|
Når man implementerer en on-premises infrastructure-as-a-service (IaaS) cloud computing, bør der være en bred sikkerhedsovervejelse, hvilket betyder, at organisationen ikke blot skal overholde sikkerhedsbedste praksis, men også overholde lovgivningsmæssige krav. I denne artikel vil vi diskutere, hvordan man kontrollerer virtuelle maskininstanser, administrationsplatforme samt netværks- og lagringsinfrastrukturen, der understøtter IaaS-implementeringer. Virtuelle maskininstanser For det første skal operativsystemet og applikationerne i den virtuelle maskine (VM) låses ned og konfigureres korrekt ved hjælp af eksisterende regler, såsom konfigurationsretningslinjerne fra Internet Security Center (CIS). Korrekt VM-administration resulterer også i nogle mere robuste og konsistente konfigurationsstyringsforanstaltninger. Nøglen til at skabe og administrere sikkerhedskonfigurationer på virtuelle maskininstanser er brugen af skabeloner. Det er klogt for administratorer at skabe et "gyldent billede" til initialisering af alle virtuelle maskiner i cloud computing. Han bør lægge en grundlæggende skabelon og implementere strenge revisionskontroller for at sikre, at alle patches og andre opdateringer implementeres rettidigt. Mange virtualiseringsplatforme tilbyder specifikke kontroller for at sikre sikkerheden af virtuelle maskiner; Erhvervsbrugere bør bestemt udnytte disse funktioner fuldt ud. For eksempel begrænser VMwares konfigurationsindstillinger for virtuelle maskiner specifikt kopierings- og indsætningsoperationer mellem den virtuelle maskine og den underliggende hypervisor, hvilket kan hjælpe med at forhindre, at følsomme data kopieres til hypervisorens hukommelse og udklipsholder. Microsoft Corporation og Citrix System-platforme tilbyder lignende begrænset copy-paste-funktionalitet. Andre platforme tilbyder også funktioner, der hjælper virksomheder med at deaktivere unødvendige enheder, sætte logningsparametre og mere. Når du sikrer virtuelle maskininstanser, skal du også sørge for at isolere virtuelle maskiner, der kører i forskellige cloud computing-regioner i henhold til standard dataklassifikationsprincipper. Fordi virtuelle maskiner deler hardwareressourcer, kan kørsel i samme cloud computing-område føre til datakollisioner i hukommelsen, selvom sandsynligheden for sådanne konflikter i dag er ekstremt lav. Ledelsesplatform Den anden nøgle til at sikre et virtuelt miljø er at sikre den administrationsplatform, der interagerer med den virtuelle maskine og konfigurerer og overvåger det underliggende hypervisorsystem, der er i brug. Disse platforme, såsom VMwares vCenter, Microsofts System Center Virtual Machine Manager (SCVMM) og Citrix' XenCenter, leveres med deres egne lokale sikkerhedskontroller, som kan implementeres. For eksempel installeres Vcenter ofte på Windows og arver den lokale administratorrolle med systemrettigheder, medmindre de relevante roller og tilladelser ændres under installationsprocessen. Når det gælder administrationsværktøjer, er det altafgørende at sikre administrationsdatabasens sikkerhed, men mange produkter har ikke indbygget sikkerhed som standard. Vigtigst af alt skal roller og tilladelser tildeles forskellige driftsroller inden for ledelsesplatformen. Selvom mange organisationer har et virtualiseringsteam, der håndterer virtuelle maskinoperationer i IaaS-skyen, er det afgørende ikke at give for mange tilladelser i administrationskonsollen. Jeg anbefaler at give tilladelser til lager-, netværks-, systemadministrations- og andre teams, ligesom man ville gøre i et traditionelt datacentermiljø. For cloud-administrationsværktøjer som vCloud Director og OpenStack bør roller og tilladelser tildeles omhyggeligt, og forskellige slutbrugere af cloud-virtuelle maskiner skal inkluderes. For eksempel bør udviklingsteamet have virtuelle maskiner til deres arbejdsopgaver, som skal isoleres fra de virtuelle maskiner, som finansteamet bruger. Alle administrationsværktøjer bør være isoleret i et separat netværkssegment, og det er en god idé at kræve adgang til disse systemer via en "jump box" eller en dedikeret sikker proxyplatform som HyTrust, hvor du kan etablere stærk autentificering og centraliseret brugerovervågning. Netværks- og lagringsinfrastruktur Selvom sikring af netværket og lageret, der fremmer IaaS cloud computing, er en bred opgave, er der nogle generelle bedste praksisser, der bør implementeres. For lagringsmiljøer skal du huske, at ligesom med enhver anden følsom fil, skal du beskytte din virtuelle maskine. Nogle filer gemmer gyldig hukommelse eller hukommelsessnapshots (som kan være de mest følsomme, såsom dem der kan indeholde brugerlegitimationsoplysninger og andre følsomme data), mens andre repræsenterer systemets fulde harddisk. I begge tilfælde indeholder filen følsomme data. Det er afgørende, at separate logiske enhedsnumre (LUNs) og zoner/domæner i et lagringsmiljø kan isolere systemer med forskellige følsomheder. Hvis kryptering på storage area network (SAN)-niveau er tilgængelig, bør du overveje, om den er anvendelig. På netværkssiden er det vigtigt at sikre, at individuelle CIDR-segmenter er isolerede og under kontrol af virtuelle lokalnetværk (VLANs) og adgangskontroller. Hvis fintsindede sikkerhedskontroller er nødvendige i et virtuelt miljø, kan virksomheder overveje at bruge virtuelle firewalls og virtuelle indtrængningsdetekteringsapparater. VMwares vCloud-platform er integreret med deres vShield virtuelle sikkerhedsfacilitet, mens andre produkter fra traditionelle netværksleverandører også er tilgængelige. Derudover bør du overveje netværkssegmenter, hvor følsomme virtuelle maskindata kan overføres i klartekst, såsom vMotion-netværk. I dette VMware-miljø overføres klarteksthukommelsesdata fra én hypervisor til en anden, hvilket gør følsomme data sårbare over for lækage. konklusion Når det gælder sikring af virtuelle miljøer eller IaaS privat cloud computing, er kontrollerne i disse tre områder kun toppen af isbjerget. For mere information har VMware en række dybdegående praktiske vejledninger til at evaluere specifikke kontroller, og OpenStack tilbyder en sikkerhedsguide på sin hjemmeside. Ved at følge nogle grundlæggende praksisser kan virksomheder opbygge deres egen interne IaaS cloud computing og sikre, at de kan opfylde deres egne standarder og alle andre nødvendige branchekrav.
| 
Opslået på 20/10/2014 10.49.09
|
|
|
