|
Kohapealse infrastruktuuri-teenusena (IaaS) pilvearvutuse juurutamisel peaks olema lai turvalisuse kaalutlus, mis tähendab, et organisatsioon peab arvestama mitte ainult parimate turvatavade täitmisega, vaid ka regulatiivsete nõuete täitmisega. Selles artiklis käsitleme, kuidas juhtida virtuaalmasinate instantse, haldusplatvorme ning võrgu- ja salvestusinfrastruktuuri, mis toetab IaaS-i rakendusi. Virtuaalmasina eksemplarid Esiteks tuleb virtuaalmasina (VM) operatsioonisüsteem ja rakendused olla lukustatud ning korrektselt seadistatud olemasolevate reeglite, näiteks Internet Security Centeri (CIS) seadistusjuhiste järgi. Õige VM-i haldus toob kaasa ka mõningaid tugevamaid ja järjepidevamaid konfiguratsioonihalduse meetmeid. Virtuaalmasinate instantside turvakonfiguratsioonide loomise ja haldamise võti on mallide kasutamine. Administraatoritel on tark luua "kuldne kujutis" kõigi virtuaalmasinate initsialiseerimiseks pilvearvutuses. Ta peaks selle malli põhistama ja rakendama rangeid paranduskontrolli, et tagada kõigi paranduste ja uuenduste õigeaegne rakendamine. Paljud virtualiseerimisplatvormid pakuvad spetsiifilisi kontrollimeetmeid virtuaalmasinate turvalisuse tagamiseks; Ettevõtte kasutajad peaksid kindlasti neid funktsioone täielikult kasutama. Näiteks VMware virtuaalmasina konfiguratsiooniseaded piiravad konkreetselt kopeerimis- ja kleebimistoiminguid virtuaalmasina ja aluseks oleva hüperviisori vahel, mis aitab takistada tundlike andmete kopeerimist hüperviisori mällu ja lõikelauda. Microsoft Corporation ja Citrix System platvormitooted pakuvad sarnast piiratud kopeerimis-kleepi funktsionaalsust. Teised platvormid pakuvad samuti funktsioone, mis aitavad ettevõtetel ebavajalikke seadmeid välja lülitada, logiparameetreid määrata ja palju muud. Samuti, virtuaalmasinate instantside turvamisel veendu, et isoleerid virtuaalmasinad, mis töötavad erinevates pilvearvutuspiirkondades vastavalt standardandmeklassifikatsiooni põhimõtetele. Kuna virtuaalmasinad jagavad riistvaralisi ressursse, võib nende käivitamine samas pilvearvutuse piirkonnas põhjustada andmete kokkupõrkeid mälus, kuigi selliste konfliktide tõenäosus on tänapäeval äärmiselt väike. Juhtimisplatvorm Teine võti virtuaalse keskkonna turvamiseks on haldusplatvormi turvamine, mis suhtleb virtuaalmasinaga ning konfigureerib ja jälgib kasutatavat hüperviisori süsteemi. Need platvormid, nagu VMware vCenter, Microsofti System Center Virtual Machine Manager (SCVMM) ja Citrixi XenCenter, on varustatud oma kohapealsete turvakontrollidega, mida saab rakendada. Näiteks on Vcenter sageli paigaldatud Windowsi ja pärib kohaliku administraatori rolli koos süsteemiõigustega, välja arvatud juhul, kui vastavaid rolle ja õigusi muudetakse paigaldusprotsessi käigus. Haldustööriistade puhul on haldusandmebaasi turvalisuse tagamine esmatähtis, kuid paljudel toodetel puudub vaikimisi sisseehitatud turvalisus. Kõige olulisem on see, et rollid ja õigused tuleb määrata erinevatele operatiivsetele rollidele haldusplatvormil. Kuigi paljudel organisatsioonidel on virtualiseerimismeeskond, kes haldab virtuaalmasinate toiminguid IaaS pilves, on halduskonsoolis liiga paljude õiguste mitte andmine võtmetähtsusega. Soovitan anda õigusi salvestus-, võrgu-, süsteemiadministraatori- ja teistele meeskondadele, täpselt nagu traditsioonilises andmekeskuse keskkonnas. Pilvehaldustööriistade, nagu vCloud Director ja OpenStack, puhul tuleks rollid ja õigused hoolikalt määrata ning kaasata erinevad pilvevirtuaalmasinate lõppkasutajad. Näiteks peaks arendusmeeskonnal olema virtuaalmasinad oma tööülesannete jaoks, mis peaksid olema eraldatud finantsmeeskonna kasutatavatest virtuaalmasinatest. Kõik haldustööriistad peaksid olema eraldatud eraldi võrgusegmendis ning on hea mõte nõuda ligipääsu nendele süsteemidele läbi "hüppekasti" või spetsiaalse turvalise proxy-platvormi, näiteks HyTrusti, kus saab luua tugeva autentimise ja tsentraliseeritud kasutajate jälgimise. Võrgu- ja salvestusinfrastruktuur Kuigi võrgu ja salvestuse turvalisus, mis arendab IaaS pilvearvutust, on lai ülesanne, on olemas mõned üldised parimad praktikad, mida tuleks rakendada. Salvestuskeskkondade puhul pea meeles, et nagu iga teise tundliku faili puhul, pead ka oma virtuaalmasinat kaitsma. Mõned failid salvestavad kehtivaid mälu- või mäluhetktõmmisi (mis võivad olla kõige tundlikumad, näiteks need, mis võivad sisaldada kasutajatunnuseid ja muid tundlikke andmeid), samas kui teised esindavad süsteemi täiskõvaketast. Mõlemal juhul sisaldab fail tundlikke andmeid. On ülioluline, et eraldi loogilised ühikunumbrid (LUN-id) ja tsoonid/domeenid salvestuskeskkonnas suudaksid isoleerida süsteeme, millel on erinev tundlikkus. Kui salvestusvõrgu (SAN) tasemel krüpteerimine on saadaval, kaaluge, kas see on rakendatav. Võrgu poolel on oluline tagada, et üksikud CIDR-segmendid oleksid isoleeritud ja virtuaalsete kohalike võrkude (VLANide) ning juurdepääsukontrollide kontrolli all. Kui peened turvakontrollid on virtuaalses keskkonnas hädavajalikud, võivad ettevõtted kaaluda virtuaalsete tulemüüride ja virtuaalsete sissetungide tuvastamise seadmete kasutamist. VMware vCloud platvorm ise on integreeritud vShieldi virtuaalse turvasüsteemiga, samas on saadaval ka teised traditsiooniliste võrgutootjate tooted. Lisaks tuleks arvestada võrgusegmente, kus tundlikke virtuaalmasinate andmeid võib edastada lihtsas tekstis, näiteks vMotion võrgud. Selles VMware keskkonnas kantakse selgesõnalised mäluandmed ühest hüperviisorist teise, muutes tundlikud andmed lekkimisele haavatavaks. Järeldus Kui rääkida virtuaalkeskkondade või IaaS-i privaatse pilvearvutuse turvalisusest, on nende kolme valdkonna kontrollid vaid jäämäe tipp. Lisainfo saamiseks on VMware'il mitmeid põhjalikke tugevdamise praktilisi juhendeid konkreetsete juhtimisseadmete hindamiseks ning OpenStack pakub oma veebilehel turvajuhendit. Järgides mõningaid põhilisi praktikaid, saavad ettevõtted luua oma sisemise IaaS pilvandmetöötluse ning tagada, et nad suudavad täita oma standardeid ja kõiki teisi vajalikke tööstuse nõudeid.
| 
Postitatud 20.10.2014 10:49:09
|
|
|
