|
Bei der Einführung eines On-Premises Infrastructure-as-a-Service (IaaS) Cloud-Computings sollte ein breiter Sicherheitsaspekt berücksichtigt werden, was bedeutet, dass die Organisation nicht nur die Einhaltung von Sicherheitsbest-Practices, sondern auch die Einhaltung regulatorischer Anforderungen berücksichtigen muss. In diesem Artikel besprechen wir, wie man virtuelle Maschineninstanzen, Managementplattformen sowie die Netzwerk- und Speicherinfrastruktur steuert, die IaaS-Implementierungen unterstützt. Virtuelle Maschinen-Instanzen Erstens müssen das Betriebssystem und die Anwendungen der virtuellen Maschine (VM) gesperrt und entsprechend bestehenden Regeln konfiguriert werden, wie etwa den Konfigurationsrichtlinien des Internet Security Center (CIS). Eine ordnungsgemäße VM-Verwaltung führt auch zu robusteren und konsistenteren Maßnahmen zum Konfigurationsmanagement. Der Schlüssel zur Erstellung und Verwaltung von Sicherheitskonfigurationen auf virtuellen Maschineninstanzen ist die Verwendung von Vorlagen. Es ist ratsam, dass Administratoren ein "goldenes Image" erstellen, um alle virtuellen Maschinen im Cloud-Computing zu initialisieren. Er sollte diese Vorlage als Grundlage festlegen und strenge Versionskontrollen implementieren, um sicherzustellen, dass alle Patches und anderen Updates zeitnah angewendet werden. Viele Virtualisierungsplattformen bieten spezifische Kontrollen, um die Sicherheit virtueller Maschinen zu gewährleisten; Unternehmensanwender sollten diese Funktionen auf jeden Fall voll nutzen. Beispielsweise schränken die Konfigurationseinstellungen von VMware die virtuellen Maschinen speziell Kopier- und Einfügungsoperationen zwischen der virtuellen Maschine und dem zugrunde liegenden Hypervisor ein, was helfen kann, zu verhindern, dass sensible Daten in den Speicher und die Zwischenablage des Hypervisors kopiert werden. Microsoft Corporation und Citrix System-Plattformen bieten ähnlich eingeschränkte Copy-Paste-Funktionalität. Andere Plattformen bieten außerdem Funktionen, die Unternehmen helfen, unnötige Geräte zu deaktivieren, Logging-Parameter einzustellen und mehr. Außerdem sollten Sie beim Absichern virtueller Maschinen-Instanzen virtuelle Maschinen isolieren, die in verschiedenen Cloud-Computing-Regionen gemäß den Standard-Datenklassifikationsprinzipien laufen. Da virtuelle Maschinen Hardwareressourcen teilen, kann deren Betrieb in derselben Cloud-Computing-Region zu Datenkollisionen im Speicher führen, obwohl die Wahrscheinlichkeit solcher Konflikte heute äußerst gering ist. Managementplattform Der zweite Schlüssel zur Sicherung einer virtuellen Umgebung besteht darin, die Managementplattform zu sichern, die mit der virtuellen Maschine interagiert und das zugrundeliegende Hypervisorsystem konfiguriert sowie überwacht. Diese Plattformen, wie VMwares vCenter, Microsofts System Center Virtual Machine Manager (SCVMM) und Citrix XenCenter, verfügen über eigene Sicherheitsmaßnahmen vor Ort, die implementiert werden können. Zum Beispiel wird Vcenter oft unter Windows installiert und erbt die lokale Administratorrolle mit Systemrechten, es sei denn, die relevanten Rollen und Berechtigungen werden während des Installationsprozesses geändert. Wenn es um Verwaltungstools geht, ist die Sicherheit der Verwaltungsdatenbank von größter Bedeutung, aber viele Produkte verfügen standardmäßig nicht über eingebaute Sicherheit. Am wichtigsten ist, dass Rollen und Berechtigungen verschiedenen operativen Rollen innerhalb der Managementplattform zugewiesen werden müssen. Während viele