Runecast Analyzer prüft bestehende VMware Infrastrukturen auf bekannte Probleme aus der VMware Knowledgebase, Hardware-Kompatibilität, Übereinstimmung mit dem VMware Best-Practise-Guide und auch gegen diverse Sicherheitsleitfäden wie z.B. DISA STIG, PCI DSS und HIPAA. In der aktuellen Version ist jetzt auch der Grundschutz-Katalog des BSI enthalten. Für das im deutschen Raum sehr starke Runecast war dies ein wichtiger Schritt. Vor allem dort ist Runecast beliebt, weil es völlig offline arbeiten kann. Es erfolgt keine Datenübertragung in die Cloud. Wer möchte, kann auch die Appliance und die Signatur-Datenbank per ISO Image offline aktualisieren.
Zur allen neuen Fuktionen bietet Runecast am 23. Oktober 2019 10:00 Uhr (MESZ) ein Webinar mit dem Titel “BSI IT-Grundschutz Automation within Runecast Analyzer 3.1.” an. Die Teilnahme ist kostenlos, aber wertvoll. Stanimir Markov (CEO) und Robert Berger zeigen die neuesten Features in einer Livedemo.
Update
Bestehende Appliances aktualisieren sich normalerweise automatisch in einem vom Benutzer bestimmeten Zeitfenster. Wer das Update forcieren will, kann dies über die Konsole der Appliance erledigen.
Die oben dargestellte installation würde sich in der kommenden Nacht aktualisieren, da ich sie auf automatische Updates eingestellt habe. Ich zeige hier, wie man es manuell triggern kann. Dazu öffnet man die Runecast Aplliance in der Web- oder Remotekonsole und loggt sich als User “rcadmin” ein (Standard-Kennwort: “admin”).
Im Menü navigiert man per Pfeltasten zu “Updates” und selektiert auf der rechten Seite “Check for Updates and Install”.
Der Vorgang dauert nur wenige Minuten und erfordert am Ende einen Neustart der Appliance.
Nach dem Reboot kann man erneut das Webinterface aufrufen und die Version prüfen.
BSI Grundschutz
Den neuen BSI Grundschutz Katalog muss man in den Einstellungen zunächst auswählen. Settings > Security Compliance.
Über Edit lassen sich die verfügbaren Compliance Standards auswählen.
Der neue Compliance Standard findet sich danach im Dashboard unter “Security Hardening”.
Wählt man den neuen Standard aus, so ist die Liste zunächst leer, weil unter Umständen seither noch kein Analyselauf stattgefunden hat. Runecast macht diese in der Regel einmal täglich, oder durch manuellen Aufruf.
Mit “Analyze now” wird ein Scan ausgelöst, der je nach Größe der Umgebung einige Minuten dauern kann.
Wie auch in anderen Modulen werden zunächt die nicht bestandenen Tests aufgelistet und nach Schweregrad sortiert. Im hinteren Teil der Liste finden sich die bestanden Prüfungen.
Die Details liefern eine kurze Übersicht des Problems, sowie einen Hyperlink zum BSI Grundschutz Dokument. Unter “Findings” erhält man informationen darüber, welche Hosts oder welche VMs davon betroffen sind.
Man muss nicht alle Empfehlungen umsetzen. Das Beispiel im Bild oben liess mich etwas schmunzeln. Dort wird bemängelt, dass das Betriebsystem nicht dem EAL 4 Standard entspricht. Das bedeutet, die Software muss “methodisch entwickelt, getestet und durchgesehen” sein. VMware ESXi 6.7 U3 gehört nicht dazu. Solche Tests sind sehr zeitintensiv und teuer. Somit ist es nicht verwunderlich, darin die aktuellste ESXi Version nicht zu finden. Unter den EAL4 zertifizierten Systemen befinden sich unter anderen Windows2000, XP, ESX3.5, oder ESX4.0. Ich werde das nicht weiter kommentieren. 🙂
Report
Sehr komfortabel ist die Report Funktion in Runecast Analyzer. Sämtliche gefundenen Übereinstimmungen oder Probleme werden wahlweise als PDF, CSV oder als Klartext in der Zwischenablage ausgegeben. Diese kann man für zukünftige Audits ablegen und wird dem Auditor sicher große Freude bereiten.
Links
- Runecast
- Runecast mit ESXi Upgrade Simulator – Elasticsky.de
- Troubleshooting Artikel im IT-Administrator Sonderheft