|
Izvietojot lokālās infrastruktūras kā pakalpojuma (IaaS) mākoņdatošanu, ir jāņem vērā plašs drošības apsvērums, kas nozīmē, ka organizācijai ir jāapsver ne tikai drošības labākās prakses ievērošana, bet arī normatīvo prasību ievērošana. Šajā rakstā mēs apspriedīsim, kā kontrolēt virtuālās mašīnas instances, pārvaldības platformas un tīkla un krātuves infrastruktūru, kas atbalsta IaaS ieviešanu. Virtuālās mašīnas instances Pirmkārt, virtuālās mašīnas (VM) operētājsistēmai un lietojumprogrammām jābūt bloķētām un pareizi konfigurētām, izmantojot esošos noteikumus, piemēram, interneta drošības centra (CIS) konfigurācijas vadlīnijas. Pareiza VM pārvaldība rada arī dažus spēcīgākus un konsekventākus konfigurācijas pārvaldības pasākumus. Drošības konfigurāciju izveides un pārvaldības atslēga virtuālās mašīnas instancēs ir veidņu izmantošana. Administratoriem ir prātīgi izveidot "zelta attēlu", lai inicializētu visas virtuālās mašīnas mākoņdatošanā. Viņam vajadzētu pamatizēt šo veidni un ieviest stingru pārskatīšanas kontroli, lai nodrošinātu, ka visi ielāpi un citi atjauninājumi tiek piemēroti savlaicīgi. Daudzas virtualizācijas platformas nodrošina īpašas kontroles, lai nodrošinātu virtuālo mašīnu drošību; Uzņēmumu lietotājiem noteikti vajadzētu pilnībā izmantot šīs funkcijas. Piemēram, VMware virtuālās mašīnas konfigurācijas iestatījumi īpaši ierobežo kopēšanas un ielīmēšanas operācijas starp virtuālo mašīnu un pamatā esošo hipervizoru, kas var palīdzēt novērst sensitīvu datu kopēšanu hipervizora atmiņā un starpliktuvē. Microsoft Corporation un Citrix System platformas produkti piedāvā līdzīgu ierobežotu kopēšanas un ielīmēšanas funkcionalitāti. Citas platformas nodrošina arī funkcijas, kas palīdz uzņēmumiem atspējot nevajadzīgās ierīces, iestatīt reģistrēšanas parametrus un daudz ko citu. Turklāt, nodrošinot virtuālo mašīnu instances, noteikti izolējiet virtuālās mašīnas, kas darbojas dažādos mākoņdatošanas reģionos saskaņā ar standarta datu klasifikācijas principiem. Tā kā virtuālajām mašīnām ir kopīgi aparatūras resursi, to palaišana vienā mākoņdatošanas reģionā var izraisīt datu sadursmes atmiņā, lai gan šādu konfliktu varbūtība mūsdienās ir ārkārtīgi zema. Pārvaldības platforma Otra atslēga virtuālās vides nodrošināšanai ir nodrošināt pārvaldības platformu, kas mijiedarbojas ar virtuālo mašīnu un konfigurē un uzrauga izmantoto hipervizora sistēmu. Šīm platformām, piemēram, VMware vCenter, Microsoft System Center Virtual Machine Manager (SCVMM) un Citrix XenCenter, ir savas lokālās drošības vadīklas, kuras var ieviest. Piemēram, Vcenter bieži tiek instalēts operētājsistēmā Windows un manto vietējā administratora lomu ar sistēmas privilēģijām, ja vien instalēšanas procesā netiek mainītas attiecīgās lomas un atļaujas. Runājot par pārvaldības rīkiem, pārvaldības datu bāzes drošības nodrošināšana ir ārkārtīgi svarīga, taču daudziem produktiem pēc noklusējuma nav iebūvētas drošības. Vissvarīgākais ir tas, ka lomas un atļaujas ir jāpiešķir dažādām darbības lomām