Αναπτύξεις IaaS εσωτερικής εγκατάστασης: Διαχείριση ασφάλειας εικονικής μηχανής

Κατά την ανάπτυξη ενός υπολογιστικού νέφους εσωτερικής εγκατάστασης υποδομής ως υπηρεσία (IaaS), θα πρέπει να υπάρχει ένα ευρύ ζήτημα ασφάλειας, πράγμα που σημαίνει ότι ο οργανισμός πρέπει να εξετάσει όχι μόνο την τήρηση των βέλτιστων πρακτικών ασφαλείας, αλλά και τη συμμόρφωση με τις κανονιστικές απαιτήσεις.

Σε αυτό το άρθρο, θα συζητήσουμε πώς να ελέγχετε τις παρουσίες εικονικών μηχανών, τις πλατφόρμες διαχείρισης και την υποδομή δικτύου και αποθήκευσης που υποστηρίζει υλοποιήσεις IaaS.

Παρουσίες εικονικής μηχανής

Πρώτον, το λειτουργικό σύστημα και οι εφαρμογές της εικονικής μηχανής (VM) πρέπει να κλειδωθούν και να ρυθμιστούν σωστά χρησιμοποιώντας υπάρχοντες κανόνες, όπως οι οδηγίες διαμόρφωσης από το Κέντρο Ασφάλειας Διαδικτύου (CIS). Η σωστή διαχείριση VM οδηγεί επίσης σε ορισμένα πιο ισχυρά και συνεπή μέτρα διαχείρισης διαμόρφωσης.

Το κλειδί για τη δημιουργία και τη διαχείριση διαμορφώσεων ασφαλείας σε παρουσίες εικονικών μηχανών είναι η χρήση προτύπων. Είναι συνετό για τους διαχειριστές να δημιουργήσουν μια «χρυσή εικόνα» για την προετοιμασία όλων των εικονικών μηχανών στο cloud computing. Θα πρέπει να βασίσει αυτό το πρότυπο και να εφαρμόσει αυστηρούς ελέγχους αναθεώρησης για να διασφαλίσει ότι όλες οι ενημερώσεις κώδικα και άλλες ενημερώσεις εφαρμόζονται έγκαιρα.

Πολλές πλατφόρμες εικονικοποίησης παρέχουν συγκεκριμένους ελέγχους για τη διασφάλιση της ασφάλειας των εικονικών μηχανών. Οι εταιρικοί χρήστες θα πρέπει σίγουρα να κάνουν πλήρη χρήση αυτών των δυνατοτήτων. Για παράδειγμα, οι ρυθμίσεις διαμόρφωσης εικονικής μηχανής της VMware περιορίζουν συγκεκριμένα τις λειτουργίες αντιγραφής και επικόλλησης μεταξύ της εικονικής μηχανής και του υποκείμενου hypervisor, κάτι που μπορεί να βοηθήσει στην αποτροπή αντιγραφής ευαίσθητων δεδομένων στη μνήμη και το πρόχειρο του hypervisor. Τα προϊόντα πλατφόρμας Microsoft Corporation και Citrix System προσφέρουν παρόμοια περιορισμένη λειτουργία αντιγραφής-επικόλλησης. Άλλες πλατφόρμες παρέχουν επίσης λειτουργίες που βοηθούν τις επιχειρήσεις να απενεργοποιήσουν τις περιττές συσκευές, να ορίσουν παραμέτρους καταγραφής και πολλά άλλα.

Επίσης, όταν ασφαλίζετε παρουσίες εικονικών μηχανών, φροντίστε να απομονώνετε εικονικές μηχανές που εκτελούνται σε διαφορετικές περιοχές υπολογιστικού νέφους σύμφωνα με τις τυπικές αρχές ταξινόμησης δεδομένων. Επειδή οι εικονικές μηχανές μοιράζονται πόρους υλικού, η εκτέλεσή τους στην ίδια περιοχή υπολογιστικού νέφους μπορεί να οδηγήσει σε συγκρούσεις δεδομένων στη μνήμη, αν και η πιθανότητα τέτοιων συγκρούσεων είναι εξαιρετικά χαμηλή σήμερα.

Πλατφόρμα διαχείρισης

Το δεύτερο κλειδί για την ασφάλεια ενός εικονικού περιβάλλοντος είναι η ασφάλεια της πλατφόρμας διαχείρισης που αλληλεπιδρά με την εικονική μηχανή και διαμορφώνει και παρακολουθεί το υποκείμενο σύστημα hypervisor που χρησιμοποιείται.

Αυτές οι πλατφόρμες, όπως το vCenter της VMware, το System Center Virtual Machine Manager (SCVMM) της Microsoft και το XenCenter της Citrix, διαθέτουν τους δικούς τους ελέγχους ασφαλείας εσωτερικής εγκατάστασης που μπορούν να εφαρμοστούν. Για παράδειγμα, το Vcenter εγκαθίσταται συχνά στα Windows και κληρονομεί τον ρόλο τοπικού διαχειριστή με δικαιώματα συστήματος, εκτός εάν τροποποιηθούν οι σχετικοί ρόλοι και τα δικαιώματα κατά τη διαδικασία εγκατάστασης.

