|
Lors du déploiement d’un cloud computing IaaS (infrastructure as-a-service sur site), il doit y avoir une considération large de sécurité, ce qui signifie que l’organisation doit non seulement respecter les meilleures pratiques de sécurité, mais aussi respecter les exigences réglementaires. Dans cet article, nous discuterons de la manière de contrôler les instances de machines virtuelles, les plateformes de gestion, ainsi que l’infrastructure réseau et de stockage qui supporte les implémentations IaaS. Instances de machines virtuelles Tout d’abord, le système d’exploitation et les applications de la machine virtuelle (VM) doivent être verrouillés et correctement configurés en utilisant les règles existantes, telles que les directives de configuration du Centre de sécurité Internet (CIS). Une bonne gestion des VM aboutit également à des mesures de gestion de configuration plus robustes et cohérentes. La clé pour créer et gérer des configurations de sécurité sur les instances de machines virtuelles est l’utilisation de modèles. Il est judicieux pour les administrateurs de créer une « image dorée » pour initialiser toutes les machines virtuelles en informatique en nuage. Il doit établir une base de ce modèle et mettre en place des contrôles stricts des révisions afin de garantir que tous les correctifs et autres mises à jour soient appliqués en temps voulu. De nombreuses plateformes de virtualisation fournissent des contrôles spécifiques pour garantir la sécurité des machines virtuelles ; Les utilisateurs d’entreprise devraient certainement tirer pleinement parti de ces fonctionnalités. Par exemple, les paramètres de configuration de la machine virtuelle de VMware restreignent spécifiquement les opérations de copier-coller entre la machine virtuelle et l’hyperviseur sous-jacent, ce qui peut aider à empêcher la copie de données sensibles dans la mémoire et le presse-papiers de l’hyperviseur. Les produits Microsoft Corporation et Citrix System System offrent une fonctionnalité limitée de copier-coller similaire. D’autres plateformes proposent également des fonctionnalités pour aider les entreprises à désactiver les appareils inutiles, définir les paramètres de journalisation, et plus encore. De plus, lors de la sécurisation des instances de machines virtuelles, veillez à isoler les machines virtuelles fonctionnant dans différentes régions de cloud computing selon les principes standards de classification des données. Parce que les machines virtuelles partagent des ressources matérielles, les faire fonctionner dans la même région de cloud computing peut entraîner des collisions de données en mémoire, bien que la probabilité de tels conflits soit aujourd’hui extrêmement faible. Plateforme de gestion La deuxième clé pour sécuriser un environnement virtuel est de sécuriser la plateforme de gestion qui interagit avec la machine virtuelle et configure et surveille le système d’hyperviseur sous-jacent en usage. Ces plateformes, telles que vCenter de VMware, le System Center Virtual Machine Manager (SCVMM) de Microsoft et XenCenter de Citrix, sont équipées de leurs propres contrôles de sécurité sur site qui peuvent être implémentés. Par exemple, Vcenter est souvent installé sur Windows et hérite du rôle d’administrateur local avec des privilèges système, sauf si les rôles et permissions pertinents sont modifiés lors du processus d’installation. En ce qui concerne les outils de gestion, garantir la sécurité de la base de données de gestion est primordial, mais de nombreux produits ne disposent pas de sécurité intégrée par défaut. Plus important encore, des rôles et des autorisations doivent être attribués à différents rôles opérationnels au sein de la plateforme de gestion. Bien que de nombreuses organisations disposent d’une équipe de virtualisation qui gère les opérations des machines virtuelles dans le cloud IaaS, il est essentiel de ne pas accorder trop d’autorisations dans la console de gestion. Je recommande d’accorder des autorisations au stockage, au réseau, à l’administration système et à d’autres équipes, comme vous le feriez dans un environnement de centre de données traditionnel. Pour les outils de gestion cloud tels que vCloud Director et OpenStack, les rôles et permissions doivent être soigneusement attribués, et différents utilisateurs finaux des machines virtuelles cloud doivent être inclus. Par exemple, l’équipe de développement devrait avoir des machines virtuelles pour ses tâches professionnelles, qui devraient être isolées des machines virtuelles utilisées par l’équipe financière. Tous les outils de gestion doivent être isolés dans un segment réseau séparé, et il est judicieux d’exiger l’accès à ces systèmes via une « jump box » ou une plateforme proxy sécurisée dédiée comme HyTrust, où vous pouvez établir une authentification forte et une surveillance centralisée des utilisateurs. Infrastructure réseau et stockage Bien que sécuriser le réseau et le stockage qui font progresser l’informatique en nuage IaaS soit une tâche vaste, il existe quelques bonnes pratiques générales à mettre en œuvre. Pour les environnements de stockage, rappelez-vous que, comme pour tout autre fichier sensible, vous devez protéger votre machine virtuelle. Certains fichiers stockent la mémoire valide ou des instantanés de mémoire (qui peuvent être les plus sensibles, comme ceux pouvant contenir des identifiants utilisateur et d’autres données sensibles), tandis que d’autres représentent le disque dur complet du système. Dans les deux cas, le fichier contient des données sensibles. Il est crucial que des nombres d’unités logiques (LUN) et des zones/domaines séparés dans un environnement de stockage puissent isoler des systèmes avec des sensibilités différentes. Si le chiffrement au niveau réseau de stockage (SAN) est disponible, considérez s’il est applicable. Côté réseau, il est important de s’assurer que les segments CIDR individuels sont isolés et sous le contrôle des réseaux locaux virtuels (VLAN) et des contrôles d’accès. Si des contrôles de sécurité précis sont indispensables dans un environnement virtuel, alors les entreprises peuvent envisager d’utiliser des pare-feux virtuels et des appliances de détection d’intrusion virtuelle. La plateforme vCloud de VMware elle-même est intégrée à sa fonction de sécurité virtuelle vShield, tandis que d’autres produits de fournisseurs réseau traditionnels sont également disponibles. De plus, vous devriez envisager des segments de réseau où des données sensibles de machines virtuelles peuvent être transmises en clair, comme les réseaux vMotion. Dans cet environnement VMware, les données mémoire en clair sont transférées d’un hyperviseur à un autre, rendant les données sensibles vulnérables à la fuite. conclusion En matière de sécurisation des environnements virtuels ou de l’informatique privée en cloud IaaS, les contrôles dans ces trois domaines ne sont que la partie émergée de l’iceberg. Pour plus d’informations, VMware propose une série de guides pratiques approfondis de renforcement pour évaluer des contrôles spécifiques, et OpenStack propose un guide de sécurité sur son site web. En suivant quelques pratiques de base, les entreprises peuvent construire leur propre cloud computing IaaS interne et s’assurer qu’elles respectent leurs propres normes et toutes les autres exigences nécessaires du secteur.
| 
Publié sur 20/10/2014 10:49:09
|
|
|