pārvaldības platformā. Lai gan daudzām organizācijām ir virtualizācijas komanda, kas pārvalda virtuālo mašīnu darbības IaaS mākonī, ir svarīgi nepiešķirt pārāk daudz atļauju pārvaldības konsolē. Es iesaku piešķirt atļaujas glabāšanai, tīklošanai, sistēmas administrēšanai un citām komandām, tāpat kā tradicionālajā datu centra vidē. Mākoņa pārvaldības rīkiem, piemēram, vCloud Director un OpenStack, lomas un atļaujas ir rūpīgi jāpiešķir, kā arī jāiekļauj dažādi mākoņa virtuālo mašīnu gala lietotāji. Piemēram, izstrādes komandai darba uzdevumiem jābūt virtuālām mašīnām, kas būtu jāizolē no virtuālajām mašīnām, ko izmanto finanšu komanda. Visiem pārvaldības rīkiem jābūt izolētiem atsevišķā tīkla segmentā, un ir ieteicams pieprasīt piekļuvi šīm sistēmām, izmantojot "lēciena kasti" vai īpašu drošu starpniekservera platformu, piemēram, HyTrust, kur varat izveidot spēcīgu autentifikāciju un centralizētu lietotāju uzraudzību. Tīkla un uzglabāšanas infrastruktūra Lai gan tīkla un krātuves drošība, kas uzlabo IaaS mākoņdatošanu, ir plašs uzdevums, ir jāievieš dažas vispārīgas labākās prakses. Krātuves vidēs atcerieties, ka, tāpat kā jebkurš cits sensitīvs fails, virtuālā mašīna ir jāaizsargā. Daži faili glabā derīgu atmiņu vai atmiņas momentuzņēmumus (kas var būt vissensitīvākie, piemēram, tie, kas var saturēt lietotāja akreditācijas datus un citus sensitīvus datus), bet citi ir sistēmas pilns cietais disks. Abos gadījumos fails satur sensitīvus datus. Ir ļoti svarīgi, lai atsevišķi loģisko vienību numuri (LUN) un zonas / domēni uzglabāšanas vidē varētu izolēt sistēmas ar atšķirīgu jutību. Ja ir pieejama krātuves tīkla (SAN) līmeņa šifrēšana, apsveriet, vai tā ir piemērojama. Tīkla pusē ir svarīgi nodrošināt, lai atsevišķi CIDR segmenti būtu izolēti un pakļauti virtuālo lokālo tīklu (VLAN) un piekļuves kontroles kontrolei. Ja virtuālajā vidē ir nepieciešama smalkgraudaina drošības kontrole, uzņēmumi var apsvērt iespēju izmantot virtuālos ugunsmūrus un virtuālās ielaušanās atklāšanas ierīces. VMware vCloud platforma pati par sevi ir integrēta ar tās vShield virtuālo drošības iekārtu, bet ir pieejami arī citi produkti no tradicionālajiem tīkla piegādātājiem. Turklāt jāņem vērā tīkla segmenti, kuros sensitīvi virtuālās mašīnas dati var tikt pārraidīti vienkāršā tekstā, piemēram, vMotion tīkli. Šajā VMware vidē vienkārša teksta atmiņas dati tiek pārsūtīti no viena hipervizora uz citu, padarot sensitīvus datus neaizsargātus pret noplūdi. Secinājums Kad runa ir par virtuālās vides vai IaaS privātās mākoņdatošanas drošību, kontrole šajās trīs jomās ir tikai aisberga virsotne. Lai iegūtu plašāku informāciju, VMware ir virkne padziļinātu praktisku rokasgrāmatu konkrētu vadīklu novērtēšanai, un OpenStack savā tīmekļa vietnē nodrošina drošības rokasgrāmatu. Ievērojot dažas pamatprakses, uzņēmumi var izveidot savu iekšējo IaaS mākoņdatošanu un nodrošināt, ka tie var izpildīt savus standartus un visas citas nepieciešamās nozares prasības.
| 
Publicēts 20.10.2014 10:49:09
|
|
|
