default. TLS 1.0 and TLS 1.1 are disabled by default.
• Due to the changes done in VMFS6 metadata structures to make it 4K aligned, you cannot upgrade a VMFS5 datastore inline or offline to VMFS6, this stands true for vSphere 6.5 & vSphere 6.7. (See KB2147824)

ملاحظات سرور vCenter

(vCenter Server Appliance (VCSA  در حال حاضر به طور پیش فرض برای سرور vCenter استفاده می شود. vCenter Servers topology deployment   باید در مرکز برنامه ریزی ارتقاء vSphere شما باشد. چه از یک (external Platform Services Controller (PSC  یا embedded  استفاده کنید ، به یاد داشته باشید که توپولوژی را نمی توان در vSphere 6.0 یا 6.5 تغییر داد. اگر از vSphere 5.5 ارتقا می دهید ، تغییرات توپولوژی و ادغام SSO Domain Consolidation پشتیبانی می شود ، اما قبل از ارتقا به vSphere 6.x باید انجام شود.

• The vSphere 6.7 release is the final release of vCenter Server for Windows. After this release, vCenter Server for Windows will not be available
• vCenter Server 6.7 does not support host profiles with version less than 6.0 (See KB52932)
• vCenter Server 6.7 supports Enhanced Linked Mode with an Embedded PSC (Greenfield deployments only)
• If vCenter High Availability (VCHA) is in use within your vSphere 6.5 deployment, you must remove the VCHA configuration before attempting an upgrade.

 

معیارهای سازگاری محصولات VMware

گاهی اوقات با انتشار نرم افزارهای جدید، دیگر محصولاتی که بر پایه اجزای ارتقا یافته قرار دارند، ممکن است در روز از اول محصولات GA کاملا پشتیبانی نشوند یا سازگار نباشند. راهنمای سازگاری VMware باید یکی از اولین توقف های شما در طول  مسیر ارتقاء vSphere باشد. با استفاده از این راهنما ها مطمئن میشوید که اجزای شما و همچنین مسیر ارتقاء مورد نظر شما ، پشتیبانی می شود.

با این محصولات زیر در حال حاضر سازگار با vSphere 6.7 GA نیستند.

• VMware Horizon
• VMware NSX
• VMware Integrated OpenStack (VIO)
• VMware vSphere Integrated Containers (VIC)

ملاحظات سخت افزاری

ارتقاء vSphere نیز می تواند توسط سخت افزار ناسازگار متوقف شود . با توجه به این موضوع، قبل از ارتقاء ، بایستی BIOS سخت افزار و سازگاری پردازنده را بررسی و مشاهده کنید. برای مشاهده لیست کامل CPU های پشتیبانی نشده، مقالهvSphere 6.7 GA Release Notes  منتشر شده در بخشی تحت عنوان “Upgrades and Installations Disallowed for Unsupported CPUs“ را مرور کنید.

• vSphere 6.7 no longer supports certain CPUs from AMD & Intel
• These CPUs are currently supported in the vSphere 6.7 release, but they may not be supported in future vSphere releases;
  • Intel Xeon E3-1200 (SNB-DT)
  • Intel Xeon E7-2800/4800/8800 (WSM-EX)
• Virtual machines that are compatible with ESX 3.x and later (hardware version 4) are supported with ESXi 6.7
• Virtual machines that are compatible with ESX 2.x and later (hardware version 3) are not supported

سازگاری سخت افزار و نسخه hypervisor و سطح ماشین مجازی باید به عنوان بخشی از برنامه ریزی شما نیز در نظر گرفته شود. به یاد داشته باشید نسخه سخت افزاری VM اکنون به عنوان سازگاری VM شناخته می شود. توجه: ممکن است لازم باشد سازگاری ماشین مجازی را قبل از استفاده از آن در vSphere 6.7 ارتقا دهید.

 

جمع بندی

جهت یاد آوری باید خاطر نشان کنیم که بخش چرا و چگونه را با تمرکز و دقت بالا مطالعه کنید. بدون داشتن تمرکز بر اینکه چه چیزی ارتقاء را در شرایط رضایت بخش به ارمغان می آورد یا درک تمام مزایای یکپارچه، در حقیقت آنها به راحتی می توانند از بین بروند. برنامه ریزی بخش بسیار مهم در مسیر ارتقاء است و بدون برنامه ریزی ممگن است در سازگاری ورژن ها به مشکل بر بخورید. اجرا ؛ بدون داشتن تمرکز و درک ویژگی ها یا روش ها و همچنین برنامه ریزی پیاده سازی ارتقاء vSphere ، شما قادر نخواهید بود که با موفقیت این کار را انجام دهید.

پس به یاد داشته باشید : تمرکز، برنامه ریزی، اجرا !

منبع : Faradsys.com

آشنایی با IPv6

آدرس IP شناسه ای یکتا برای مشخص شدن یک device در یک شبکه می­ باشد. یکتا بودن آدرس IP بدین معناست که آدرس IP یک device داخل شبکه­ ای که در آن قرار دارد فقط به آن سیستم اختصاص دارد . تا زمانی که یک device آدرس IP نداشته باشد نمی ­تواند با device های دیگر ارتباط برقرار کند .

 

آدرس­ های IP به دو دسته تقسیم می­ شوند . دسته­ ی اول IPv4 می­ باشد که اکثر ما با آن برخورد داشته ایم و تا حدودی با آن آشنا هستیم. آدرس­  IP  ورژن 4  یک آدرس 32 بیتی است که به صورت 4 عدد در مبنای ده که با نقطه از هم جدا شده اند، نمایش داده می­ شود (مانند : 192.168.1.1 ). این ورژن از IP به تعداد 2 به توان 32 آدرس را ارائه می­ کند. در حال حاضر بیش از 90 درصد آدرس­ ها در جهان  ، IPv4 می­ باشد.

از آنجایی که استفاده از پروتکل TCP/IP در سال­ های اخیر بیش از حد انتظار بوده، در آدرس دهی IPv4 ، محدود هستیم و آدرس­ های IPv4 رو به اتمام است. این یکی از دلایلی است که TCP/IP یک ورژن جدید از آدرس­ های  IP را طراحی کرد که با نام IPv6 شناخته می­ شود.

بعضی از مزیت­ هایی که IPv6  دارد :

• هزینه­ ی کمتر پردازشی : packet های IPv6 باز طراحی شده­ اند تا header های ساده ­تری را تولید و استفاده کنند که این موضوع فرایند پردازش packet ها توسط سیستم­ های فرستنده و گیرنده را بهبود می­ دهد.
• آدرس­ های IP بیشتر : IPv6 از ساختار آدرس دهی 128 بیتی استفاده می ­کند در حالی که IPv4 از ساختار آدرس دهی 32 بیتی استفاده می کند . این تعداد آدرس IP این اطمینان را می­ دهد که حتی بیشتر از آدرس­ های مورد نیاز در سال های آینده ، آدرس موجود است.
• Multicasting : در IPv6 از Multicasting به عنوان روش اصلی برقرار کردن ارتباط استفاده می شود. IPv6 بر خلاف IPv4 روش broadcast را ارائه نمی­ دهد. روش broadcast از پهنای باند شبکه به صورت غیر بهینه و نامناسب استفاده می­ کند.
• IPSec: پروتکل Internet Protocol Security)IPSec) در درون IPv4 وجود نداشت اما IPv4 از آن پشتیبانی می­ کرد در حالی که IPv6 این پروتکل را به صورت built in در درون خود دارد و می ­تواند تمامی ارتباطات را رمز گذاری (encrypt) کند.

