|
Når man implementerer en on-premises infrastructure-as-a-service (IaaS) skytjenester, bør det være et bredt sikkerhetsaspekt, noe som betyr at organisasjonen ikke bare må vurdere å oppfylle beste sikkerhetspraksis, men også overholde regulatoriske krav. I denne artikkelen skal vi diskutere hvordan man kontrollerer virtuelle maskininstanser, administrasjonsplattformer og nettverks- og lagringsinfrastrukturen som støtter IaaS-implementeringer. Virtuelle maskininstanser Først må operativsystemet og applikasjonene til den virtuelle maskinen (VM) låses ned og konfigureres korrekt ved bruk av eksisterende regler, som konfigurasjonsretningslinjene fra Internet Security Center (CIS). Riktig VM-administrasjon resulterer også i noen mer robuste og konsistente konfigurasjonsstyringstiltak. Nøkkelen til å lage og administrere sikkerhetskonfigurasjoner på virtuelle maskininstanser er bruk av maler. Det er klokt for administratorer å lage et «gullbilde» for å initialisere alle virtuelle maskiner i skytjenester. Han bør legge grunnlaget for denne malen og implementere strenge revisjonskontroller for å sikre at alle patcher og andre oppdateringer blir implementert i tide. Mange virtualiseringsplattformer tilbyr spesifikke kontroller for å sikre sikkerheten til virtuelle maskiner; Bedriftsbrukere bør absolutt utnytte disse funksjonene fullt ut. For eksempel begrenser VMwares konfigurasjonsinnstillinger for virtuelle maskiner spesifikt kopierings- og lim-inn-operasjoner mellom den virtuelle maskinen og den underliggende hypervisoren, noe som kan bidra til å forhindre at sensitiv data kopieres til hypervisorens minne og utklippstavle. Microsoft Corporation og Citrix System-plattformene tilbyr lignende begrenset kopier-lim-funksjonalitet. Andre plattformer tilbyr også funksjoner som hjelper bedrifter med å deaktivere unødvendige enheter, sette loggingsparametere og mer. Når du sikrer virtuelle maskininstanser, sørg også for å isolere virtuelle maskiner som kjører i ulike skybaserte områder i henhold til standard dataklassifiseringsprinsipper. Fordi virtuelle maskiner deler maskinvareressurser, kan det å kjøre dem i samme skybaserte område føre til datakollisjoner i minnet, selv om sannsynligheten for slike konflikter i dag er svært lav. Forvaltningsplattform Den andre nøkkelen til å sikre et virtuelt miljø er å sikre administrasjonsplattformen som samhandler med den virtuelle maskinen og konfigurerer og overvåker det underliggende hypervisorsystemet som er i bruk. Disse plattformene, som VMwares vCenter, Microsofts System Center Virtual Machine Manager (SCVMM) og Citrix XenCenter, har sine egne sikkerhetskontroller på stedet som kan implementeres. For eksempel installeres Vcenter ofte på Windows og arver den lokale administratorrollen med systemrettigheter, med mindre relevante roller og tillatelser endres under installasjonsprosessen. Når det gjelder administrasjonsverktøy, er det avgjørende å sikre sikkerheten til administrasjonsdatabasen, men mange produkter har ikke innebygd sikkerhet som standard. Viktigst av alt må roller og tillatelser tildeles ulike operative roller innenfor administrasjonsplattformen. Selv om mange organisasjoner har et virtualiseringsteam som håndterer virtuelle maskinoperasjoner i IaaS-skyen, er det avgjørende å ikke gi for mange tillatelser i administrasjonskonsollen. Jeg anbefaler å gi tillatelser til lagring, nettverk, systemadministrasjon og andre team, akkurat som du ville gjort i et tradisjonelt datasentermiljø. For skyadministrasjonsverktøy som vCloud Director og OpenStack bør roller og tillatelser tildeles nøye, og ulike sluttbrukere av skybaserte virtuelle maskiner må inkluderes. For eksempel bør utviklingsteamet ha virtuelle maskiner for arbeidsoppgavene sine som bør være isolert fra de virtuelle maskinene som brukes av økonomiteamet. Alle administrasjonsverktøy bør være isolert i et eget nettverkssegment, og det er lurt å kreve tilgang til disse systemene via en "jump box" eller en dedikert sikker proxyplattform som HyTrust, hvor du kan etablere sterk autentisering og sentralisert brukerovervåking. Nettverks- og lagringsinfrastruktur Selv om det å sikre nettverket og lagringen som fremmer IaaS skytjenester er en bred oppgave, finnes det noen generelle beste praksiser som bør implementeres. For lagringsmiljøer, husk at som med alle andre sensitive filer, må du beskytte din virtuelle maskin. Noen filer lagrer gyldig minne eller minnesnapshots (som kan være de mest sensitive, for eksempel de som kan inneholde brukerlegitimasjon og annen sensitiv informasjon), mens andre representerer hele systemets harddisk. I begge tilfeller inneholder filen sensitiv informasjon. Det er avgjørende at separate logiske enhetsnumre (LUNs) og soner/domener i et lagringsmiljø kan isolere systemer med ulike følsomheter. Hvis kryptering på lagringsområdenettverk (SAN)-nivå er tilgjengelig, vurder om den er anvendelig. På nettverkssiden er det viktig å sikre at individuelle CIDR-segmenter er isolerte og under kontroll av virtuelle lokalnettverk (VLAN) og tilgangskontroller. Hvis detaljerte sikkerhetskontroller er et must i et virtuelt miljø, kan bedrifter vurdere å bruke virtuelle brannmurer og virtuelle inntrengningsdeteksjonsapparater. VMwares vCloud-plattform er integrert med deres virtuelle sikkerhetsanlegg vShield, samtidig som andre produkter fra tradisjonelle nettverksleverandører også er tilgjengelige. I tillegg bør du vurdere nettverkssegmenter hvor sensitiv virtuell maskindata kan overføres i klartekst, som vMotion-nettverk. I dette VMware-miljøet overføres klartekstminnedata fra én hypervisor til en annen, noe som gjør sensitiv data sårbar for lekkasjer. konklusjon Når det gjelder sikring av virtuelle miljøer eller IaaS privat skybasert databehandling, er kontrollene i disse tre områdene bare toppen av isfjellet. For mer informasjon har VMware en serie grundige praktiske hardening-guider for evaluering av spesifikke kontroller, og OpenStack tilbyr en sikkerhetsguide på sin nettside. Ved å følge noen grunnleggende praksiser kan bedrifter bygge sin egen interne IaaS-skytjenester og sikre at de oppfyller sine egne standarder og alle andre nødvendige bransjekrav.
| 
Publisert på 20.10.2014 10:49:09
|
|
|
