ФСТЭК выпустила комплексные инструкции по защите виртуальной инфраструктуры VMware в условиях отсутствия поддержки

Документ, датированный 2026 годом, адресован государственным органам и организациям критической информационной инфраструктуры (КИИ) РФ и призван обеспечить безопасность решений VMware в условиях, когда компания прекратила работу в России и легальная техническая поддержка более недоступна.

Ключевые меры безопасности

Документ ФСТЭК содержит детальный план действий, направленных на жесткое ужесточение защиты всех компонентов виртуальной среды: хостов ESXi и центра управления vCenter. Основные предписания включают:

• Централизованный сбор и защита логов. Обязательная настройка пересылки всех журналов событий (syslog) с хостов ESXi на защищенный удаленный сервер для предотвращения их модификации или удаления злоумышленником. В документе приведены исчерпывающие инструкции по настройке через ESXi CLI, Host Profiles и веб-клиент vSphere с указанием ключевых параметров (logDir, logHost и др.).
• Мониторинг и реагирование. Организация передачи и постоянного анализа логов в SIEM-системе. ФСТЭК предоставляет подробную таблицу для мониторинга критичных событий, таких как включение SSH, изменение правил брандмауэра, аутентификация, доступ к файловой системе и создание пользователей.
• Блокировка устаревших уязвимых протоколов. Рекомендуется полностью запретить доступ привилегированных пользователей по протоколу SSH, включая учетную запись root. В случае невозможности полного отказа — настроить аутентификацию по ключам и строгое ограничение времени сессии.
• Многофакторная аутентификация (MFA). Обязательное внедрение MFA для всех пользователей, включая администраторов, при доступе к инфраструктуре vSphere.
• Безопасная загрузка и выполнение кода. Активация безопасной загрузки (Secure Boot) и принудительного режима execInstalledOnly для блокировки запуска любого неподписанного кода на хостах ESXi.
• Жесткое сегментирование и контроль доступа. Выделение наиболее критичных компонентов в изолированный сегмент сети, настройка политик безопасности портов виртуальных коммутаторов (запрет Promiscuous Mode, подмены MAC) и организация доступа к хостам по принципу «белых списков».
• Принцип минимальных привилегий и резервное копирование. Все работы должны выполняться под учетными записями с минимально необходимыми правами. Резервные копии инфраструктуры должны храниться изолированно, на разных типах носителей, в количестве не менее трех экземпляров.

Работа в условиях санкционных рисков

Публикация рекомендаций является ответом на сложившуюся ситуацию. Американская компания VMware, один из ведущих мировых поставщиков средств виртуализации, в одностороннем порядке прекратила деятельность в России в марте 2022 года. Это привело к разрыву контрактов, отсутствию возможности легально приобретать новые лицензии и, что критично, к прекращению технической поддержки и поставок обновлений безопасности, что официально лишило продукты VMware статуса защищённого ПО.

Рекомендации ФСТЭК по VMware стали частью серии аналогичных документов, выпущенных для ключевого импортного корпоративного ПО, оставшегося без поддержки. Ранее служба уже публиковала инструкции по безопасной эксплуатации SAP-систем в аналогичных условиях.

Таким образом, документ представляет собой исчерпывающее руководство по «консервации» и максимальному укреплению безопасности виртуальной инфраструктуры VMware, которая, несмотря на уход вендора, продолжает использоваться многими российскими организациями, в том числе и государственными.