 

آدرس دهی در IPv6

در IPv6 تغییرات عمده ­ای نسبت به IPv4 وجود دارد. IPv4 از ساختار آدرس دهی 32 بیتی استفاده می­ کند در حالی که IPv6 از ساختار آدرس دهی 128 بیتی استفاده می کند. این تغییر می تواند 2 به توان 128 آدرس یکتا را ارائه دهد . این میزان آدرس IP، پیشرفت بسیار زیادی را نسبت به تعداد آدرس IP که IPv4 ارائه می کند(2 به توان 32) دارد.

 

آدرس IPv6 دیگر از 4 بخش 8 بیتی استفاده نمی کند. آدرس  IPv6 به 8 قسمت 16 بیتی که هر قسمت ارقامی در مبنای 16 هستند و با (:) از هم جدا می شوند تقسیم می­شود. مانند:

65b3:b834:45a3:0000:0000:762e:0270:5224

در مورد آدرس ­های IPv6  یک سری نکته­ هایی وجود دارد که باید آنها را بدانید:

• این آدرس ها نسبت به بزگی حروف حساس نیستند
• صفر های سمت چپ هر بخش را میتوان حذف کرد
• بخش هایی که پشت سر هم صفر هستند را میتوان به صورت (::) خلاصه نویسی کرد (روی هر آدرس فقط یک بار می توان این کار را کرد)

مثال: آدرس loopback در IPv6 به صورت زیر است :

0000:0000:0000:0000:0000:0000:0000:0001

از آنجایی که می توان صفرهای سمت چپ هر بخش را حذف کرد آدرس را بازنویسی می کنیم :

0:0:0:0:0:0:0:1

بعد از حذف کردن صفرهای سمت چپ ، می توانیم صفرهای پشت سر هم را نیز خلاصه نویسی کنیم :

1::

همانطور که اشاره کردیم ، فقط یک بار می توانیم صفرهای پشت سر هم را خلاصه نویسی کنیم ، علت این موضوع این است که اگر چند بار این خلاصه نویسی را روی بخش های مختلف آدرس انجام دهیم ، آدرس اصلی بعد از خلاصه نویسی مشخص نخواهد بود . به مثال زیر توجه کنید:

0000:0000:45a3:0000:0000:0000:0270:5224

در این مثال دو سری صفر های پشت سر هم وجود دارد . اگر هر دو را خلاصه نویسی کنیم به صورت زیر می شود :

45a3::270:5224::

در این حالت مشخص نیست که هر سری چه تعداد صفر پشت سر هم داشته ایم ، پس بهتر است که آن سری که تعداد صفر های بیشتری پشت سر هم دارد را خلاصه نویسی کنید.

0:0:45a3::270:5224

 

ساختار آدرس دهی در IPv6 به کلی تغییر کرده است ، به طوری که 3 نوع آدرس وجود دارد :

• Unicast: آدرس Unicast برای ارتباطات یک به یک استفاده می شود.
• Multicast: آدرس Multicast برای ارسال data به سیستم های مختلف در یک لحظه استفاده می شود. آدرس های Multicast با پیشوند FF01 شروع می شوند. برای مثال FF01::1 برای ارسال اطلاعات به تمام node ها در شبکه استفاده می شود ، در حالی که FF01::2 برای ارسال اطلاعات به تمام روترهای داخل شبکه استفاده می شود.
• Anycast: آدرس Anycast برای گروهی از سیستم ها که سرویسی را ارائه می کنند استفاده می شود.

توجه کنید که آدرس broadcast در IPv6  وجود ندارد.

آدرس های Unicast خود به سه دسته تقسیم می شود :

• Global unicast: آدرس های Global unicast ، آدرس های public در IPv6 می­باشد و قابلیت مسیریابی در اینترنت دارد. این آدرس ها معادل آدرس های public در IPv4 می باشد.
• Site-local unicast: آدرس های Site-local unicast ، آدرس های private هستند و مشابه آدرس های private در IPv4 می باشند و فقط برای ارتباطات داخل شبکه ای استفاده می شوند. این آدرس ها همیشه با پیشوند FEC0 شروع می شوند.
• Link-local unicast: آدرس های Link-local unicast مشابه APIPA در IPv4 هستند و فقط می توانند برای ارتباط با سیستمی که به آن متصل هستند ، استفاده شوند. این آدرس ها با پیشوند FE80 شروع می شود.

 

نکته دیگری که باید به آن اشاره کنیم ، IPv6 ازClassless Inter-Domain Routing (CIDR) که در سال های اخیر متداول شده اند( برای تغییر بخش net ID روی IPv4 )،استفاده می کند.برای مثال آدرس 2001:0db8:a385::1/48 بدین معناست که 48 بیت اول آدرس تشکیل دهنده ی net ID است.

IPv6 به 3 بخش تقسیم می شود:

• Network ID: معمولا 48 بیت اول آدرس تشکیل دهنده ی net ID آن می باشد. در آدرس های global address ، net ID توسط ISP به سازمان شما اختصاص داده می شود.
• Subnet ID: این بخش از 16 بیت تشکیل شده و با استفاده از آنها می توانید شبکه ی IPv6 خود را به subnet های مختلف تقسیم کنید. برای مثال شبکه ای با net ID 2001:ab34:cd56 /48 می تواند به دو زیرشبکه 2001:ab34:cd56:0001/64 و 2001:ab34:cd56:0002/64 تقسیم شود.
• (Unique Identifier(EUI-64: نیمه ی دوم آدرس (64 بیت آخر) را unique identifier می نامند، این بخش مشابه host ID در IPv4 است (یک سیستم را در شبکه مشخص می کند). این بخش تشکیل می شود از مک آدرس آن سیستم (48 بیت)که به دو قسمت تقسیم شده و عبارت FFFE که میان آن دو قسمت قرار می گیرد.

 

 

Auto configuration

یکی از مزیت های IPv6 قابلیت auto configuration است ، که در آن سیستم یک آدرس IPv6 برای خود انتخاب می کند ، سپس با ارسال پیام neighbor solicitation به آن آدرس بررسی میکند که این آدرس در شبکه برای سیستم دیگری استفاده نشده باشد. اگر این آدرس توسط سیستم دیگری استفاده شده باشد ،  به پیام جواب می دهد و سیستمی که قصد انتخاب آدرس را داشت متوجه می شود که از آن آدرس نمی تواند استفاده کند. قابل ذکر است احتمال اینکه یک آدرس به دو سیستم اختصاص داده شود خیلی کم است چون مک آدرس سیستم ها در آدرس دهی auto configuration استفاده می شود (مک آدرس یک آدرس یکتا است).

 

با توجه به تکنولوژی های پیش روی دنیای اطلاعات به  ویژه IOT یا اینترنت اشیاء که  به واسطه آن میتوان تعداد زیادی از اشیاء که در طول روز با آن ها سر و کار داریم (مانند سیستم های گرمایشی و سرمایشی، لوازم خانگی، ملزومات اداری و ...)، که به صورت هوشمند کنترل می شوند را با یکدیگر در بستر اینترنت ارتباط خواهند داشت. این امر بدین معناست که به میلیاردها آدرس IP نیاز خواهیم داشت و ملزم به استفاده از IPv6 می باشیم .

