|
Quando si implementa un cloud computing on-premises infrastructure-as-a-service (IaaS), dovrebbe esserci una considerazione ampia sulla sicurezza, il che significa che l'organizzazione deve considerare non solo il rispetto delle migliori pratiche di sicurezza, ma anche il rispetto dei requisiti normativi. In questo articolo discuteremo come controllare istanze di macchine virtuali, piattaforme di gestione e l'infrastruttura di rete e storage che supporta le implementazioni IaaS. Istanze di macchine virtuali Innanzitutto, il sistema operativo e le applicazioni della macchina virtuale (VM) devono essere bloccati e configurati correttamente utilizzando le regole esistenti, come le linee guida di configurazione dell'Internet Security Center (CIS). Una corretta gestione delle VM porta anche a misure di gestione della configurazione più robuste e coerenti. La chiave per creare e gestire configurazioni di sicurezza sulle istanze delle macchine virtuali è l'uso dei template. È saggio che gli amministratori creino un'"immagine d'oro" per inizializzare tutte le macchine virtuali nel cloud computing. Dovrebbe definire questo modello di base e implementare controlli rigorosi sulle revisioni per garantire che tutte le patch e gli altri aggiornamenti vengano applicati tempestivamente. Molte piattaforme di virtualizzazione forniscono controlli specifici per garantire la sicurezza delle macchine virtuali; Gli utenti enterprise dovrebbero certamente sfruttare appieno queste funzionalità. Ad esempio, le impostazioni di configurazione della macchina virtuale di VMware limitano specificamente le operazioni di copia e incolla tra la macchina virtuale e l'hypervisor sottostante, il che può aiutare a prevenire la copia di dati sensibili nella memoria e nella cartella dello schermo. I prodotti Microsoft Corporation e Citrix System System offrono funzionalità simili di copia-incolla limitata. Altre piattaforme offrono anche funzionalità per aiutare le aziende a disabilitare dispositivi non necessari, impostare parametri di logging e altro ancora. Inoltre, quando si proteggono istanze di macchine virtuali, assicurarsi di isolare le macchine virtuali che girano in diverse regioni di cloud computing secondo i principi standard di classificazione dei dati. Poiché le macchine virtuali condividono risorse hardware, farle girare nella stessa regione di cloud computing può portare a collisioni di dati in memoria, anche se la probabilità di tali conflitti è oggi estremamente bassa. Piattaforma di gestione La seconda chiave per proteggere un ambiente virtuale è mettere in sicurezza la piattaforma di gestione che interagisce con la macchina virtuale e configura e monitora il sistema hypervisor sottostante in uso. Queste piattaforme, come vCenter di VMware, System Center Virtual Machine Manager (SCVMM) di Microsoft e XenCenter di Citrix, sono dotate di propri controlli di sicurezza on-premises che possono essere implementati. Ad esempio, Vcenter è spesso installato su Windows e eredita il ruolo di amministratore locale con i privilegi di sistema, a meno che i ruoli e i permessi rilevanti non vengano modificati durante il processo di installazione. Quando si tratta di strumenti di gestione, garantire la sicurezza del database di gestione è fondamentale, ma molti prodotti non dispongono di default di una sicurezza integrata. Soprattutto, ruoli e permessi devono essere assegnati a diversi ruoli operativi all'interno della piattaforma di gestione. Sebbene molte organizzazioni abbiano un team di virtualizzazione che gestisce le operazioni delle macchine virtuali all'interno del cloud IaaS, non concedere troppi permessi all'interno della console di gestione è fondamentale. Consiglio di concedere permessi a storage, networking, amministrazione di sistema e altri team, proprio come si farà in un ambiente tradizionale di data center. Per strumenti di gestione cloud come vCloud Director e OpenStack, ruoli e permessi devono essere assegnati con cura, e devono essere inclusi diversi utenti finali delle macchine virtuali cloud. Ad esempio, il team di sviluppo dovrebbe avere macchine virtuali per i propri compiti di lavoro isolate dalle macchine virtuali utilizzate dal team finanziario. Tutti gli strumenti di gestione dovrebbero essere isolati in un segmento di rete separato, ed è una buona idea richiedere l'accesso a questi sistemi tramite una "jump box" o una piattaforma proxy sicura dedicata come HyTrust, dove si può stabilire un'autenticazione forte e un monitoraggio centralizzato degli utenti. Infrastruttura di rete e storage Sebbene proteggere la rete e lo storage che fanno avanzare il cloud computing IaaS sia un compito ampio, ci sono alcune best practice generali che dovrebbero essere implementate. Per gli ambienti di archiviazione, ricorda che, come per qualsiasi altro file sensibile, devi proteggere la tua macchina virtuale. Alcuni file memorizzano memoria valida o istantanee di memoria (che possono essere le più sensibili, come quelle che possono contenere credenziali utente e altri dati sensibili), mentre altri rappresentano l'intero disco rigido del sistema. In entrambi i casi, il file contiene dati sensibili. È fondamentale che numeri di unità logiche (LUN) e zone/domini separati in un ambiente di archiviazione possano isolare sistemi con sensibilità diverse. Se è disponibile la crittografia a livello di rete di area di archiviazione (SAN), considerate se sia applicabile. Sul lato della rete, è importante assicurarsi che i singoli segmenti CIDR siano isolati e sotto il controllo delle reti virtuali (VLAN) e dei controlli di accesso. Se controlli di sicurezza molto dettagliati sono indispensabili in un ambiente virtuale, allora le imprese possono considerare l'uso di firewall virtuali e appliance di rilevamento intrusioni virtuali. La piattaforma vCloud di VMware è integrata con la sua funzione di sicurezza virtuale vShield, mentre sono disponibili anche altri prodotti di fornitori di rete tradizionali. Inoltre, dovresti considerare segmenti di rete dove i dati sensibili delle macchine virtuali possono essere trasmessi in testo chiaro, come le reti vMotion. In questo ambiente VMware, i dati di memoria in chiaro vengono trasferiti da un hypervisor all'altro, rendendo i dati sensibili vulnerabili a perdite. conclusione Quando si tratta di proteggere ambienti virtuali o cloud computazione privata IaaS, i controlli in questi tre ambiti sono solo la punta dell'iceberg. Per maggiori informazioni, VMware dispone di una serie di guide pratiche approfondite per il rafforzamento e la valutazione di controlli specifici, e OpenStack fornisce una guida alla sicurezza sul proprio sito web. Seguendo alcune pratiche di base, le aziende possono costruire il proprio cloud computing IaaS interno e assicurarsi di soddisfare i propri standard e tutti gli altri requisiti necessari del settore.
| 
Pubblicato su 20/10/2014 10:49:09
|
|
|
