Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Programowanie Czat techniczny Wdrożenia IaaS lokalnie: Zarządzaj bezpieczeństwem maszyny wirtualnej
Widok: 11133|Odpowiedź: 0

Wdrożenia IaaS lokalnie: Zarządzaj bezpieczeństwem maszyny wirtualnej

[Skopiuj link]
Opublikowano 20.10.2014 10:49:09 | | |

Wdrażając lokalną infrastrukturę jako usługę (IaaS) w chmurze, należy uwzględniać szerokie aspekty bezpieczeństwa, co oznacza, że organizacja musi nie tylko przestrzegać najlepszych praktyk bezpieczeństwa, ale także spełniać wymagania regulacyjne.

W tym artykule omówimy, jak kontrolować instancje maszyn wirtualnych, platformy zarządzania oraz infrastrukturę sieciową i magazynową wspierającą implementacje IaaS.

Instancje maszyny wirtualnej

Po pierwsze, system operacyjny i aplikacje maszyny wirtualnej (VM) muszą być zablokowane i odpowiednio skonfigurowane według istniejących reguł, takich jak wytyczne konfiguracyjne Internet Security Center (CIS). Właściwe zarządzanie maszynami wirtualnymi skutkuje także bardziej solidnymi i spójnymi działaniami zarządzania konfiguracją.

Kluczem do tworzenia i zarządzania konfiguracjami bezpieczeństwa na instancjach maszyn wirtualnych jest użycie szablonów. Administratorzy powinni tworzyć "złoty obraz" do inicjalizacji wszystkich maszyn wirtualnych w chmurze. Powinien opracować ten szablon i wdrożyć rygorystyczne kontrole rewizji, aby wszystkie poprawki i inne aktualizacje były stosowane na czas.

Wiele platform wirtualizacyjnych oferuje specyficzne mechanizmy kontrolne, aby zapewnić bezpieczeństwo maszyn wirtualnych; Użytkownicy korporacyjni powinni w pełni korzystać z tych funkcji. Na przykład ustawienia konfiguracji maszyny wirtualnej VMware wyraźnie ograniczają operacje kopiowania i wklejania między maszyną wirtualną a leżącym hipernadzorcą, co może pomóc zapobiec kopiowaniu wrażliwych danych do pamięci i schowka hipernadzorcy. Produkty platformy Microsoft Corporation i Citrix System oferują podobną, ograniczoną funkcjonalność kopiowania-wklejania. Inne platformy oferują także funkcje pomagające firmom w wyłączaniu niepotrzebnych urządzeń, ustawianiu parametrów logowania i innych.

Ponadto, zabezpieczając instancje maszyn wirtualnych, należy wyizolować maszyny wirtualne działające w różnych regionach chmury zgodnie ze standardowymi zasadami klasyfikacji danych. Ponieważ maszyny wirtualne dzielą zasoby sprzętowe, ich uruchamianie w tym samym regionie chmury obliczeniowej może prowadzić do kolizji danych w pamięci, choć prawdopodobieństwo takich konfliktów jest dziś bardzo niskie.

Platforma zarządzania

Drugim kluczem do zabezpieczenia środowiska wirtualnego jest zabezpieczenie platformy zarządzającej, która współpracuje z maszyną wirtualną oraz konfiguruje i monitoruje używany system hipernadzorcy.

Te platformy, takie jak VMware vCenter, Microsoft System Center Virtual Machine Manager (SCVMM) oraz XenCenter firmy Citrix, posiadają własne, lokalne mechanizmy bezpieczeństwa, które można zaimplementować. Na przykład Vcenter jest często instalowany na Windows i dziedziczy rolę lokalnego administratora z uprawnieniami systemowymi, chyba że odpowiednie role i uprawnienia zostaną zmodyfikowane podczas instalacji.