منبع : Faradsys.com

در این مقاله میخواهیم درباره آخرین نسخه از Vsphere نسخه 6.7 صحبت کنیم.

6.7 Vsphere توانایی های کلیدی را ارائه میکند که واحدهای فناوری اطلاعات را قادر می سازد تا به روند قابل توجه خواسته های جدید در عرصه فناوری اطلاعات در زیرساخت سازمان خود توجه کنند.

 

• رشد انفجاری در تعدد و انواع برنامه های کاربردی ، از برنامه های مهم کسب و کار تا بارهای کاری هوشمند
• رشد سریع محیط های ابری هیبرید و موارد استفاده آنها
• رشد و گسترش مراکز داده مستقر در سرار جهان ، از جمله در لایه Edge
• امنیت زیرساخت ها و برنامه های کاربردی که اهمیت فوق العاده ای را نیازدارند

مدیریت ساده و کارآمد در مقیاس

Vsphere 6.7 بر اساس نوآوری های تکنولوژی به کار رفته در Vsphere 6.7 ساخته شده و  تجربه مشتری را به سطح کاملا جدیدی ارتقا داده است. سادگی مدیریت ، بهبود عملیاتی ، زمان عملکرد همه در یک مقیاس .

Vsphere 6.7 یک تجربه استثنائی برای کاربر با استفاده از vCenter Server Appliance) vCSA) به همراه دارد . این نسخه چندین APIs جدید را معرفی میکند که باعث بهبود کارایی و تجربه در راه اندازی vCenter ، راه اندازی چندین vCenter براساس یک قالب آماده میشود ، مدیریت vCenter Server Appliance و پشتیبان گیری و بازنشانی را به مراتب راحت تر میکند. همچنین به طور قابل توجهی توپولوژی vCenter Server را از طریق vCenter با embedded platform services controller را در حالت  enhanced linked ساده تر کرده است که مشتریان را قادر میسازد تا چند vCenter را به هم پیوند دهند تا دسترس پذیری بدون مرز را در سرار محیط بدون نیاز به external platform services controller یا  load balancers داشته باشند.

علاوه بر اینها ، با vSphere 6.7 vCSA بهبود عملکرد فوق العاده ای ارائه میشود . (تمام معیارها در مقایسه با vSphere 6.5 مقایسه شده است) :

• 2X faster performance in vCenter operations per second
• 3X reduction in memory usage
• 3X faster DRS-related operations (e.g. power-on virtual machine)

این بهبود عملکرد از داشتن تجربه کاربری سریع برای کاربران vSphere اطمینان حاصل میکند ، ارزش قابل توجه و همچنین صرفه جویی در وقت و هزینه در موارد استفاده متنوع همچون VDI ، Scale-out apps ، Big Data ، HPC ، DevOps  distributed cloud native apps و غیره دارد.

vSphere 6.7 بهبود هایی در مقایس و کارایی در زمان بروزرسانی ESXi هاست ها دارد. با حذف یکی از دو بار راه اندازی مجدد که به طور معمول برای ارتقاء نسخه اصلی مورد نیاز است ، زمان تعمیر و نگهداری را به طور قابل توجهی کاهش میدهد (Single Reboot) . علاوه بر آن Quick boot یک نوآوری جدید است که  ESXi hypervisor را بدون راه اندازی مجدد هاست فیزیکی ، و حذف زمان سپری شده برای بوت شدن ، از سر میگیرد.

یکی دیگر از مولفه های کلیدی vSphere 6.7 رابط کاربر گرافیکی است که تجربه ایی ساده و کارآمد را ارائه می دهد ،  می باشد. vSphere Client مبتنی بر HTML5 یک رابط کاربری مدرن ارائه میکند که پاسخگوی هر دو نیاز واکنشگرایی و سهولت در استفاده برای کاربر است. با vSphere 6.7 که شامل قابلیت های اضافه شده برای پشتیبانی از نه تنها جریان های کاری معمولی مشتریان ، بلکه سایر قابلیت های کلیدی مانند مدیریت NSX ، vSAN ، VUM و همچنین اجزای third-party است.

امنیت جامع Built-In

vSphere 6.7 بر روی قابلیت های امنیتی در vSphere 6.5 ایجاد شده و موقعیت منحصر به فرد آن را به عنوان hypervisor ارائه می دهد تا امنیت جامع را که از هسته شروع می شود، از طریق یک مدل مبتنی بر سیاست عملیاتی ساده هدایت کند.

vSphere 6.7 ابزارهای سخت افزاری Trusted Platform Module (TPM) 2.0 و همچنین Virtual TPM 2.0 را پشتیبانی می کند و به طور قابل توجهی امنیت و یکپارچگی را در hypervisor و سیستم عامل مهمان به همراه دارد.

این قابلیت از VM ها و هاست ها در برابر tampered شدن جلوگیری ، از بارگیری اجزای غیر مجاز ممانعت و ویژگی های امنیتی سیستم عامل مهمان را که توسط تیم های امنیتی درخواست شده فعال می کند.

رمزگذاری داده ها همراه با vSphere 6.5 معرفی شد و به خوبی جا افتاد. با vSphere 6.7 ، رمزگذاری VM بهبود بیشتری یافته و عملیات مدیریت را آسان تر کرده است. vSphere 6.7 جریان های کاری را برای رمزگذاری VM ساده می کند ، برای محافظت در داده ها در حالت سکون و جابجایی طراحی شده ، ساخت آن را به آسانی با یک راست کلیک و همچنین افزایش امنیت وضعیت رمزگذاری VM و دادن کنترل بیشتری برای محافظت به کاربر در برابر دسترسی به داده های غیر مجاز میدهد.

vSphere 6.7 همچنین حفاظت از داده ها را در حرکت با فعال کردن vMotion رمزگذاری شده درinstances های مختلف vCenter و همچنین نسخه های مختلف ارائه میدهد ، ساده تر کردن عملیات migrations دیتاسنتر را ایمن میکند ، داده ها را در یک محیط (hybrid cloud  (between on-premises and public cloud ، و یا در سراسر دیتاسنتر ها با موقعیت های مختلف جغرافیای انتقال می دهد.

vSphere 6.7 از تمام رنج تکنولوژی ها و فن آوری های امنیتی مبتنی بر مجازی سازی مایکروسافت پشتیبانی می کند. این یک نتیجه همکاری نزدیک بین VMware و مایکروسافت است تا مطمئن شود ماشین های ویندوزی در vSphere از ویژگی های امنیتی in-guest  در حالی که همچنان در حال اجرا با عملکرد مناسب و امنیت در پلت فرم vSphere هستند ، پشتیبانی میکند.

vSphere 6.7 امنیت داخلی جامعی را ارائه میکند که قلب SDDC ایمن است ، که این ادغام عمیق و یکپارچه با سایر محصولات VMware مانند vSAN، NSX و vRealize Suite برای ارائه یک مدل کامل امنیتی برای مرکز داده است.

Universal Application Platform

vSphere 6.7 یک پلتفرم کاربردی عمومی است که ظرفیت های کاری جدید مانند (تصاویر گرافیکی 3 بعدی، اطلاعات حجیم، HPC، یادگیری ماشینی، (In-Memory و Cloud-Native) را به خوبی mission critical applications موجود ، پشتیبانی میکند. همچنین برخی از آخرین نوآوری های سخت افزاری در صنعت را پشتیبانی میکند و عملکرد استثنایی را برای انواع کار های مختلف ارائه میدهد.

vSphere 6.7 پشتیبانی و قابلیت های معرفی شده برای GPU را از طریق همکاری VMware  و Nvidia ، با مجازی سازی GPUهای Nvidia حتی برای non-VDI و موارد غیر محاسباتی مانند هوش مصنوعی ، یادگیری ماشینی، داده های حجیم و موارد دیگر افزایش میدهد.

