Paikalliset IaaS-käyttöönotot: Hallinnoi virtuaalikoneiden turvallisuutta

Paikallisen infrastruktuuri-palveluna (IaaS) -pilvipalveluiden käyttöönotossa tulisi ottaa huomioon laaja turvallisuusnäkökulma, mikä tarkoittaa, että organisaation on otettava huomioon paitsi parhaiden tietoturvakäytäntöjen täyttäminen myös sääntelyvaatimusten noudattaminen.

Tässä artikkelissa käsittelemme, miten hallita virtuaalikoneinstansseja, hallintaalustoja sekä verkko- ja tallennusinfrastruktuuria, joka tukee IaaS-toteutuksia.

Virtuaalikoneiden instanssit

Ensinnäkin virtuaalikoneen (VM) käyttöjärjestelmä ja sovellukset on lukittava ja konfiguroitava asianmukaisesti olemassa olevien sääntöjen, kuten Internet Security Centerin (CIS) konfigurointiohjeiden mukaisesti. Asianmukainen virtuaalikoneen hallinta johtaa myös entistä vahvempiin ja johdonmukaisempiin konfiguraation hallintatoimiin.

Avain turvaasetusten luomiseen ja hallintaan virtuaalikoneinstansseissa on mallipohjien käyttö. On viisasta, että ylläpitäjät luovat "kultaisen kuvan" kaikkien pilvipalveluiden virtuaalikoneiden alustamiseen. Hänen tulisi perustaa tämä malli ja ottaa käyttöön tiukat tarkistuskontrollit varmistaakseen, että kaikki päivitykset ja muut päivitykset otetaan käyttöön ajallaan.

Monet virtualisointialustat tarjoavat erityisiä kontrollijärjestelmiä virtuaalikoneiden turvallisuuden varmistamiseksi; Yrityskäyttäjien tulisi ehdottomasti hyödyntää näitä ominaisuuksia täysimääräisesti. Esimerkiksi VMwaren virtuaalikoneen konfiguraatioasetukset rajoittavat nimenomaan kopioimis- ja liitämistoimintoja virtuaalikoneen ja taustalla olevan hypervisorin välillä, mikä voi auttaa estämään arkaluontoisten tietojen kopioimisen hypervisorin muistiin ja lehtiöön. Microsoft Corporationin ja Citrix System -alustan tuotteet tarjoavat samankaltaisia rajoitettuja kopioi-liitä -toimintoja. Muut alustat tarjoavat myös ominaisuuksia, jotka auttavat yrityksiä poistamaan tarpeettomia laitteita, asettamaan lokitusparametreja ja muuta.

Myös virtuaalikoneiden instanssien suojaamisessa muista eristää virtuaalikoneet, jotka toimivat eri pilvipalvelualueilla standardien tietojen luokitteluperiaatteiden mukaisesti. Koska virtuaalikoneet jakavat laitteistoresursseja, niiden ajaminen samalla pilvilaskenta-alueella voi johtaa datatörmäyksiin muistissa, vaikka tällaisten ristiriitojen todennäköisyys on nykyään erittäin pieni.

Johtamisalusta

Toinen avain virtuaaliympäristön turvaamiseen on suojata hallintaalusta, joka on vuorovaikutuksessa virtuaalikoneen kanssa ja konfiguroi sekä valvoo käytössä olevaa hypervisorijärjestelmää.

Nämä alustat, kuten VMwaren vCenter, Microsoftin System Center Virtual Machine Manager (SCVMM) ja Citrixin XenCenter, sisältävät omat paikan päällä olevat tietoturvakontrollinsa, jotka voidaan toteuttaa. Esimerkiksi Vcenter asennetaan usein Windowsiin ja perii paikallisen ylläpitäjän roolin järjestelmäoikeuksineen, ellei asiaankuuluvia rooleja ja oikeuksia muuteta asennuksen aikana.

