|
Při nasazování on-premises infrastructure-as-service (IaaS) cloud computingu by mělo být zohledněno široké bezpečnostní zvážení, což znamená, že organizace musí nejen dodržovat bezpečnostní osvědčené postupy, ale také regulační požadavky. V tomto článku si pověsíme, jak ovládat instance virtuálních strojů, platformy pro správu a síťovou a úložnou infrastrukturu, která podporuje implementace IaaS. Instance virtuálních strojů Za prvé, operační systém a aplikace virtuálního stroje (VM) musí být uzamčeny a správně nakonfigurovány podle stávajících pravidel, například konfiguračních pokynů od Internet Security Center (CIS). Správná správa VM také vede k robustnějším a konzistentnějším opatřením pro správu konfigurace. Klíčem k vytváření a správě bezpečnostních konfigurací na instancích virtuálních strojů je použití šablon. Je rozumné, aby správci vytvořili "zlatý obraz" pro inicializaci všech virtuálních strojů v cloud computingu. Měl by tuto šablonu vytvořit jako základ a zavést přísné kontroly revizí, aby zajistil, že všechny záplaty a další aktualizace budou aplikovány včas. Mnoho virtualizačních platforem poskytuje specifické ovládací prvky pro zajištění bezpečnosti virtuálních strojů; Podnikové uživatelé by měli tyto funkce plně využívat. Například konfigurace virtuálního stroje ve VMware konkrétně omezují operace kopírování a vkládání mezi virtuálním strojem a podkladovým hypervizorem, což může pomoci zabránit kopírování citlivých dat do paměti a schránky hypervizoru. Platformy Microsoft Corporation a Citrix System nabízejí podobnou omezenou funkci kopírování a vkládání. Jiné platformy také nabízejí funkce, které firmám pomáhají deaktivovat zbytečná zařízení, nastavit parametry logování a další. Při zabezpečení instancí virtuálních strojů také nezapomeňte izolovat virtuální stroje běžící v různých oblastech cloud computingu podle standardních principů klasifikace dat. Protože virtuální stroje sdílejí hardwarové zdroje, jejich provoz ve stejném cloudovém regionu může vést ke kolizím dat v paměti, i když pravděpodobnost takových konfliktů je dnes extrémně nízká. Platforma pro správu Druhým klíčem k zabezpečení virtuálního prostředí je zabezpečení správcovské platformy, která komunikuje s virtuálním strojem a konfiguruje a monitoruje používaný hypervisorový systém. Tyto platformy, jako VMware vCenter, Microsoft System Center Virtual Machine Manager (SCVMM) a Citrix XenCenter, mají vlastní lokální bezpečnostní kontroly, které lze implementovat. Například Vcenter je často instalován na Windows a dědí roli lokálního správce se systémovými oprávněními, pokud nejsou během instalace změněny příslušné role a oprávnění. Pokud jde o nástroje pro správu, zajištění bezpečnosti databáze je zásadní, ale mnoho produktů nemá ve výchozím nastavení vestavěnou bezpečnost. Nejdůležitější je, aby role a oprávnění byla přiřazena různým provozním rolím v rámci platformy pro správu. Zatímco mnoho organizací má virtualizační tým, který spravuje provoz virtuálních strojů v rámci IaaS cloudu, klíčové je neudělovat příliš mnoho oprávnění v rámci řídicí konzole. Doporučuji udělovat oprávnění týmům pro úložiště, sítě, správu systémů a další, stejně jako byste to dělali v tradičním datovém centru. U nástrojů pro správu cloudu, jako jsou vCloud Director a OpenStack, by měly být role a oprávnění pečlivě přiřazeny a musí být zahrnuti různí koncoví uživatelé cloudových virtuálních strojů. Například vývojový tým by měl mít virtuální stroje pro své pracovní úkoly, které by měly být odděleny od virtuálních strojů používaných finančním týmem. Všechny nástroje správy by měly být izolovány v samostatném síťovém segmentu a je dobré vyžadovat přístup k těmto systémům prostřednictvím "jump boxu" nebo dedikované bezpečné proxy platformy, jako je HyTrust, kde můžete zřídit silné ověřování a centralizované monitorování uživatelů. Síťová a úložná infrastruktura Ačkoli je zabezpečení sítě a úložiště, které posouvají cloudové výpočty IaaS, široký úkol, existují některé obecné osvědčené postupy, které by měly být zavedeny. Pro úložná prostředí pamatujte, že stejně jako u jiných citlivých souborů musíte chránit svůj virtuální stroj. Některé soubory uchovávají platnou paměť nebo snímky z paměti (které mohou být nejcitlivější, například ty, které mohou obsahovat uživatelské přihlašovací údaje a další citlivá data), zatímco jiné představují celý pevný disk systému. V obou případech soubor obsahuje citlivá data. Je zásadní, aby samostatná logická jednotková čísla (LUN) a zóny/domény v úložném prostředí mohly izolovat systémy s různou citlivostí. Pokud je k dispozici šifrování na úrovni storage area network (SAN), zvažte, zda je použitelné. Na síťové straně je důležité zajistit, aby jednotlivé segmenty CIDR byly izolované a pod kontrolou virtuálních lokálních sítí (VLAN) a přístupových kontrol. Pokud jsou detailní bezpečnostní opatření ve virtuálním prostředí nutností, mohou podniky zvážit použití virtuálních firewallů a zařízení pro detekci virtuálních průniků. Samotná platforma VMware vCloud je integrována s virtuálním bezpečnostním zařízením vShield, přičemž jsou k dispozici i další produkty od tradičních síťových dodavatelů. Kromě toho byste měli zvážit segmenty sítí, kde mohou být citlivá data virtuálních strojů přenášena v otevřeném textu, například vMotion sítě. V tomto prostředí VMware jsou data z čisté textové paměti přenášena z jednoho hypervizoru na druhý, což činí citlivá data zranitelnými vůči únikům. závěr Pokud jde o zabezpečení virtuálních prostředí nebo IaaS privátního cloud computingu, ovládání v těchto třech oblastech je jen špičkou ledovce. Pro více informací má VMware sérii podrobných praktických příručk pro hodnocení specifických kontrol a OpenStack poskytuje bezpečnostní příručku na svých webových stránkách. Dodržováním základních postupů mohou firmy vytvořit vlastní interní IaaS cloud computing a zajistit, že splní své vlastní standardy a všechny ostatní nezbytné požadavky odvětví.
| 
Zveřejněno 20.10.2014 10:49:09
|
|
|