با پیشرفت تکنولوژی به سمت  Nvidia GRID™ vGPU  در vSphere 6.7 ، به جای نیاز به خاموش کردن بارهای کاری بر روی GPUها ،مشتریان میتوانند به راحتی این ماشین ها را موقتا متوقف کنند و یا اینکه از سر گیرند، به این ترتیب مدیریت بهتر چرخه حیاط هاست ، و به طور قابل توجهی باعث کاهش اختلال برای کاربران نهایی میشود. Vmware همچنان با هدف ارائه تجربه کامل Vsphere  به GPU ها در نسخه های آینده در این زمینه سرمایه گذاری میکند.

vSphere 6.7 با افزودن پشتیبانی از نوآوری های کلیدی صنعت ، که آماده است تا تاثیر قابل توجهی بر چشم انداز، که حافظه پایدار است ، همچنان رهبری تکنولوژی Vmware و همکاری پربار با شرکای کلیدی خود را به نمایش میگذارد . با حافظه پایدار vSphere،  مشتریان با استفاده از ماژول های سخت افزاری پشتیبانی شده، مانند آنهایی که از Dell-EMC و HPE موجود هستند، می تواند آنها را به عنوان ذخیره سازی های فوق سریع با IOPS بالا، و یا به سیستم عامل مهمان به عنوان حافظه non-volatile  قرار دهند این به طور قابل توجهی عملکرد سیستم عامل را در برنامه ها برای کاربرد های مختلف ، افزایش میدهد و برنامه ای موجود را سریعتر و کارآمدتر میکند و مشتریان را قادر میسازد تا برنامه های با عملکرد بالا بسازند که میتواند از حافظه مداوم vSphere استفاده کند.

شما میتوانید مجله Virtual Blocks Core Storage 6.7 را نیز ببینید که در آن اطلاعات بیشتری را در مورد استوریج جدید و ویژگی های شبکه ای مانند Native 4Kn disk support ، RDMA support و Intel VMD برای NVMe که بیشتر برنامه های سازمانی را در  vSphere اجرا میکند، مشاهده کنید.

 

تجربه Hybrid Cloud) Seamless Hybrid Cloud)

 

با پذیرش سریع vSphere-based public clouds از طریق شرکاری VMware Cloud Provider Program ، VMware Cloud در AWS، و همچنین دیگر ارائه دهندگان cloud  ، VMware متعهد به ارائه یک cloud  ترکیبی یکپارچه برای مشتریان است. vSphere 6.7 قابلیت vCenter Server Hybrid Linked Mode را معرفی میکند که آن را برای مشتریان به منظور داشتن نمایش پذیری unified و قابلیت مدیریتی on-premises محیط vSphere در حال اجرا بر روی یک نسخه و محیط vSphere-based public cloud ، مانند VMware Cloud در AWS، در حال اجرا بر روی نسخه های مختلف از vSphere را آسان و ساده کرده است. این قابیت از افزایش سرعت نوآوری و معرفی قابلیت های جدید در vSphere-based public clouds اطمینان حاصل میکند و مشتری را مجبور نمی کند تا به طور مداوم محیط محلی vSphere را به روز رسانی و ارتقا دهد.

vSphere 6.7 همچنین قابلیت Migration در حالت Cold وHot در محیط Cross-Cloud میدهد ، علاوه بر افزایش سهولت مدیریت ، تجربه seamless و non-disruptive hybrid cloud را ارائه میدهد. همانطور که ماشین های مجازی بین مراکز داده های مختلف مهاجرت می کنند ، یا از یک مرکز داده محلی به cloud  و بلعکس منتقل میشوند ، آنها احتمالا در میان انواع پردازنده های مختلف حرکت می کنند. vSphere 6.7 قابلیت جدیدی را فراهم می کند که کلیدی برای محیط های hybrid cloud است که به نام Per-VM EVC نامیده می شود. Per-VM EVC قابلیت EVC) Enhanced vMotion Compatibility) را به یک ویژگی ماشین تبدیل میکند ، که به جای استفاده از نسل خاصی از پردازنده که در cluster بوت شده ، از آن استفاده کند. این قابلیت seamless migration را در سراسر CPU های مختلف با حفظ حالت EVC در هر ماشین در طول migrations  در سراسر کلاستر ها اجازه میدهد.

پیش از این vSphere 6.0 قابلیت provisioning را بین vCenter instances معرفی کرده بود که اغلب به نام ” cross-vCenter provisioning ”  یاد می شود. استفاده از دو مورد vCenter این احتمال را می دهد که نمونه ها در نسخه های مختلف انتشار قرار داشته باشند. vSphere 6.7 مشتریان را قادر می سازد تا از نسخه های مختلف vCenter استفاده کنند، در حالی که اجازه می دهد cross-vCenter, عملیات provisioning مانند: (vMotion, Full Clone , cold migrate) را به طور یکپارچه ادامه دهد . این به خصوص برای مشتریانی که توانایی استفاده از VMware Cloud را در AWS به عنوان بخشی از hybrid cloud خود دارند، مفید است.

ما بسیار خوشحالیم که در این مقاله ، ویژگی های جدید امنیت در vSphere 6.7 را به شما معرفی خواهیم کرد. اهداف امنیتی در ورژن 6.7 به دو جزء تقسیم میشوند . معرفی ویژگی های جدید امینتی با قابلیت راحتی در استفاده و برآورده شدن نیازهای مشتریان و تیم های امنیت آی تی .

 

پشتیبانی از TMP 2.0 در ESXi

همانطور که همه شما میدانید ، (TPM (Trusted Platform Module یک دیوایس بر روی لب تاپ ، دسکتاپ یا سرور میباشد و برای نگه داری اطلاعات رمزگذاری شده مثل (keys, credentials, hash values) استفاده میشود . TPM 1.2 برای چندین سال در ESXi موجود بود اما عمدتا توسط پارتنر ها مورد استفاده قرار می گرفت. TPM 2.0 با 1.2 سازگار نیست و نیاز به توسعه تمام درایور های دستگاه و API جدید دارد. ESXi از TPM 2.0 بر اساس تلاش های ما بر روی 6.5 با Secure Boot ، استفاده میکند. به طور خلاصه ما تایید میکنیم که سیستم با Secure Boot فعال ، بوت شده است و ارزیابی را انجام میدهیم و در TPM ذخیره میکنیم . vCenter این ارزیابی ها را میخواند و با مقادیری که توسط خود ESXi گزارشگیری شده مقایسه میکند. اگر مقادیر مطابقت داشته باشند، سیستم با Secure Boot فعال ، بوت شده است وهمه چیز خوب است و فقط کد های تایید شده اجرا میشوند و مطمئن هستیم که کد های تایید نشده وجود ندارد . vCenter یک گزارش تایید در vCenter web client که وضعیت هر هاست را نشان میدهد ارائه میکند.