Organisationen ein Virtualisierungsteam haben, das die Operationen virtueller Maschinen innerhalb der IaaS-Cloud verwaltet, ist es entscheidend, nicht zu viele Berechtigungen in der Management-Konsole zu gewähren. Ich empfehle, Speicher-, Netzwerk-, Systemadministrations- und andere Teams Berechtigungen zu erteilen, genau wie in einer traditionellen Rechenzentrumsumgebung. Für Cloud-Management-Tools wie vCloud Director und OpenStack sollten Rollen und Berechtigungen sorgfältig zugewiesen werden, und verschiedene Endnutzer von Cloud-Virtual-Machines sollten einbezogen werden. Zum Beispiel sollte das Entwicklungsteam virtuelle Maschinen für seine Arbeitsaufgaben haben, die von den virtuellen Maschinen des Finanzteams isoliert sein sollten. Alle Verwaltungstools sollten in einem separaten Netzwerksegment isoliert sein, und es ist ratsam, Zugang zu diesen Systemen über eine "Jump Box" oder eine dedizierte sichere Proxy-Plattform wie HyTrust zu verlangen, wo Sie eine starke Authentifizierung und zentrale Benutzerüberwachung einrichten können. Netzwerk- und Speicherinfrastruktur Obwohl die Sicherung des Netzwerks und Speichers, die das IaaS-Cloud-Computing voranbringen, eine umfassende Aufgabe ist, gibt es einige allgemeine Best Practices, die umgesetzt werden sollten. Für Speicherumgebungen sollten Sie bedenken, dass Sie wie jede andere sensible Datei Ihre virtuelle Maschine schützen müssen. Einige Dateien speichern gültigen Speicher oder Speichersnapshots (die möglicherweise am sensibelsten sind, wie z. B. solche, die Benutzerzugangsdaten und andere sensible Daten enthalten), während andere die vollständige Festplatte des Systems darstellen. In beiden Fällen enthält die Datei sensible Daten. Es ist entscheidend, dass getrennte logische Einheitsnummern (LUNs) und Zonen/Domänen in einer Speicherumgebung Systeme mit unterschiedlichen Empfindlichkeiten isolieren können. Wenn eine Verschlüsselung auf Speicherflächennetzebene (SAN) verfügbar ist, sollten Sie prüfen, ob sie anwendbar ist. Auf Netzwerkseite ist es wichtig sicherzustellen, dass einzelne CIDR-Segmente isoliert und unter der Kontrolle virtueller lokaler Netzwerke (VLANs) und Zugriffskontrollen stehen. Wenn feine Sicherheitskontrollen in einer virtuellen Umgebung unerlässlich sind, können Unternehmen den Einsatz virtueller Firewalls und virtueller Eindringungserkennungsgeräte in Betracht ziehen. Die vCloud-Plattform von VMware selbst ist in die virtuelle Sicherheitseinrichtung vShield integriert, während auch andere Produkte traditioneller Netzwerkanbieter verfügbar sind. Außerdem sollten Sie Netzwerksegmente berücksichtigen, in denen sensible virtuelle Maschinendaten im Klartext übertragen werden können, wie z. B. vMotion-Netzwerke. In dieser VMware-Umgebung werden Klartextspeicherdaten von einem Hypervisor zum anderen übertragen, wodurch sensible Daten anfällig für Lecks sind. Schlussfolgerung Wenn es um die Sicherung virtueller Umgebungen oder IaaS Private Cloud Computing geht, sind die Kontrollen in diesen drei Bereichen nur die Spitze des Eisbergs. Für weitere Informationen bietet VMware eine Reihe ausführlicher praktischer Hardening-Anleitungen zur Bewertung spezifischer Steuerungen an, und OpenStack stellt auf seiner Website einen Sicherheitsleitfaden bereit. Durch die Einhaltung einiger grundlegender Praktiken können Unternehmen ihr eigenes internes IaaS-Cloud-Computing aufbauen und sicherstellen, dass sie ihre eigenen Standards und alle weiteren notwendigen Anforderungen der Branche erfüllen.
| 
Veröffentlicht am 20.10.2014 10:49:09
|
|
|
