Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Pemrograman Obrolan teknis Penyebaran IaaS lokal: Mengelola keamanan komputer virtual
Melihat: 11133|Jawab: 0

Penyebaran IaaS lokal: Mengelola keamanan komputer virtual

[Salin tautan]
Diposting pada 20/10/2014 10.49.09 | | |

Saat menyebarkan komputasi awan infrastruktur-as-a-service (IaaS) lokal, harus ada pertimbangan keamanan yang luas, yang berarti bahwa organisasi harus mempertimbangkan tidak hanya memenuhi praktik terbaik keamanan, tetapi juga mematuhi persyaratan peraturan.

Pada artikel ini, kita akan membahas cara mengontrol instans mesin virtual, platform manajemen, serta infrastruktur jaringan dan penyimpanan yang mendukung implementasi IaaS.

Instans komputer virtual

Pertama, sistem operasi dan aplikasi mesin virtual (VM) harus dikunci dan dikonfigurasi dengan benar menggunakan aturan yang ada, seperti pedoman konfigurasi dari Pusat Keamanan Internet (CIS). Manajemen VM yang tepat juga menghasilkan beberapa tindakan manajemen konfigurasi yang lebih kuat dan konsisten.

Kunci untuk membuat dan mengelola konfigurasi keamanan pada instans komputer virtual adalah penggunaan templat. Adalah bijaksana bagi administrator untuk membuat "gambar emas" untuk menginisialisasi semua mesin virtual dalam komputasi awan. Dia harus mendasarkan templat ini dan menerapkan kontrol revisi yang ketat untuk memastikan bahwa semua tambalan dan pembaruan lainnya diterapkan tepat waktu.

Banyak platform virtualisasi menyediakan kontrol khusus untuk memastikan keamanan mesin virtual; Pengguna perusahaan tentu harus memanfaatkan fitur-fitur ini sepenuhnya. Misalnya, pengaturan konfigurasi komputer virtual VMware secara khusus membatasi operasi salin dan tempel antara komputer virtual dan hypervisor yang mendasarinya, yang dapat membantu mencegah data sensitif disalin ke memori dan clipboard hypervisor. Produk platform Microsoft Corporation dan Citrix System menawarkan fungsionalitas copy-paste terbatas yang serupa. Platform lain juga menyediakan fitur untuk membantu bisnis menonaktifkan perangkat yang tidak perlu, mengatur parameter pencatatan, dan banyak lagi.

Selain itu, saat mengamankan instans komputer virtual, pastikan untuk mengisolasi komputer virtual yang berjalan di wilayah komputasi awan yang berbeda sesuai dengan prinsip klasifikasi data standar. Karena mesin virtual berbagi sumber daya perangkat keras, menjalankannya di wilayah komputasi awan yang sama dapat menyebabkan tabrakan data dalam memori, meskipun kemungkinan konflik tersebut sangat rendah saat ini.

Platform manajemen

Kunci kedua untuk mengamankan lingkungan virtual adalah mengamankan platform manajemen yang berinteraksi dengan mesin virtual dan mengonfigurasi serta memantau sistem hypervisor yang mendasari yang digunakan.

Platform ini, seperti vCenter VMware, Manajer Mesin Virtual Pusat Sistem Microsoft (SCVMM), dan XenCenter Citrix, dilengkapi dengan kontrol keamanan lokal mereka sendiri yang dapat diterapkan. Misalnya, Vcenter sering diinstal di Windows dan mewarisi peran administrator lokal dengan hak istimewa sistem, kecuali peran dan izin yang relevan dimodifikasi selama proses instalasi.

Dalam hal alat manajemen, memastikan keamanan database manajemen adalah yang terpenting, tetapi banyak produk tidak memiliki keamanan bawaan secara default. Yang terpenting, peran dan izin harus ditetapkan ke peran operasional yang berbeda dalam platform manajemen. Meskipun banyak organisasi memiliki tim virtualisasi yang mengelola operasi mesin virtual dalam cloud IaaS, tidak memberikan terlalu banyak izin dalam konsol manajemen adalah kuncinya. Saya merekomendasikan pemberian izin ke penyimpanan, jaringan, administrasi sistem, dan tim lainnya, seperti yang Anda lakukan di lingkungan pusat data tradisional.

Untuk alat manajemen cloud seperti vCloud Director dan OpenStack, peran dan izin harus ditetapkan dengan hati-hati, dan pengguna akhir mesin virtual cloud yang berbeda harus disertakan. Misalnya, tim pengembangan harus memiliki mesin virtual untuk tugas kerja mereka yang harus diisolasi dari mesin virtual yang digunakan oleh tim keuangan.

Semua alat manajemen harus diisolasi dalam segmen jaringan terpisah, dan sebaiknya memerlukan akses ke sistem ini melalui "jump box" atau platform proxy aman khusus seperti HyTrust, di mana Anda dapat membangun otentikasi yang kuat dan pemantauan pengguna terpusat.

Infrastruktur jaringan dan penyimpanan

Meskipun mengamankan jaringan dan penyimpanan yang memajukan komputasi awan IaaS adalah tugas yang luas, ada beberapa praktik terbaik umum yang harus diterapkan.

Untuk lingkungan penyimpanan, ingatlah bahwa seperti file sensitif lainnya, Anda harus melindungi komputer virtual Anda. Beberapa file menyimpan rekam jepret memori atau memori yang valid (yang mungkin paling sensitif, seperti yang mungkin berisi kredensial pengguna dan data sensitif lainnya), sementara yang lain mewakili hard drive penuh sistem. Dalam kedua kasus, file berisi data sensitif. Sangat penting bahwa nomor unit logis (LUN) dan zona/domain terpisah dalam lingkungan penyimpanan dapat mengisolasi sistem dengan sensitivitas yang berbeda. Jika enkripsi tingkat jaringan area penyimpanan (SAN) tersedia, pertimbangkan apakah itu berlaku.

Di sisi jaringan, penting untuk memastikan bahwa masing-masing segmen CIDR terisolasi dan berada di bawah kendali jaringan area lokal virtual (VLAN) dan kontrol akses. Jika kontrol keamanan yang terperinci adalah suatu keharusan di lingkungan virtual, maka perusahaan dapat mempertimbangkan untuk menggunakan firewall virtual dan peralatan deteksi intrusi virtual. Platform vCloud VMware sendiri terintegrasi dengan fasilitas keamanan virtual vShield-nya, sementara produk lain dari vendor jaringan tradisional juga tersedia. Selain itu, Anda harus mempertimbangkan segmen jaringan di mana data komputer virtual sensitif dapat ditransmisikan dalam teks biasa, seperti jaringan vMotion. Dalam lingkungan VMware ini, data memori teks biasa ditransfer dari satu hypervisor ke hypervisor lainnya, membuat data sensitif rentan terhadap kebocoran.

kesimpulan

Dalam hal mengamankan lingkungan virtual atau komputasi awan pribadi IaaS, kontrol di ketiga area ini hanyalah puncak gunung es. Untuk informasi lebih lanjut, VMware memiliki serangkaian panduan praktis pengerasan mendalam untuk mengevaluasi kontrol tertentu, dan OpenStack menyediakan panduan keamanan di situs webnya. Dengan mengikuti beberapa praktik dasar, bisnis dapat membangun komputasi awan IaaS internal mereka sendiri dan memastikan bahwa mereka dapat memenuhi standar mereka sendiri dan semua persyaratan industri lainnya yang diperlukan.






Mantan:20 Oktober 2014 Berbagi akun anggota Thunder
Depan:Keandalan hard drive oleh pabrikan

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com