TMP 2.0 مجازی در ماشین ها

برای پشتیابنی از TPM برای ماشین های مجازی ، مهندسین ما دیوایس مجازی TPM 2.0 را ایجاد کرده اند که در ویندوز مانند یک دستگاه معمولی نمایش داده میشود و مانند TPM فیزیکی ، می تواند عملیات رمزنگاری را انجام دهد و مدارک را ذخیره کند. اما چگونه داده ها را در TPM مجازی ذخیره می کنیم؟ ما این اطلاعات را در فایل nvram ماشین ها مینویسیم و آنرا با VM Encryption ایمن میکنیم . این عملیات اطلاعات را در vTPM ایمن میکند و همراه با ماشین جابجا میشود . اگر این VM را به یک دیتاسنتر دیگر کپی کنیم و این دیتاسنتر برای صحبت با KMS ما پیکربندی نشده باشد ، آن وقت دیتا در vTPM ایمن خواهد بود. نکته : فقط فایل های “home” ماشین رمزگذاری میشود نه VMDK’s ، مگر اینکه شما انتخاب کنید که آنها را نیز رمزگذاری کنید.

چرا از TMP سخت افزاری استفاده نکردیم ؟

یک سخت افزار TPM محدودیت هایی هم دارد . به دلیل اینکه یک دستگاه serial هست پس کمی کند است. یک nvram ایمن که ظرفیت ذخیره سازی آن با بایت اندازه گیری میشود دارد . توانایی تطبیق با بیش از 100 ماشین در یک هاست را ندارد و قادر به نوشتن تمام اطلاعات TPM آنها در TPM فیزیکی نیست و به یک scheduler برای عملیات رمزنگاری نیاز دارد . فرض کنید 100 ماشین در حال تلاش برای رمزنگاری چیزی هستند و وابسته به یک دستگاه serial که فقط میتواند 1 رمزنگاری در آن واحد انجام دهد ؟ اوه….
حتی اگر بتواند اطلاعات را فیزیکی ذخیره کند ، عملیات vMotion را در نظر بگیرید ! مجبور است داده ها را به طور ایمن از یک TPM فیزیکی حذف و آن را به دیگری کپی کند و با استفاده از کلیدهای TPM جدید دوباره داده ها را امضا کند. تمام این اقدامات در عمل بسیار آهسته است و با مسائل امنیتی و الزامات امنیتی اضافی همراه است.

توجه داشته باشید: برای اجرای TPM مجازی، شما به VM Encryption نیاز دارید. این بدان معناست که شما به یک زیرساخت مدیریت کلید سوم شخص در محیط خود هستید .

پشتیبانی از ویژگی های امنیتی مبنی بر مجازی سازی مایکروسافت

تیم امنیتی شما احتمالا درخواست یا تقاضای پشتیبانی “Credential Guard” میدهد. این همان است .
در سال 2015 ، مایکروسافت ویژگی های امنیتی مبنی بر مجازی سازی را معرفی کرد . ما نیز همکاری بسیار نزدیکی با مایکروسافت داشتیم تا این ویژگی ها را در vSphere 6.7 پشتیبانی کنیم . بیایید یک نمای کلی از آنچه در زیر این پوشش انجام دادیم تا این اتفاق بیافتد رامشاهده کنیم . وقتی VBS را بر روی لپتاپتان با ویندوز 10 فعال میکنید ، لپ تاپ ریبوت میشود و به جای بوت مستقیم به ویندوز 10 ، سیستم Hypervisor مایکروسافت را بوت می کند. برای vSphere این به معنای این است که ماشین مجازی که ویندوز 10 را به طور مستقیم اجرا می کرد در حال حاضر در حال اجرا hypervisor مایکروسافت است که در حال حاضر ویندوز 10 را اجرا می کند. این فرآیند ” nested virtualization” نامیده می شود که چیزی است که VMware تجربه بسیارزیادی با آن را دارد. ما از nested virtualization در Hands On Lab’s برای سال ها است که استفاده میکنیم. هنگامی که VBS را در سطح vSphere فعال می کنید، این یک گزینه تعدادی از ویژگی های زیر را فعال میکند.

• Nested virtualization
• IOMMU
• EFI firmware
• Secure Boot

و کاری که نمیکند هم این است که VBS را در ماشین سیستم عامل میهمان فعال نمیکند. برای انجام این کار از راهنمایی مایکروسافت پیروی کنید. این کار را می توانید با اسکریپت های PowerShell، Group Policies و غیره انجام دهید.
نکته در اینجاست که نقش vSphere این است که سخت افزار مجازی را برای پشتیبانی از فعال سازی VBS فراهم کند. در کنار TPM مجازی شما هم اکنون می توانید VBS را فعال کنید و ویژگی هایی مانند Gredential Guard را فعال کنید.
اگر شما امروز در حال ساخت ویندوز 10 یا ویندوز سرور 2016 VM هستید، من به شدت توصیه می کنم آنها را با EFI firmware فعال نصب کنید. انتقال از BIOS / MBR سنتی به EFI (UEFI) firmware پس از آن برخی از چالش ها را بعدا به همراه دارد که در خطوط پایین نشان می دهیم.

بروزرسانی UI

در vSphere 6.7 ما بهبود های زیادی در عملکرد وب کلاینت HTML)5) ایجاد کرده ایم . هم اکنون در تمام مدت ازآن استفاده میکنیم . این محیط سریع است و بخوبی ایجاد شده و هرکاری در آزمایشگاهم میخواهم انجام میدهد . ما برخی تغییرات به منظور ساده تر کردن همه چیز برای ادمین ها در سطح رمزنگاری ماشین ایجاد کرده ایم. در پس زمینه ما هنوز از Storage Policies استفاده میکنیم ، اما تمام توابع رمزنگاری را (VM Encryption, vMotion Encryption) در یک پنل VM Options ترکیب کرده ایم.

چندین هدف SYSLOG

این چیزی است که من شخصا مدت زیادی منتظرش بودم . یکی از درخواستهایی که من داشته ام این است که توانایی کانفیگ چندین هدف SYSLOG از محیط UI را داشته باشم . چرا ؟ برخی از مشتریان می خواهند جریان SYSLOG خود را به دو مکان منتقل کنند. به عنوان مثال، تیم های IT و InfoSec. . کارمندان IT عاشق VMware Log Insight هستند ، تیم های InfoSec معمولا از Security Incident و Event Management system که دارای وظایف تخصصی هستند برای اهداف امنیتی استفاده میکنند . در حال حاضر هر دو تیم ها می توانند یک جریان غیر رسمی از رویدادهای SYSLOG برای رسیدن اهداف مربوطه خود داشته باشند. رابط کاربری VAMI در حال حاضر تا سه هدف مختلف SYSLOG پشتیبانی می کند.

FIPS 140-2 Validated Cryptographic Modules – By Default

این خبر بزرگ برای مشتریان ایالات متحده است . در داخل vSphere) vCenter و ESXi) دو ماژول برای عملیات رمزنگاری وجود دارد. ماژول VM Kernel Cryptographic توسط VM Encryption و ویژگی های Encrypted vSAN و ماژول OpenSSL برای مواردی مانند ایجاده کننده گواهینامه ها (certificate generation) و TLS connections استفاده میشود . این دو ماژول گواهی اعتبارسنجی FIPS 140-2 را کسب کرده اند.
خب ، این به این معنیست که vSphere تاییده FIPS را دارد ؟! خب بعضی از اصطلاحات در جای نادرستی به کاربرده شده است . برای کسب “FIPS Certified” در واقع به یک راه حل کامل از سخت افزار و نرم افزار که با هم تست شده و پیکربندی شده نیاز است. آنچه در VMware انجام دادیم این است که فرایند FIPS را برای اعتبار سنجی vSphere توسط شرکایمان ساده تر کرده ایم. ما منتظر دیدن این اتفاق در آینده نزدیک هستیم. آنچه مشتریان معمولی vSphere باید بداند این است که تمام عملیات رمزنگاری در vSphere با استفاده از بالاترین استانداردها انجام می شود زیرا ما تمامی عملیات رمزنگاری FIPS 140-2 را به صورت پیش فرض فعال کرده ایم.

