|
Diegiant vietinės infrastruktūros kaip paslaugos (IaaS) debesų kompiuteriją, turėtų būti atsižvelgiama į platų saugumo aspektą, o tai reiškia, kad organizacija turi atsižvelgti ne tik į geriausią saugos praktiką, bet ir į reguliavimo reikalavimų laikymąsi. Šiame straipsnyje aptarsime, kaip valdyti virtualių mašinų egzempliorius, valdymo platformas ir tinklo bei saugyklos infrastruktūrą, palaikančią IaaS diegimą. Virtualios mašinos egzemplioriai Pirma, virtualios mašinos (VM) operacinė sistema ir programos turi būti užrakintos ir tinkamai sukonfigūruotos naudojant esamas taisykles, pvz., Interneto saugumo centro (CIS) konfigūracijos gaires. Tinkamas VM valdymas taip pat lemia kai kurias patikimesnes ir nuoseklesnes konfigūracijos valdymo priemones. Raktas į virtualių mašinų egzempliorių saugos konfigūracijų kūrimą ir valdymą yra šablonų naudojimas. Administratoriams protinga sukurti "auksinį vaizdą", skirtą inicijuoti visas virtualias mašinas debesų kompiuterijoje. Jis turėtų pagrįsti šį šabloną ir įgyvendinti griežtą peržiūros kontrolę, kad užtikrintų, jog visi pataisymai ir kiti atnaujinimai būtų pritaikyti laiku. Daugelis virtualizacijos platformų teikia specifinius valdiklius, užtikrinančius virtualių mašinų saugumą; Įmonių vartotojai tikrai turėtų visapusiškai pasinaudoti šiomis funkcijomis. Pavyzdžiui, VMware virtualios mašinos konfigūracijos nustatymai specialiai apriboja kopijavimo ir įklijavimo operacijas tarp virtualios mašinos ir pagrindinio hipervizoriaus, o tai gali padėti išvengti neskelbtinų duomenų kopijavimo į hipervizoriaus atmintį ir mainų sritį. "Microsoft Corporation" ir "Citrix System" platformos produktai siūlo panašias ribotas kopijavimo ir įklijavimo funkcijas. Kitos platformos taip pat teikia funkcijas, padedančias įmonėms išjungti nereikalingus įrenginius, nustatyti registravimo parametrus ir kt. Be to, saugodami virtualių mašinų egzempliorius, būtinai izoliuokite virtualias mašinas, veikiančias skirtinguose debesų kompiuterijos regionuose pagal standartinius duomenų klasifikavimo principus. Kadangi virtualios mašinos dalijasi aparatinės įrangos ištekliais, jų paleidimas tame pačiame debesų kompiuterijos regione gali sukelti duomenų susidūrimus atmintyje, nors tokių konfliktų tikimybė šiandien yra labai maža. Valdymo platforma Antrasis raktas į virtualios aplinkos apsaugą yra apsaugoti valdymo platformą, kuri sąveikauja su virtualia mašina ir konfigūruoja bei stebi naudojamą hipervizoriaus sistemą. Šios platformos, tokios kaip VMware vCenter, Microsoft System Center Virtual Machine Manager (SCVMM) ir Citrix XenCenter, turi savo vietinius saugos valdiklius, kuriuos galima įdiegti. Pavyzdžiui, "Vcenter" dažnai įdiegiamas sistemoje "Windows" ir paveldi vietinio administratoriaus vaidmenį su sistemos teisėmis, nebent diegimo metu pakeičiami atitinkami vaidmenys ir leidimai. Kalbant apie valdymo įrankius, svarbiausia užtikrinti valdymo duomenų bazės saugumą, tačiau daugelyje produktų pagal numatytuosius nustatymus nėra integruotos saugos. Svarbiausia, kad vaidmenys ir leidimai turi būti priskirti skirtingiems operaciniams vaidmenims valdymo platformoje. Nors daugelis