Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Programmeren Technische chat On-premises IaaS-implementaties: Beheer virtuele machinebeveiliging
Bekijken: 11133|Antwoord: 0

On-premises IaaS-implementaties: Beheer virtuele machinebeveiliging

[Link kopiëren]
Geplaatst op 20-10-2014 10:49:09 | | |

Bij het implementeren van een on-premises infrastructure-as-a-service (IaaS) cloud computing moet er een brede beveiligingsoverweging zijn, wat betekent dat de organisatie niet alleen rekening moet houden met het voldoen aan beveiligingsbest practices, maar ook aan de wettelijke vereisten moet voldoen.

In dit artikel bespreken we hoe virtuele machine-instanties, beheerplatforms en de netwerk- en opslaginfrastructuur die IaaS-implementaties ondersteunt kunt beheren.

Virtuele machine-instanties

Ten eerste moeten het besturingssysteem en de applicaties van de virtuele machine (VM) worden afgesloten en correct worden geconfigureerd met bestaande regels, zoals de configuratierichtlijnen van het Internet Security Center (CIS). Goed VM-beheer resulteert ook in robuustere en consistentere configuratiebeheermaatregelen.

De sleutel tot het creëren en beheren van beveiligingsconfiguraties op virtuele machine-instanties is het gebruik van sjablonen. Het is verstandig voor beheerders om een "gouden image" te maken voor het initialiseren van alle virtuele machines in cloud computing. Hij moet dit sjabloon baseren en strikte revisiecontroles implementeren om ervoor te zorgen dat alle patches en andere updates tijdig worden toegepast.

Veel virtualisatieplatforms bieden specifieke controles om de beveiliging van virtuele machines te waarborgen; Zakelijke gebruikers moeten zeker optimaal gebruik maken van deze functies. Zo beperken de configuratie-instellingen van VMware de virtuele machine specifiek kopieer- en plakoperaties tussen de virtuele machine en de onderliggende hypervisor, wat kan helpen voorkomen dat gevoelige gegevens naar het geheugen en de klemplank van de hypervisor worden gekopieerd. Microsoft Corporation en Citrix System-platforms bieden vergelijkbare beperkte kopieer-plakfunctionaliteit. Andere platforms bieden ook functies om bedrijven te helpen onnodige apparaten uit te schakelen, logparameters in te stellen en meer.

Zorg er ook voor dat virtuele machine-instanties worden beveiligd en virtuele machines die in verschillende cloud computing-regio's draaien volgens standaard dataclassificatieprincipes worden geïsoleerd. Omdat virtuele machines hardwarebronnen delen, kan het draaien ervan in hetzelfde cloudcomputinggebied leiden tot databotsingen in het geheugen, hoewel de kans op dergelijke conflicten tegenwoordig extreem laag is.

Beheerplatform

De tweede sleutel tot het beveiligen van een virtuele omgeving is het beveiligen van het beheerplatform dat interacteert met de virtuele machine en het onderliggende hypervisorsysteem configureert en monitort.

Deze platforms, zoals VMware's vCenter, Microsoft's System Center Virtual Machine Manager (SCVMM) en Citrix's XenCenter, hebben hun eigen on-premises beveiligingsmaatregelen die kunnen worden geïmplementeerd. Vcenter wordt bijvoorbeeld vaak op Windows geïnstalleerd en erft de lokale beheerderrol met systeemrechten, tenzij de relevante rollen en rechten tijdens het installatieproces worden gewijzigd.

Als het gaat om beheertools, is het waarborgen van de beveiliging van de beheerdatabase van het grootste belang, maar veel producten hebben standaard geen ingebouwde beveiliging. Het belangrijkste is dat rollen en rechten moeten worden toegewezen aan verschillende operationele rollen binnen het managementplatform. Hoewel veel organisaties een virtualisatieteam hebben dat virtuele machineoperaties binnen de IaaS-cloud beheert, is het essentieel om niet te veel rechten binnen de beheerconsole toe te kennen. Ik raad aan om rechten te verlenen aan opslag-, netwerk-, systeembeheer- en andere teams, net zoals je dat zou doen in een traditionele datacenteromgeving.

Voor cloudbeheertools zoals vCloud Director en OpenStack moeten rollen en rechten zorgvuldig worden toegewezen, en moeten verschillende eindgebruikers van cloudvirtuele machines worden opgenomen. Het ontwikkelingsteam zou bijvoorbeeld virtuele machines moeten hebben voor hun werktaken die geïsoleerd moeten zijn van de virtuele machines die door het financiële team worden gebruikt.

Alle beheertools moeten geïsoleerd zijn in een apart netwerksegment, en het is verstandig om toegang tot deze systemen te vereisen via een "jump box" of een speciale veilige proxyplatform zoals HyTrust, waar je sterke authenticatie en gecentraliseerde gebruikersmonitoring kunt opzetten.

Netwerk- en opslaginfrastructuur

Hoewel het beveiligen van het netwerk en de opslag die IaaS cloud computing vooruit helpen een brede taak is, zijn er enkele algemene best practices die geïmplementeerd moeten worden.

Voor opslagomgevingen moet je onthouden dat je, net als bij elk ander gevoelig bestand, je virtuele machine moet beschermen. Sommige bestanden slaan geldige geheugen- of geheugensnapshots op (die mogelijk het gevoeligst zijn, zoals die welke gebruikersgegevens en andere gevoelige gegevens kunnen bevatten), terwijl andere de volledige harde schijf van het systeem weergeven. In beide gevallen bevat het bestand gevoelige gegevens. Het is cruciaal dat afzonderlijke logische eenheidsnummers (LUN's) en zones/domeinen in een opslagomgeving systemen met verschillende gevoeligheden kunnen isoleren. Als encryptie op opslaggebied (SAN)-niveau beschikbaar is, overweeg dan of deze toepasbaar is.

Aan de netwerkzijde is het belangrijk om ervoor te zorgen dat individuele CIDR-segmenten geïsoleerd zijn en onder controle staan van virtuele lokale netwerken (VLAN's) en toegangscontroles. Als fijnmazige beveiligingsmaatregelen noodzakelijk zijn in een virtuele omgeving, kunnen ondernemingen overwegen virtuele firewalls en virtuele inbraakdetectieapparaten te gebruiken. Het vCloud-platform van VMware zelf is geïntegreerd met de virtuele beveiligingsfaciliteit van vShield, terwijl ook andere producten van traditionele netwerkleveranciers beschikbaar zijn. Daarnaast moet u netwerksegmenten overwegen waar gevoelige virtuele machinegegevens in platte tekst kunnen worden verzonden, zoals vMotion-netwerken. In deze VMware-omgeving worden platte tekstgeheugengegevens van de ene hypervisor naar de andere overgedragen, waardoor gevoelige gegevens kwetsbaar zijn voor lekkages.

conclusie

Als het gaat om het beveiligen van virtuele omgevingen of IaaS private cloud computing, zijn de controles in deze drie gebieden slechts het topje van de ijsberg. Voor meer informatie heeft VMware een reeks diepgaande praktische hardening-handleidingen voor het evalueren van specifieke controles, en OpenStack biedt een beveiligingsgids op zijn website. Door enkele basispraktijken te volgen, kunnen bedrijven hun eigen interne IaaS cloud computing bouwen en ervoor zorgen dat ze aan hun eigen standaarden en alle andere noodzakelijke industrie-eisen voldoen.






Vorig:20 oktober 2014 Thunder-ledenaccount delen
Volgend:Betrouwbaarheid van harde schijven per fabrikant

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com