جمع بندی

بسیاری از موارد امنیتی جدید وجود دارد.آنچه که اینجا مطالعه کردید این است که ما ویژگی های جدید مانند Secure Boot برای ESXi و VM Encryption و بالاتر از همه آنها قالبیت های های لایه جدید مانند TPM 2.0 و virtual TPM . امیدواریم که این روند به همین ترتیب ادامه داشته باشد .
ما تعهد داریم که بهترین امنیت درنوع خود ، در حالی که هم زمان برای ساده سازی اجرا و مدیریت آن تلاش میکنیم ، ارائه دهیم . من می خواهم از تمام تیم های تحقیق و توسعه VMware تشکر کنم برای کار متمایزی که در این نسخه انجام داده اند. آنها سخت کار میکنند تا امنیت شما را برای اجرای و مدیریت آسان تر کنند! آینده در سرزمین vSphere بسیار درخشان است .

فایروال سیسکو

فایروال ها دیواره هایی هستند که برای ایمن نگاه داشتن شبکه در برابر هکرها، بدافزارها و دیگر مهاجمان استفاده می شوند. فایروال ها هم به فرم سخت افزار و هم نرم افزار وجود دارند و همه آنها امنیت را بین شبکه و تهدیدهای بیرونی برقرار می سازند. مدیران شبکه، به گونه ای فایروال ها را برای نیازمندی های سیستم مورد نظر خود تنظیم می کنند که عدم وجود داده های آسیب پذیر را تضمین کند. شرکت های کوچک و کامپیوترهای شخصی به ندرت به فایروال های سخت افزاری نیاز خواهند داشت اما شرکت ها و واحدهای تجاری بزرگ از فایروال های سخت افزاری درون سیستم های خود استفاده می کنند تا دسترسی های بیرون از شرکت و مابین دپارتمان ها را محدود کنند. مشتری ها با توجه به نیازمندی های شبکه خود و ویژگی های ارائه شده در فایروال ها، آنها را از میان شرکت های سازنده مختلفی می توانند برگزینند. یکی از برجسته ترین سازندگان فایروال های NGFW کمپانی سیسکو است که در جدول زیر به مقایسه فایروال های NGFW خود با فایروال های NGFW از شرکت های Palo alto، Fortinet و Check Point می پردازد.

ویژگی های امنیت :

	CISCO	PALO ALTO NETWORKS	FORTINET	CHECK POINT SOFTWARE TECHNOLOGIES
تحلیل مستمر و شناسایی با نگاه به گذشته	سیسکو تحلیل مستمری را خارج از point-in-time به کار می بندد، و با نگاهی به گذشته می تواند شناسایی کند، هشدار دهد، پیگردی کند، تحلیل کند و بدافزارهای پیشرفته ای را اصلاح کند که ممکن است با ظهورشان در همان ابتدا پاک شوند یا اینکه از دفاع اولیه سرباز زند و پس از آن به عنوان مخرب تعیین شوند.	تنها تحلیل و شناسایی point-in-time را انجام خواهد داد. تحلیل های point-in-time ایجاب می کند که در لحظه ای که برای اولین بار فایل دیده می شود، داوری بر روی وضعیت آن انجام شود. اگر فایلی به تدریج تغییر یابد یا اینکه بعدا شروع به فعالیت مخرب کند، هیچ کنترلی در محل وجود ندارد که نشانی از چیزی که اتفاق افتاده یا جایی که بدافزار به آن منتهی شده را نگاه دارد.	تنها تحلیل و شناسایی point-in-time را انجام خواهد داد. همان توضیحاتی که در این مورد برای palo alto آورده شده است، برای این برند نیز صدق می کند.	تنها تحلیل و شناسایی point-in-time را انجام خواهد داد. همان توضیحاتی که در این مورد برای palo alto آورده شده است، برای این برند نیز صدق می کند.
مسیر حرکت فایل شبکه	سیسکو طرح ریزی می کند که چگونه هاست ها فایل هایی که شامل فایل های مخرب هستند را در سراسر شبکه شما انتقال دهند. فایروال سیسکو می تواند ببیند که انتقال یک فایل مسدود یا فایل قرنطینه شده است. در این فایروال میانگینی از میدان دید، ارائه کنترل هایی همه گیر و تشخیص مشکل اولیه را فراهم می کند	مسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.	مسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.	مسیر حرکت به تحلیل مستمر وابسته است. به دلیل نبود تحلیل مستمر پشتیبانی نمی کند.
برآورد اثرات	Cisco Firepower همه رویدادهای نفوذ را به اثرات حمله مرتبط می کند تا به اپراتور بگوید که چه چیزی به توجه فوری نیاز دارد.	محدود  اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.	محدود  اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.	محدود  اثرات تنها در مقابل شدت تهدید ارزیابی می شوند. هیچ اطلاعات پروفایلی از هاست برای تعیین آسیب پذیری در مقابل تهدید در اختیار نمی گذارد.
اتوماسیون امنیت و مدیریت تطبیق پذیر تهدید	سیسکو به طور خودکار دفاع ها را با تغییرات پویا در شبکه، در فایل ها، یا با هاست ها منطبق می کند. اتوماسیون عناصر دفاعی کلیدی همچون تنظیم مقررات NGIPS و سیاست فایروال شبکه را پوشش می دهد.	همه سیاست ها به تعاملات سرپرست نیاز دارد. سیاست ها به تنظیمات پایه محدود می شود. خطاهای false positive به طور غیرخودکار شناسایی و کاهش داده می شوند.	همه سیاست ها به تعاملات سرپرست نیاز دارد. سیاست ها به تنظیمات پایه محدود می شود. خطاهای false positive به طور غیرخودکار شناسایی و کاهش داده می شوند.	سیاست ها به تعاملات سرپرست نیاز دارند.
Behavioral indicators of compromise IoCs	Cisco Firepower  عملکرد فایل و شهرت سایت ها را بررسی می کند، و شبکه و فعالیت endpoint را با استفاده از بیش از 1000 شاخص عملکردی به هم مرتبط می کند. بیلیون ها مصنوعات بدافزاری را برای ارتقا و پوشش بی نظیر در برابر تهدیدهای جهانی ارائه می دهد.	استاندارد، nonbehavioral IoCs در محصولی مجزا در دسترس است.	IoC مبتنی بر شدت تهدید است نه عملکرد.	IoC مبتنی بر شدت تهدید است نه عملکرد.
آگاهی از وضعیت کاربر، شبکه و endpoint	Cisco Firepower تحلیل کاملی از تهدیدها و محافظت در برابر آنها را با آگاهی نسبت به کاربران، پیشینه کاربر بر روی هر ماشین، دستگاه های موبایل، اپلیکیشن های سمت کلاینت، سیستم عامل ها،  ارتباطات ماشین به ماشین مجازی، آسیب پذیری ها، تهدیدها و URL ها فراهم می کند.	تنها آگاهی از کاربران را پشتیبانی می کند.	تنها آگاهی از کاربر را پشتیبانی می کند. مگر اینکه نرم افزار endpoint مجزایی استفاده شود.	تنها آگاهی از کاربر را پشتیبانی می کند. مگر اینکه نرم افزار endpoint مجزایی استفاده شود.
NGIPS	Next-gen -سیستم IPS با آگاهی بی وقفه و نگاشت شبکه	Signature-based	Signature-based	Signature-based
حفاظت پیشرفته جامع در برابر تهدید	پوشش می دهد -قابلیت های sandboxing پویای توکار  (AMP-ThreatGrid)، بدافزارهای آگاه از sandbox و evasive را شناسایی می کند. وابستگی رویدادهای قابل تعقیب، behavioral IoCs >1000، بیلیون ها مصنوعات مخرب و درک آسان محدوده تهدیدها را فراهم می کند.	محدود است -Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است	محدود است -Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است	محدود است -Sandbox به صورت cloud به اشتراک گذاشته می شود یا بر روی دستگاه نصب است
اصلاح بدافزارها	پوشش می دهد -اتوماسیون هوشمند که از جمله قابلیت های Cisco AMP است به شما اجازه می دهد که به سرعت محدوده بدافزار را بفهمید، و یک حمله فعال را حتی پس از رخدادش، مهار کنید	محدود است - برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد. -در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.	محدود است - برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد. -در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.	محدود است - برای یک محدوده تهدید ناشناخته هیچ علتی ریشه ای یا نتایجی از مسیر حرکت ارائه نمی دهد. -در اینجا اصلاح، فرآیندی غیرخودکار در طی واکنش به حادثه پس از نفوذ است.