organizacijų turi virtualizacijos komandą, kuri valdo virtualių mašinų operacijas IaaS debesyje, labai svarbu nesuteikti per daug leidimų valdymo konsolėje. Rekomenduoju suteikti leidimus saugojimui, tinklui, sistemos administravimui ir kitoms komandoms, kaip ir tradicinėje duomenų centro aplinkoje. Debesų valdymo įrankiams, tokiems kaip "vCloud Director" ir "OpenStack", vaidmenys ir leidimai turėtų būti kruopščiai priskirti ir įtraukti skirtingi galutiniai debesies virtualių mašinų vartotojai. Pavyzdžiui, kūrėjų komanda turėtų turėti virtualias mašinas savo darbo užduotims atlikti, kurios turėtų būti izoliuotos nuo finansų komandos naudojamų virtualių mašinų. Visi valdymo įrankiai turėtų būti izoliuoti atskirame tinklo segmente, todėl verta reikalauti prieigos prie šių sistemų per "jump box" arba specialią saugią tarpinio serverio platformą, pvz., "HyTrust", kurioje galite nustatyti griežtą autentifikavimą ir centralizuotą vartotojų stebėjimą. Tinklo ir saugojimo infrastruktūra Nors tinklo ir saugyklos, kuri tobulina IaaS debesų kompiuteriją, apsauga yra plati užduotis, yra keletas bendrų geriausių praktikų, kurias reikėtų įgyvendinti. Saugojimo aplinkoje atminkite, kad kaip ir bet kurį kitą neskelbtiną failą, turite apsaugoti savo virtualią mašiną. Kai kuriuose failuose saugomos galiojančios atminties arba atminties momentinės nuotraukos (kurios gali būti jautriausios, pvz., tos, kuriose gali būti vartotojo kredencialų ir kitų neskelbtinų duomenų), o kiti atspindi visą sistemos standųjį diską. Abiem atvejais faile yra neskelbtinų duomenų. Labai svarbu, kad atskiri loginių vienetų numeriai (LUN) ir zonos / domenai saugojimo aplinkoje galėtų izoliuoti skirtingo jautrumo sistemas. Jei yra saugyklos srities tinklo (SAN) lygio šifravimas, apsvarstykite, ar jis taikomas. Kalbant apie tinklą, svarbu užtikrinti, kad atskiri CIDR segmentai būtų izoliuoti ir kontroliuojami virtualių vietinių tinklų (VLAN) ir prieigos kontrolės. Jei virtualioje aplinkoje būtina atlikti tikslią saugos kontrolę, įmonės gali apsvarstyti galimybę naudoti virtualias ugniasienes ir virtualius įsibrovimo aptikimo prietaisus. Pati "VMware" "vCloud" platforma yra integruota su "vShield" virtualia apsaugos priemone, taip pat yra kitų tradicinių tinklo tiekėjų produktų. Be to, turėtumėte apsvarstyti tinklo segmentus, kuriuose slapti virtualios mašinos duomenys gali būti perduodami paprastu tekstu, pvz., "vMotion" tinklai. Šioje VMware aplinkoje paprasto teksto atminties duomenys perkeliami iš vieno hipervizoriaus į kitą, todėl neskelbtini duomenys tampa pažeidžiami nutekėjimo. Išvada Kalbant apie virtualios aplinkos ar IaaS privačios debesų kompiuterijos apsaugą, šių trijų sričių valdikliai yra tik ledkalnio viršūnė. Norėdami gauti daugiau informacijos, VMware turi keletą išsamių grūdinimo praktinių vadovų, skirtų įvertinti konkrečius valdiklius, o OpenStack savo svetainėje pateikia saugos vadovą. Laikydamosi kai kurių pagrindinių praktikų, įmonės gali sukurti savo vidinę IaaS debesų kompiuteriją ir užtikrinti, kad jos atitiktų savo standartus ir visus kitus būtinus pramonės reikalavimus.
| 
Paskelbta 2014-10-20 10:49:09
|
|
|
