Локални внедрявания на IaaS: Управление на сигурността на виртуалните машини

При внедряване на локални облачни изчисления с инфраструктура като услуга (IaaS) трябва да има широк аспект на сигурността, което означава, че организацията трябва да обмисли не само спазването на най-добрите практики за сигурност, но и спазването на регулаторните изисквания.

В тази статия ще обсъдим как да се контролират инстанции на виртуални машини, управленски платформи, както и мрежовата и инфраструктурата за съхранение, която поддържа IaaS имплементации.

Инстанции на виртуални машини

Първо, операционната система и приложенията на виртуалната машина (VM) трябва да бъдат заключени и правилно конфигурирани според съществуващите правила, като например указанията за конфигурация от Центъра за интернет сигурност (CIS). Правилното управление на виртуални машини води и до по-стабилни и последователни мерки за управление на конфигурацията.

Ключът към създаването и управлението на конфигурации за сигурност във виртуални машини е използването на шаблони. Разумно е администраторите да създадат "златен образ" за инициализация на всички виртуални машини в облачните изчисления. Той трябва да създаде основите на този шаблон и да приложи строги контроли за ревизии, за да гарантира, че всички пачове и други актуализации се прилагат навреме.

Много платформи за виртуализация предоставят специфични контроли, които гарантират сигурността на виртуалните машини; Корпоративните потребители трябва да се възползват максимално от тези функции. Например, настройките за конфигурация на виртуалните машини на VMware специално ограничават операциите по копиране и поставяне между виртуалната машина и подлежащия хипервизьор, което може да помогне да се предотврати копирането на чувствителни данни в паметта и клипборда на хипервизьора. Продуктите на Microsoft Corporation и платформите Citrix System предлагат подобна ограничена функционалност за копиране и поставяне. Други платформи също предоставят функции, които помагат на бизнеса да деактивира ненужните устройства, да задава параметри за логване и други.

Също така, при осигуряване на инстанции на виртуални машини, уверете се, че изолирате виртуални машини, работещи в различни облачни изчислителни региони, според стандартните принципи на класификация на данните. Тъй като виртуалните машини споделят хардуерни ресурси, изпълнението им в един и същи облачен регион може да доведе до сблъсъци на данни в паметта, въпреки че вероятността за такива конфликти днес е изключително ниска.

Платформа за управление

Вторият ключ към осигуряването на виртуална среда е да се осигури управленската платформа, която взаимодейства с виртуалната машина и конфигурира и наблюдава използваната система с хипервизори.

Тези платформи, като vCenter на VMware, System Center Virtual Machine Manager (SCVMM) на Microsoft и XenCenter на Citrix, имат собствени локални контроли за сигурност, които могат да бъдат реализирани. Например, Vcenter често се инсталира на Windows и наследява ролята на локален администратор със системни привилегии, освен ако съответните роли и разрешения не бъдат променени по време на инсталацията.

Що се отнася до инструментите за управление, осигуряването на сигурността на управленската база данни е от първостепенно значение, но много продукти по подразбиране нямат вградена сигурност. Най-важното е, че ролите и разрешенията трябва да бъдат разпределени на различни оперативни роли в рамките на управленската платформа. Въпреки че много организации имат екип за виртуализация, който управлява операциите с виртуални машини в IaaS облака, ключово е да не се предоставят твърде много разрешения в конзолата за управление. Препоръчвам да се предоставят разрешения на отдели за съхранение, мрежи, системна администрация и други екипи, точно както бихте направили в традиционна среда на център за данни.

За инструменти за управление на облака като vCloud Director и OpenStack, ролите и разрешенията трябва да бъдат внимателно разпределени, а различни крайни потребители на облачните виртуални машини трябва да бъдат включени. Например, екипът по разработка трябва да разполага с виртуални машини за своите работни задачи, които трябва да бъдат изолирани от виртуалните машини, използвани от финансовия екип.

Всички инструменти за управление трябва да бъдат изолирани в отделен мрежов сегмент и е добра идея да се изисква достъп до тези системи чрез "jump box" или специализирана сигурна прокси платформа като HyTrust, където можете да установите силна автентикация и централизиран мониторинг на потребителите.

Мрежа и инфраструктура за съхранение

Въпреки че осигуряването на мрежата и съхранението, които развиват IaaS облачните изчисления, е широка задача, има някои общи добри практики, които трябва да бъдат приложени.

За средите за съхранение помнете, че както при всеки друг чувствителен файл, трябва да защитите виртуалната си машина. Някои файлове съхраняват валидни снимки от паметта или паметта (които може да са най-чувствителни, като тези, които съдържат потребителски данни и други чувствителни данни), докато други представляват целия твърд диск на системата. И в двата случая файлът съдържа чувствителни данни. Критично е отделните логически единици (LUN) и зони/домейни в среда за съхранение да изолират системи с различна чувствителност. Ако е налично криптиране на ниво мрежа за съхранение (SAN), разгледайте дали е приложимо.

От гледна точка на мрежата е важно да се гарантира, че отделните CIDR сегменти са изолирани и под контрола на виртуални локални мрежи (VLAN) и контрол на достъпа. Ако прецизните контроли за сигурност са задължителни във виртуална среда, тогава предприятията могат да обмислят използването на виртуални защитни стени и устройства за откриване на виртуални прониквания. Самата платформа vCloud на VMware е интегрирана с виртуалната им охранителна функция vShield, докато други продукти от традиционни мрежови доставчици също са налични. Освен това трябва да обмислите мрежови сегменти, където чувствителни данни от виртуални машини могат да се предават в открит текст, като например vMotion мрежи. В тази среда на VMware данните от открития текст в паметта се прехвърлят от един хипервизор към друг, което прави чувствителните данни уязвими към изтичане.

извод

Когато става въпрос за защита на виртуални среди или IaaS частни облачни изчисления, контролите в тези три области са само върхът на айсберга. За повече информация, VMware предлага поредица от задълбочени практически ръководства за закаляване за оценка на конкретни контроли, а OpenStack предоставя ръководство за сигурност на своя уебсайт. Следвайки някои основни практики, бизнесите могат да изградят собствени вътрешни IaaS облачни изчисления и да гарантират, че отговарят на собствените си стандарти и всички други необходими индустриални изисквания.