 

اطلاعات بیستر در لینک زیر :

faradsys.com

تغیرات در VMware View

VMware View  پیشرفت ها و ویژگی های بسیاری دارد. در این مقاله ما به بررسی پیشرفت های ارتباطات HTTP بین اجزای View خواهیم پرداخت . در View 5.0 ، VMware از مخرن گواهینامه های فایل بیس JKS و PKCS12  در اجزای View پشتیبانی میکرد ، اما از View 5.1 به بعد ، VMware از مخرن گواهینامه های ویندوزی پشتیبانی میکند . این تغیرات اجازه ادغام بهتری با ساز و کار مدیریت گواهینامه ها میدهد. زمانی که شما به View 5.1 آپگرید میکنید ، مخرن گواهینامه های JKS و PKCS12  به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

استفاده از SSL در حال حاضر برای ارتباطات HTTP بین اجزای View است . هرچند که یک مکانیزم Trust-on-first-use دخیل است ، بهترین راه درج گواهینامه های معتبر تایید شده توسط Certificate Authority (CA) مورد اعتماد در تمام اجزای View است . در View ، پنل مدیریتی View به شما وضعیت سلامت گواهینامه ها مربوط به اجزاء مناسب را نشان میدهد .

شکل 1  ارتباطات امن SSL بین اجزای مختلف View را نشان میدهد. در مورد vCenter Server  و  View Composer ، ادمین ها  این انتخاب را دارند تا گواهینامه های self-signed یا invalid را بعد از تاید هویت گواهینامه ، از محیط کاربری ادمین اضافه کنند .

مکانیزم گواهینامه های SSL

احراز هویت SSL اساسا در مبنای پروتکل لایه امنیتی ترنسپورت TLS است . هدف اصلی TLS ارائه امنیت و تعاملات بین ارتباط دو نرم افزار است . پروتکل TLS Handshake ، سرور را با کلاینت ، و کلاینت را با سرور در صورت انتخاب ، احراز هویت میکند .  همچنین TLS قبل از اینکه پروتکل اپلیکیشن (سرور و کلاینت) اولین بایت دیتا را ارسال یا دریافت کند درمورد الگوریتم رمزنگاری و کلید های رمزنگاری مذاکره میکند . پروتکل Handshake یک کانال امن با موارد زیر میسازد:

• Authenticating peers (client or server) using asymmetric (public-private) keys
• Agreeing upon cryptographic protocols to be used, such as 3DES, RSA
• Negotiating a shared secret

وقتی پروتکل handshake بین peers ها تکمیل شود ، peers شروع به برقراری ازتباط با مد کانال امن از طریق الگوریتم های رمزنگاری و کلید رمزنگاری مذاکره شده ، که حملات مردی در میان و استراق سمع را مسدود میکند.

جریان اعتبارسنجی گواهینامه X.509

این بخش جریان اعتبارسنجی گواهینامه X.509 ، فرم استاندارد گواهینامه های public key را توضیح میدهد. این تنظیمات  در Connection Server و  Security Server و  View Composer  و  vCenter Server اعمال میشود. وضعیت سلامت هرکدام از این اجزا در پنل مدیریتی View مطابق شکل زیر نشان داده میشود .

یک گواهینامه پیش فرض برای هرکدام از اینها ساخته میشود ، اما best practice میگوید که این گواهینامه ها را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

هر Connection Server گواهینامه های دیگر اجزای متصل شده به آن را اعتبارسنجی میکند . در فلوچارت شکل زیر مراحل بررسی آنها نمایش داده شده :

Hostname match

Connection Server بررسی میکند که نام سرور بخشی از URL کانکشن باشد (در مواردی که Security Server ، برای URL های خارجی کانفیگ شده باشد) با یکی از اسم های subject در گواهینامه معرفی شده ، همخوان باشد. اگر این مقدار همخوان نباشد ، وضعیت کامپوننت موردنظر در پنل مدیریت View  پیغام Server’s Certificate does not match the URL را نشان میدهد.

Certificate issuer’s verification

Connection Server اعتبار صادرکننده گواهینامه و trusted بودن آن را بررسی میکند.

Certificate Expired/Not Yet Valid

اعتبار گواهینامه در زنجیره گواهینامه ها بررسی میشود تا مدت اعتبار و زمان گواهینامه صادر شده مشخص شود – اگر اعتبار نداشته باشند وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Certificate Expired or Certificate Not Yet Valid را نشان میدهد.

Certificate revocation checking

VMware View از Revocation Checking پشتیبانی می کند ، تکنیکی که اطمینان حاصل میکند از اینکه صادرکننده گواهینامه بنا به دلیلی گواهینامه را باطل نکرده باشد. View از دو روش بررسی اعتبار گواهینامه ها ، CRLs (Certificate Revocation Lists) و OCSPs (Online Certificate Status Protocols) پشتیبانی میکند. اگر گواهینامه بدون اعتبار یا در دسترس نباشد وضعیت کامپوننت موردنظر در پنل مدیریت View پیغام Server’s either Revocation status cannot be checked را نشان میدهد.

نکته : عملیات revocation برای تمام اجزاء بررسی میشود به استثنای روت. یعنی گواهینامه روت بررسی نمیشود ؛ زیرا مدیریت فعال مخزن گواهینامه روت ، فقط باید مطئن شود که موجود است . گواهینامه های unrevoked شده مورد تایید است. اگر شما مطمئن نیستید که مخزن گواهینامه کاملا بروز است ، توصیه میشود تا اسکوپ revocation checking را تا خود روت افزایش دهید . اگر هرکدام از گواهینامه ها revocation check را fail شوند ، در پنل مدیریت View پیغام Server Certificate has been revoked نشان داده خواهد شد.