Hallintatyökalujen osalta hallintatietokannan turvallisuuden varmistaminen on ensiarvoisen tärkeää, mutta monissa tuotteissa ei ole oletuksena sisäänrakennettua tietoturvaa. Tärkeintä on, että roolit ja oikeudet on annettava eri operatiivisille rooleille hallinta-alustalla. Vaikka monilla organisaatioilla on virtualisointitiimi, joka hallinnoi virtuaalikoneiden operaatioita IaaS-pilvessä, on avainasemassa, ettei hallintakonsolissa myönnetä liikaa oikeuksia. Suosittelen myöntämään oikeudet tallennukseen, verkotukseen, järjestelmänhallintaan ja muihin tiimeihin, aivan kuten perinteisessä datakeskusympäristössä.

Pilvihallintatyökaluissa, kuten vCloud Directorissa ja OpenStackissa, roolit ja käyttöoikeudet tulisi jakaa huolellisesti, ja eri loppukäyttäjät on otettava mukaan pilvi-virtuaalikoneiden käyttäjiin. Esimerkiksi kehitystiimillä tulisi olla virtuaalikoneita työtehtäviinsä varten, jotka tulisi olla erillään taloustiimin käyttämistä virtuaalikoneista.

Kaikki hallintatyökalut tulisi olla erillään erillisessä verkkosegmentissä, ja on hyvä vaatia pääsy näihin järjestelmiin "jump boxin" tai omistetun turvallisen välityspalvelimen, kuten HyTrustin, kautta, jossa voit luoda vahvan tunnistautumisen ja keskitetyn käyttäjävalvonnan.

Verkko- ja tallennusinfrastruktuuri

Vaikka verkon ja tallennuksen turvaaminen, jotka edistävät IaaS-pilvipalveluita, on laaja tehtävä, on olemassa joitakin yleisiä parhaita käytäntöjä, jotka tulisi ottaa käyttöön.

Tallennusympäristöissä muista, että kuten minkä tahansa muun arkaluontoisen tiedoston kohdalla, sinun täytyy suojata virtuaalikonesi. Jotkut tiedostot tallentavat kelvollisia muisti- tai muistikuvakaappauksia (jotka voivat olla arkaluontoisimpia, kuten käyttäjätunnuksia ja muuta arkaluonteista dataa), kun taas toiset edustavat koko järjestelmän kiintolevyä. Molemmissa tapauksissa tiedosto sisältää arkaluonteisia tietoja. On kriittistä, että erilliset loogiset yksikköluvut (LUNit) ja vyöhykkeet/domainit tallennusympäristössä voivat eristää järjestelmät, joilla on erilaiset herkkyydet. Jos tallennusverkon (SAN) tason salaus on käytettävissä, harkitse, onko se sovellettavissa.

Verkon puolella on tärkeää varmistaa, että yksittäiset CIDR-segmentit ovat erillään ja virtuaalisten lähiverkkojen (VLAN) ja käyttöoikeuksien hallinnassa. Jos tarkat turvallisuuskontrollit ovat välttämättömiä virtuaaliympäristössä, yritykset voivat harkita virtuaalisten palomuurien ja virtuaalisten tunkeutumisen havaitsemislaitteiden käyttöä. VMwaren vCloud-alusta on integroitu sen vShield-virtuaaliturvallisuusjärjestelmään, ja myös muita perinteisten verkkotoimittajien tuotteita on saatavilla. Lisäksi kannattaa harkita verkkosegmenttejä, joissa arkaluontoista virtuaalikonedataa voidaan siirtää selväkielisenä, kuten vMotion-verkkoja. Tässä VMware-ympäristössä selväkieliset muistitiedot siirtyvät hypervisorista toiseen, mikä altistaa arkaluontoiset tiedot vuodoille.

johtopäätös

Kun kyse on virtuaaliympäristöjen tai IaaS:n yksityisen pilvipalveluiden turvaamisesta, näiden kolmen alueen ohjaus on vasta jäävuoren huippu. Lisätietoja varten VMwarella on sarja syvällisiä koventamiskäytännön oppaita tiettyjen ohjausten arviointiin, ja OpenStack tarjoaa tietoturvaoppaan verkkosivuillaan. Noudattamalla joitakin peruskäytäntöjä yritykset voivat rakentaa oman IaaS-pilvipalvelunsa ja varmistaa, että ne täyttävät omat standardinsa ja kaikki muut toimialan vaatimukset.