|
On-premises infrastruktúra-as-a-service (IaaS) felhőszámítástechnika bevezetésekor széles körű biztonsági szempontot kell figyelembe vennie, ami azt jelenti, hogy a szervezetnek nemcsak a legjobb biztonsági gyakorlatok betartását kell figyelembe vennie, hanem a szabályozási követelményeknek is megfelelnie. Ebben a cikkben azt fogjuk megvitatni, hogyan lehet kezelni a virtuális gép példányokat, menedzsment platformokat, valamint az IaaS megvalósításokat támogató hálózati és tárolóinfrastruktúrát. Virtuális gép példányok Először is, a virtuális gép (VM) operációs rendszerét és alkalmazásait le kell zárni, és megfelelően konfigurálni kell a meglévő szabályok szerint, például az Internet Security Center (CIS) konfigurációs irányelveivel. A megfelelő VM-kezelés néhány robusztus és következetesebb konfigurációkezelési intézkedést is eredményez. A virtuális gép példányokon a biztonsági konfigurációk létrehozásának és kezelésének kulcsa a sablonok használata. Bölcs dolog, ha az adminisztrátorok létrehoznak egy "arany képet" az összes virtuális gép inicializálásához a felhőalapú számítástechnikában. Alapvonalat kell készítenie ennek a sablonnak, és szigorú felülvizsgálati ellenőrzéseket kell bevezetnie, hogy minden javítást és egyéb frissítést időben alkalmazzák. Számos virtualizációs platform specifikus vezérlést biztosít a virtuális gépek biztonságának biztosítására; A vállalati felhasználóknak mindenképpen ki kell használniuk ezeket a funkciókat. Például a VMware virtuális gép konfigurációs beállításai kifejezetten korlátozzák a másolás-beillesztés műveleteket a virtuális gép és az alatta lévő hipervizor között, ami segíthet megakadályozni, hogy érzékeny adatok másoljanak a hipervizor memóriájába és clipboardjába. A Microsoft Corporation és a Citrix System platform termékei hasonló, korlátozott másolás-beillesztés funkciót kínálnak. Más platformok is olyan funkciókat kínálnak, amelyek segítenek a vállalkozásoknak a felesleges eszközök letiltásában, naplózási paraméterek beállításában és még sok másban. Emellett a virtuális gép példányok biztonsága esetén győződjön meg róla, hogy a különböző felhőalapú számítástechnikai régiókban működő virtuális gépeket a szabványos adatosztályozási elvek szerint izolálja. Mivel a virtuális gépek megosztják a hardveres erőforrásokat, ugyanazon felhőalapú számítási régióban futtatva adatokat ütközhetnek a memóriában, bár az ilyen ütközések valószínűsége ma rendkívül alacsony. Menedzsment platform A virtuális környezet biztonságának második kulcsa, hogy biztonságosan biztosítsuk azt a menedzsment platformot, amely interakcióba lép a virtuális géppel, konfigurálja és figyeli az alapul szolgáló hipervizor rendszert. Ezek a platformok, mint a VMware vCentere, a Microsoft System Center Virtual Machine Manager (SCVMM) és a Citrix XenCenter, saját, helyi biztonsági ellenőrzésekkel rendelkeznek, amelyeket meg lehet valósítani. Például a Vcenter gyakran telepítve van Windowsra, és a helyi adminisztrátor szerepét örökli rendszerjogokkal, kivéve, ha a vonatkozó szerepeket és jogosultságokat a telepítés során módosítják. A menedzsment eszközök esetében a menedzsment adatbázis biztonságának biztosítása elsődleges, de sok terméknek alapértelmezés szerint nincs beépített biztonsága. A legfontosabb, hogy a szerepeket és jogosultságokat különböző operatív szerepekhez kell rendelni a menedzsment platformon belül. Bár sok szervezetnek van virtualizációs csapata, amely az IaaS felhőn belül kezeli a virtuális gépek működését, kulcsfontosságú az, hogy ne adjunk túl sok engedélyt a menedzsment konzolon. Azt javaslom, hogy engedélyezd a tárolás, hálózat, rendszeradminisztráció és más csapatok számára, ahogy egy hagyományos adatközpont környezetben is megtennéd. A felhőkezelő eszközök, mint a vCloud Director és az OpenStack esetében a szerepeket és jogosultságokat gondosan kell kiosztani, és a felhőalapú virtuális gépek különböző végfelhasználóit kell bevonni. Például a fejlesztőcsapatnak olyan virtuális gépekkel kell rendelkeznie a munkafeladataihoz, amelyeket el kell szigetelni a pénzügyi csapat által használt virtuális gépektől. Minden menedzsment eszközt külön hálózati szegmensben kell elszigetelni, és jó ötlet, ha hozzáférést követel ezekhez a rendszerekhez egy "jump box" vagy egy dedikált biztonságos proxy platformon, például a HyTruston keresztül, ahol erős hitelesítést és központosított felhasználói megfigyelést lehet kialakítani. Hálózati és tároló infrastruktúra Bár az IaaS felhőalapú számítástechnikát fejlesztő hálózat és tároló biztonságossá tétele széles körű feladat, vannak általános legjobb gyakorlatok, amelyeket be kell vezetni. Tárolókörnyezeteknél ne feledd, hogy mint bármely más érzékeny fájlban, védened kell a virtuális gépedet. Néhány fájl érvényes memóriát vagy memória pillanatképeket tárol (amelyek lehetnek a legérzékenyebbek, például azok, amelyek felhasználói igazolványokat és más érzékeny adatokat tartalmazhatnak), míg mások a rendszer teljes merevlemezét képviselik. Mindkét esetben a fájl érzékeny adatokat tartalmaz. Kritikus, hogy a tárolókörnyezetben elkülönített logikai egységszámok (LUN-ok) és zónák/tartományok elkülönítsék a különböző érzékenységű rendszereket. Ha elérhető tárolóhálózati (SAN) szintű titkosítás, fontold meg, hogy alkalmazható-e. A hálózati oldalon fontos biztosítani, hogy az egyes CIDR szegmensek elszigeteltek legyenek, és virtuális helyi hálózatok (VLAN-ok) és hozzáférés-ellenőrzések irányítása alatt legyenek. Ha a virtuális környezetben elengedhetetlenek a finom biztonsági ellenőrzések, akkor a vállalatok fontolóra vehetik a virtuális tűzfalak és virtuális behatolásérzékelő eszközök használatát. A VMware vCloud platformja maga integrált a vShield virtuális biztonsági létesítményével, miközben hagyományos hálózati szolgáltatók termékei is elérhetők. Emellett érdemes figyelembe venni azokat a hálózati szegmenseket is, ahol érzékeny virtuális gép adatokat lehet tiszta szövegben továbbítani, például vMotion hálózatokat. Ebben a VMware környezetben a tiszta szövegű memória adatokat egyik hipervizor egyik másikba továbbítják, így az érzékeny adatok kiszivárognak. következtetés A virtuális környezetek vagy az IaaS privát felhőalapú számítástechnika biztonsága esetén ezen három területen a vezérlés csak a jéghegy csúcsa. További információért a VMware részletes keményítési gyakorlati útmutatókat kínál a speciális vezérlők értékeléséhez, az OpenStack pedig biztonsági útmutatót biztosít a weboldalán. Néhány alapvető gyakorlat követésével a vállalkozások saját belső IaaS felhőalapú számítástechnikát építhetnek fel, és biztosíthatják, hogy megfeleljenek saját szabványaiknak és minden egyéb szükséges iparági követelménynek.
| 
Közzétéve 2014. 10. 20. 10:49:09
|
|
|