تنظیمات گواهینامه ها X.509 در هر جزء متفاوت و یکپارچگی آن با VMware View

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای Secure Gateway

در طول نصب VMware View Connection Server  و  Security Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که این گواهینامه را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

نکته: زمانی که اجزای Secure Gateway بروز شوند ، و ورژن قبل توسط یک CA سرور trusted تنظیم شده باشد ، آن گواهینامه ها در زمان نصب به صورت خودکار به مخرن گواهینامه ویندوز انتقال داده میشوند .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای View Composer

در طول نصب VMware View Composer ، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

گواهینامه X.509 ، صادر شده از Trusted Certification Authority  ، تنظیمات در اجزای vCenter Server

در طول نصب VMware vCenter Server، یک گواهینامه پیش فرض ساخته و تنظیم میشود . توصیه میشود که گواهینامه پیش فرض را با یک گواهینامه صادر شده از یک CA سرور trusted جایگزین کنید .

 

Revocation Checking

VMware View 5.1 از revocation checking گواهینامه های SSL ، که میتوان از طریق رجیستری یا توسط تنظیمات GPO policy تنظیم شوند ، پشتیبانی میکند. برای تنظیم انواع revocation check ، گزینه های رجیستری زیر را ویرایش یا روی Connection Servers ، GPO policy اعمال کنید :

کلید رجیستری CertificateRevocationCheckType را در مسیر زیر اضافه کنید :

 SoftwarePoliciesVMware, inc.VMware VDMSecurity

• None – Set CertificateRevocationCheckType = 1. No revocation checking is done if this option is set.
• EndCertificateOnly – Set CertificateRevocationCheckType = 2.Revocation checking is done only for the end certificate in the chain.
• WholeChain – Set CertificateRevocationCheckType = 3. A complete path is built for the certificate, and a revocation check is done for all certificates in the path
• WholeChainButRoot – Set CertificateRevocationCheckType = 4. A complete path is built for the certificate, and a revocation check is done for all certificates in the path except for the Root CA certificate (default value).

دیگر تنظیمات Revocation Check

SoftwarePoliciesVMware, inc.VMware VDMSecurityCertificateRevocationCheckCacheOnly

“False” (default) – Disable caching revocation responses.

“True” – Enable caching revocation responses.

SoftwarePoliciesVMware, inc.VMware VDMSecurity CertificateRevocationCheckTimeOut

Cumulative timeout across all revocation check intervals in milliseconds. If not set, default is set to ‘0’, which means Microsoft defaults are used.

 

انواع گواهینامه ها و استفاده آنها در VMware View

View از انواع مختلف گواهینامه ها برای تحقق انواع سناریو ها در سایت مشتری پشتیبانی میکند. گواهینامه در دو دسته گواهینامه های single-server name و گواهینامه های multiple-server name گنجانده میشوند .

یک گواهینامه single-server name شامل یک آدرس URL است که تشخیص میدهد سرور برای کدام گواهینامه صادر شده . این نوع گواهینامه زمانی صادر میشود که connection broker فقط از طریق شبکه داخلی یا فقط از طریق شبکه خارجی در دسترس است. به این معنی که ، سرور یک نام FQDN دارد.

گواهینامه های Multiple-server name در محیط هایی که View Connection Server قابلیت دسترسی از هر دو مسیر شبکه داخلی و خارجی ، که نیاز دارد تا connection server چند نام FQDN داشته باشد ، کاربرد دارد. به عنوان مثال ، یکی برای شبکه داخلی و یکی برای شبکه خارجی .

گواهینامه های Multiple-server name از بیشتر از یک SAN (Subject Alternative Name) برای هر یک گواهینامه تکی پشتیبانی میکنند . این نوع از گواهینامه نیز زمانی استفاده می شود که اگر SSL offloaders بین View clients  و connection server  قرار داده شود و یا هنگامی که یک اتصال تونل شده با Security server فعال شود.

یک گواهینامه wildcard  ، گواهینامه ای است که برای تمام سرور های داخل دامین صادر میشود . FQDN داخل گواهینامه wildcard معمولا به این فرمت نوشته میشود  *.organization.com. یک گواهینامه wildcard امنیت کمتری از گواهینامه SAN دارد ، اگر یک سرور یا ساب دامین در معرض خطر باشد ، کل محیط در معرض خطر است .

 

منبع : Faradsys.com

 

بقیه مقاله در ادامه مطلب

سیستم HC 250 مناسب برای راه اندازی مجازی سازی در محیط های کوچک و متوسط می باشد و پلی می باشد برای راه اندازی SDS درون سازمان ها، روی این سیستم VMware Vsphere 5.6 و یا 6 بصورت Built in وجود دارد. روی این سیستم سرورهای Apollo قرار دارد که مدل XL 170 می باشند و روی آنها از پردازنده های عملکرد استوریج HP MSA 2052, استوریج HP MSA 2052, استوریج MSA 2050, MSA 2052 , قیمت استوریج , انواع استوریج , نصب استوریجE5-2600 قراردارد. در واقع اگر بخواهیم از 4 سرور DL380 استفاده کنیم نیاز به 8 یونیت فضا درون رک خواهیم داشت حال آنکه در صورت استفاده از این سیستم فقط نیاز به 2 یونیت خواهیم داشت و در واقع باعث کاهش فضا و در نتیجه کاهش هزینه خواهد شد. با توجه به اینکه روی این سیستم StoreVirtual VSA قرار دارد می توان SDS را پیاده سازی نمود و از قابلیت Network RAID استفاده کرد. بدین معنی که RAID بین چندین دستگاه مختلف پیاده خواهد شد. همچنین این سیستم قابلیت Multi System HA را نیز پوشش می دهد و می توان یکدستگاه را در سایت دیگری قرارداد تا چنانچه یک سیستم دچار مشکل شود سیستم دیگر در سایت دیگر ادامه کار را انجام خواهد داد. همچنین این سیستم قابلیت Adaptive Optimization و Remote Copy را نیز پوشش می دهد که در پست های بعدی این قابلیت ها توضیح داده خواهد شد. روی هر سرور که در این سیستم قرار می گیرد می توان 512 گیگا بایت RAM قرار داد و کارتهای شبکه نیز می تواند 10 گیگا بیت بر ثانیه باشد. در صورتیکه نیاز به GPU داشته باشیم می توانیم روی این سیستم از XL190 استفاده کنیم.

فایروال های Cisco Firepower 2100 Series

فایروال سری Firepower 2100 از جمله محصولات امنیتی کمپانی سیسکو می باشد که شامل مجموعه ای چهار تایی از پلتفرم های امنیتی Threat-focused NGFW هستند. زمانی که توابع پیشرفته Threat فعال می شود این فایروال کارایی پایدار فوق العاده ای را ارائه می دهد. در نتیجه دیگر امنیت در غیاب کارایی شبکه به دست نمی آید بلکه هر دو همزمان حفظ می شوند. در این پلتفرم ها معماری CPU چند هسته ای جدیدی ضمیمه شده است که همزمان فایروال، رمزنگاری و توابع نفوذ تهدید ها را بهینه می کند. با توجه به محدوده توان عملیاتی فایروال های سری 2100، موارد استفاده ای از Edge اینترنت تا مرکز داده را در بر می گیرد.