Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Programação Chat técnico Implantações IaaS on-premiss: Gerencie a segurança de máquinas virtuais
Vista: 11546|Resposta: 0

Implantações IaaS on-premiss: Gerencie a segurança de máquinas virtuais

[Copiar link]
Publicado em 20/10/2014 10:49:09 | | |

Ao implantar uma computação em nuvem on-premises infrastructure-as-a-service (IaaS), deve haver uma consideração ampla de segurança, o que significa que a organização deve considerar não apenas cumprir as melhores práticas de segurança, mas também cumprir os requisitos regulatórios.

Neste artigo, discutiremos como controlar instâncias de máquinas virtuais, plataformas de gerenciamento e a infraestrutura de rede e armazenamento que suporta implementações de IaaS.

Instâncias de máquinas virtuais

Primeiro, o sistema operacional e as aplicações da máquina virtual (VM) devem ser bloqueados e devidamente configurados usando regras existentes, como as diretrizes de configuração do Internet Security Center (CIS). Um gerenciamento adequado de VMs também resulta em medidas de gerenciamento de configuração mais robustas e consistentes.

A chave para criar e gerenciar configurações de segurança em instâncias de máquinas virtuais é o uso de templates. É recomendável que os administradores criem uma "imagem dourada" para inicializar todas as máquinas virtuais na computação em nuvem. Ele deve definir esse modelo de base e implementar controles rigorosos de revisão para garantir que todos os patches e outras atualizações sejam aplicados em tempo hábil.

Muitas plataformas de virtualização fornecem controles específicos para garantir a segurança das máquinas virtuais; Usuários corporativos certamente devem aproveitar plenamente esses recursos. Por exemplo, as configurações de máquina virtual da VMware restringem especificamente as operações de copiar e colar entre a máquina virtual e o hipervisor subjacente, o que pode ajudar a evitar que dados sensíveis sejam copiados para a memória e a área de transferência do hipervisor. Os produtos da plataforma Microsoft Corporation e Citrix System oferecem funcionalidades limitadas semelhantes de copiar e colar. Outras plataformas também oferecem recursos para ajudar empresas a desativar dispositivos desnecessários, definir parâmetros de registro e muito mais.

Além disso, ao proteger instâncias de máquinas virtuais, certifique-se de isolar máquinas virtuais rodando em diferentes regiões de computação em nuvem de acordo com os princípios padrão de classificação de dados. Como as máquinas virtuais compartilham recursos de hardware, executá-las na mesma região de computação em nuvem pode levar a colisões de dados na memória, embora a probabilidade de tais conflitos seja extremamente baixa atualmente.

Plataforma de gestão

A segunda chave para proteger um ambiente virtual é proteger a plataforma de gerenciamento que interage com a máquina virtual e configura e monitora o sistema de hipervisor subjacente em uso.

Essas plataformas, como o vCenter da VMware, o System Center Virtual Machine Manager (SCVMM) da Microsoft e o XenCenter da Citrix, vêm com seus próprios controles de segurança locais que podem ser implementados. Por exemplo, o Vcenter é frequentemente instalado no Windows e herda o papel de administrador local com privilégios do sistema, a menos que os papéis e permissões relevantes sejam modificados durante o processo de instalação.

Quando se trata de ferramentas de gerenciamento, garantir a segurança do banco de dados de gerenciamento é fundamental, mas muitos produtos não possuem segurança embutida por padrão. Mais importante ainda, papéis e permissões devem ser atribuídos a diferentes funções operacionais dentro da plataforma de gestão. Embora muitas organizações tenham uma equipe de virtualização que gerencia as operações das máquinas virtuais dentro da nuvem IaaS, não conceder muitas permissões dentro do console de gerenciamento é fundamental. Recomendo conceder permissões para armazenamento, redes, administração de sistemas e outras equipes, assim como você faria em um ambiente tradicional de data center.

Para ferramentas de gerenciamento em nuvem como vCloud Director e OpenStack, funções e permissões devem ser cuidadosamente atribuídas, e diferentes usuários finais de máquinas virtuais em nuvem devem ser incluídos. Por exemplo, a equipe de desenvolvimento deve ter máquinas virtuais para suas tarefas de trabalho que devem ser isoladas das máquinas virtuais usadas pela equipe financeira.

Todas as ferramentas de gerenciamento devem ser isoladas em um segmento de rede separado, e é uma boa ideia exigir acesso a esses sistemas por meio de uma "jump box" ou de uma plataforma proxy segura dedicada, como a HyTrust, onde você possa estabelecer autenticação forte e monitoramento centralizado do usuário.

Infraestrutura de rede e armazenamento

Embora proteger a rede e o armazenamento que impulsionam a computação em nuvem IaaS seja uma tarefa ampla, existem algumas melhores práticas gerais que devem ser implementadas.

Para ambientes de armazenamento, lembre-se de que, como qualquer outro arquivo sensível, você deve proteger sua máquina virtual. Alguns arquivos armazenam memória válida ou snapshots de memória (que podem ser os mais sensíveis, como aqueles que podem conter credenciais de usuário e outros dados sensíveis), enquanto outros representam o disco rígido completo do sistema. Em ambos os casos, o arquivo contém dados sensíveis. É fundamental que números de unidades lógicas (LUNs) e zonas/domínios separados em um ambiente de armazenamento possam isolar sistemas com sensibilidades diferentes. Se a criptografia em nível de rede de área de armazenamento (SAN) estiver disponível, considere se ela é aplicável.

No lado da rede, é importante garantir que os segmentos CIDR individuais estejam isolados e sob o controle de redes virtuais de área local (VLANs) e controles de acesso. Se controles de segurança detalhados forem essenciais em um ambiente virtual, então as empresas podem considerar o uso de firewalls virtuais e dispositivos de detecção de intrusões virtuais. A própria plataforma vCloud da VMware está integrada à sua facilidade de segurança virtual vShield, enquanto outros produtos de fornecedores tradicionais de redes também estão disponíveis. Além disso, você deve considerar segmentos de rede onde dados sensíveis de máquinas virtuais podem ser transmitidos em texto simples, como redes vMotion. Neste ambiente VMware, os dados de memória em texto simples são transferidos de um hipervisor para outro, tornando dados sensíveis vulneráveis a vazamentos.

conclusão

Quando se trata de proteger ambientes virtuais ou computação privada em nuvem IaaS, os controles nessas três áreas são apenas a ponta do iceberg. Para mais informações, a VMware possui uma série de guias práticos aprofundados de reforço para avaliar controles específicos, e o OpenStack oferece um guia de segurança em seu site. Ao seguir algumas práticas básicas, as empresas podem construir sua própria computação em nuvem IaaS interna e garantir que possam atender aos seus próprios padrões e a todos os demais requisitos necessários do setor.






Anterior:20 de outubro de 2014 Compartilhamento de conta de membro do Thunder
Próximo:Confiabilidade dos discos rígidos por fabricante

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com