Jeśli chodzi o narzędzia zarządzania, zapewnienie bezpieczeństwa bazy danych zarządzania jest najważniejsze, ale wiele produktów domyślnie nie posiada wbudowanego zabezpieczenia. Co najważniejsze, role i uprawnienia muszą być przypisane różnym rolom operacyjnym w ramach platformy zarządzającej. Chociaż wiele organizacji posiada zespół wirtualizacyjny zarządzający operacjami maszyny wirtualnej w chmurze IaaS, kluczowe jest nieudzielanie zbyt wielu uprawnień w konsoli zarządzania. Polecam przyznawać uprawnienia zespołom zajmującym się przechowywaniem, sieciami, administracją systemami i innymi, tak jak w tradycyjnym środowisku centrum danych.

W przypadku narzędzi zarządzania chmurą, takich jak vCloud Director i OpenStack, role i uprawnienia powinny być starannie przypisane, a różni użytkownicy wirtualni w chmurze muszą być uwzględnieni. Na przykład zespół deweloperski powinien mieć maszyny wirtualne do swoich zadań roboczych, które powinny być odizolowane od maszyn wirtualnych używanych przez zespół finansowy.

Wszystkie narzędzia zarządzania powinny być izolowane w osobnym segmencie sieci, dlatego warto wymagać dostępu do tych systemów przez "jump box" lub dedykowaną bezpieczną platformę proxy, taką jak HyTrust, gdzie można ustanowić silną autoryzację i scentralizowany monitoring użytkowników.

Infrastruktura sieciowa i magazynowa

Chociaż zabezpieczenie sieci i pamięci masowej, które wspierają chmurę IaaS, jest szerokim zadaniem, istnieją pewne ogólne najlepsze praktyki, które należy wdrożyć.

W środowiskach przechowywania pamiętaj, że jak każdy wrażliwy plik, musisz chronić swoją maszynę wirtualną. Niektóre pliki przechowują prawidłową pamięć lub migawki pamięci (które mogą być najbardziej czułe, na przykład te zawierające dane uwierzytelniające użytkownika i inne wrażliwe dane), podczas gdy inne reprezentują pełny dysk twardy systemu. W obu przypadkach plik zawiera wrażliwe dane. Kluczowe jest, aby oddzielne numery jednostek logicznych (LUN) oraz strefy/domeny w środowisku pamięci masowej mogły izolować systemy o różnej wrażliwości. Jeśli dostępne jest szyfrowanie na poziomie sieci pamięci masowej (SAN), rozważ, czy jest ono stosowne.

Po stronie sieci ważne jest, aby poszczególne segmenty CIDR były izolowane i kontrolowane przez wirtualne sieci lokalne (VLAN) oraz kontrolę dostępu. Jeśli szczegółowe zabezpieczenia są niezbędne w środowisku wirtualnym, przedsiębiorstwa mogą rozważyć użycie wirtualnych zapor sieciowych i urządzeń do wykrywania włamań. Sama platforma VMware vCloud jest zintegrowana z wirtualnym systemem bezpieczeństwa vShield, a dostępne są także inne produkty tradycyjnych dostawców sieci. Dodatkowo warto rozważyć segmenty sieci, gdzie wrażliwe dane maszyny wirtualnej mogą być przesyłane w tekście jawnym, takie jak sieci vMotion. W tym środowisku VMware dane w formacie jawnym są przesyłane z jednego hipernadzorcy do drugiego, co czyni wrażliwe dane podatnymi na wycieki.

konkluzja

Jeśli chodzi o zabezpieczanie środowisk wirtualnych czy prywatnej chmury obliczeniowej IaaS, kontrola w tych trzech obszarach to tylko wierzchołek góry lodowej. Więcej informacji można znaleźć w VMware z serią dogłębnych praktycznych poradników dotyczących utwardzania i oceniania konkretnych kontroli, a OpenStack udostępnia na swojej stronie internetowej przewodnik po bezpieczeństwie. Stosując się do podstawowych praktyk, firmy mogą zbudować własne, wewnętrzne chmury obliczeniowe IaaS i zapewnić spełnienie własnych standardów oraz wszystkich innych niezbędnych wymagań branżowych.






Poprzedni:20 października 2014 Udostępnianie kont członków Thunder
Następny:Niezawodność dysków twardych według producenta

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com