Όσον αφορά τα εργαλεία διαχείρισης, η διασφάλιση της ασφάλειας της βάσης δεδομένων διαχείρισης είναι πρωταρχικής σημασίας, αλλά πολλά προϊόντα δεν διαθέτουν ενσωματωμένη ασφάλεια από προεπιλογή. Το πιο σημαντικό είναι ότι οι ρόλοι και τα δικαιώματα πρέπει να εκχωρούνται σε διαφορετικούς λειτουργικούς ρόλους εντός της πλατφόρμας διαχείρισης. Ενώ πολλοί οργανισμοί διαθέτουν μια ομάδα εικονικοποίησης που διαχειρίζεται λειτουργίες εικονικής μηχανής εντός του cloud IaaS, η μη εκχώρηση πάρα πολλών δικαιωμάτων στην κονσόλα διαχείρισης είναι το κλειδί. Συνιστώ να εκχωρήσετε δικαιώματα σε αποθήκευση, δικτύωση, διαχείριση συστήματος και άλλες ομάδες, όπως θα κάνατε σε ένα παραδοσιακό περιβάλλον κέντρου δεδομένων.

Για εργαλεία διαχείρισης cloud, όπως το vCloud Director και το OpenStack, οι ρόλοι και τα δικαιώματα θα πρέπει να εκχωρούνται προσεκτικά και να περιλαμβάνονται διαφορετικοί τελικοί χρήστες εικονικών μηχανών cloud. Για παράδειγμα, η ομάδα ανάπτυξης θα πρέπει να διαθέτει εικονικές μηχανές για τις εργασίες της που θα πρέπει να είναι απομονωμένες από τις εικονικές μηχανές που χρησιμοποιούνται από την οικονομική ομάδα.

Όλα τα εργαλεία διαχείρισης θα πρέπει να είναι απομονωμένα σε ξεχωριστό τμήμα δικτύου και είναι καλή ιδέα να απαιτείται πρόσβαση σε αυτά τα συστήματα μέσω ενός "jump box" ή μιας αποκλειστικής ασφαλούς πλατφόρμας διακομιστή μεσολάβησης, όπως το HyTrust, όπου μπορείτε να δημιουργήσετε ισχυρό έλεγχο ταυτότητας και κεντρική παρακολούθηση χρηστών.

Υποδομή δικτύου και αποθήκευσης

Ενώ η ασφάλεια του δικτύου και της αποθήκευσης που προάγει το cloud computing IaaS είναι μια ευρεία εργασία, υπάρχουν ορισμένες γενικές βέλτιστες πρακτικές που πρέπει να εφαρμοστούν.

Για περιβάλλοντα αποθήκευσης, να θυμάστε ότι όπως κάθε άλλο ευαίσθητο αρχείο, πρέπει να προστατεύσετε την εικονική σας μηχανή. Ορισμένα αρχεία αποθηκεύουν έγκυρη μνήμη ή στιγμιότυπα μνήμης (τα οποία μπορεί να είναι τα πιο ευαίσθητα, όπως αυτά που μπορεί να περιέχουν διαπιστευτήρια χρήστη και άλλα ευαίσθητα δεδομένα), ενώ άλλα αντιπροσωπεύουν τον πλήρη σκληρό δίσκο του συστήματος. Και στις δύο περιπτώσεις, το αρχείο περιέχει ευαίσθητα δεδομένα. Είναι σημαντικό οι ξεχωριστοί λογικοί αριθμοί μονάδων (LUN) και οι ζώνες/τομείς σε ένα περιβάλλον αποθήκευσης να μπορούν να απομονώσουν συστήματα με διαφορετικές ευαισθησίες. Εάν υπάρχει διαθέσιμη κρυπτογράφηση σε επίπεδο δικτύου περιοχής αποθήκευσης (SAN), εξετάστε εάν ισχύει.

Από την πλευρά του δικτύου, είναι σημαντικό να διασφαλιστεί ότι τα μεμονωμένα τμήματα CIDR είναι απομονωμένα και υπό τον έλεγχο εικονικών τοπικών δικτύων (VLAN) και ελέγχων πρόσβασης. Εάν οι λεπτομερείς έλεγχοι ασφαλείας είναι απαραίτητοι σε ένα εικονικό περιβάλλον, τότε οι επιχειρήσεις μπορούν να εξετάσουν το ενδεχόμενο χρήσης εικονικών τειχών προστασίας και εικονικών συσκευών ανίχνευσης εισβολής. Η ίδια η πλατφόρμα vCloud της VMware είναι ενσωματωμένη με την εγκατάσταση εικονικής ασφάλειας vShield, ενώ διατίθενται και άλλα προϊόντα από παραδοσιακούς προμηθευτές δικτύου. Επιπλέον, θα πρέπει να εξετάσετε τμήματα δικτύου όπου ευαίσθητα δεδομένα εικονικής μηχανής μπορούν να μεταδοθούν σε απλό κείμενο, όπως δίκτυα vMotion. Σε αυτό το περιβάλλον VMware, τα δεδομένα μνήμης απλού κειμένου μεταφέρονται από τον έναν υπερεπόπτη στον άλλο, καθιστώντας τα ευαίσθητα δεδομένα ευάλωτα σε διαρροές.

συμπέρασμα

Όταν πρόκειται για την ασφάλεια εικονικών περιβαλλόντων ή ιδιωτικού υπολογιστικού νέφους IaaS, οι έλεγχοι σε αυτούς τους τρεις τομείς είναι μόνο η κορυφή του παγόβουνου. Για περισσότερες πληροφορίες, η VMware διαθέτει μια σειρά από εις βάθος πρακτικούς οδηγούς σκλήρυνσης για την αξιολόγηση συγκεκριμένων στοιχείων ελέγχου και το OpenStack παρέχει έναν οδηγό ασφαλείας στον ιστότοπό του. Ακολουθώντας ορισμένες βασικές πρακτικές, οι επιχειρήσεις μπορούν να δημιουργήσουν το δικό τους εσωτερικό cloud computing IaaS και να διασφαλίσουν ότι μπορούν να πληρούν τα δικά τους πρότυπα και όλες τις άλλες απαραίτητες απαιτήσεις του κλάδου.