|
Atunci când se implementează un cloud computing on-premises infrastructure-as-a-service (IaaS), ar trebui să existe o considerație largă de securitate, ceea ce înseamnă că organizația trebuie să ia în considerare nu doar respectarea celor mai bune practici de securitate, ci și respectarea cerințelor de reglementare. În acest articol, vom discuta despre cum să controlezi instanțele mașinilor virtuale, platformele de management și infrastructura de rețea și stocare care suportă implementările IaaS. Instanțe de mașini virtuale În primul rând, sistemul de operare și aplicațiile mașinii virtuale (VM) trebuie blocate și configurate corect folosind regulile existente, cum ar fi ghidurile de configurare de la Internet Security Center (CIS). O gestionare corectă a mașinilor virtuale duce, de asemenea, la măsuri de gestionare a configurației mai robuste și mai consistente. Cheia creării și gestionării configurațiilor de securitate pe instanțele mașinilor virtuale este utilizarea șabloanelor. Este înțelept ca administratorii să creeze o "imagine de aur" pentru a inițializa toate mașinile virtuale din cloud computing. El ar trebui să înțeleagă acest șablon de bază și să implementeze controale stricte de revizuire pentru a se asigura că toate patch-urile și celelalte actualizări sunt aplicate la timp. Multe platforme de virtualizare oferă controale specifice pentru a asigura securitatea mașinilor virtuale; Utilizatorii enterprise ar trebui cu siguranță să folosească pe deplin aceste funcții. De exemplu, setările de configurare ale mașinii virtuale VMware restricționează în mod specific operațiunile de copiere și lipire între mașina virtuală și hipervizorul de bază, ceea ce poate ajuta la prevenirea copierii datelor sensibile în memoria și clipboard-ul hipervizorului. Produsele Microsoft Corporation și platforma Citrix System oferă funcționalități limitate similare de copiare-lipire. Alte platforme oferă, de asemenea, funcții pentru a ajuta afacerile să dezactiveze dispozitive inutile, să seteze parametri de înregistrare și multe altele. De asemenea, atunci când securizați instanțele mașinilor virtuale, asigurați-vă că izolați mașinile virtuale care rulează în diferite regiuni de cloud computing, conform principiilor standard de clasificare a datelor. Deoarece mașinile virtuale împart resurse hardware, rularea lor în aceeași regiune de cloud computing poate duce la coliziuni de date în memorie, deși probabilitatea unor astfel de conflicte este extrem de mică astăzi. Platformă de management A doua cheie pentru securizarea unui mediu virtual este securizarea platformei de management care interacționează cu mașina virtuală și configurează și monitorizează sistemul hipervizor de bază în uz. Aceste platforme, precum vCenter de la VMware, System Center Virtual Machine Manager (SCVMM) de la Microsoft și XenCenter de la Citrix, vin cu propriile controale de securitate on-premises care pot fi implementate. De exemplu, Vcenter este adesea instalat pe Windows și moștenește rolul de administrator local cu privilegii de sistem, cu excepția cazului în care rolurile și permisiunile relevante sunt modificate în timpul procesului de instalare. Când vine vorba de unelte de management, asigurarea securității bazei de date de management este esențială, însă multe produse nu au securitate integrată implicit. Cel mai important, rolurile și permisiunile trebuie atribuite diferitelor roluri operaționale din cadrul platformei de management. Deși multe organizații au o echipă de virtualizare care gestionează operațiunile mașinilor virtuale în cloud-ul IaaS, este esențial să nu acorde prea multe permisiuni în consola de administrare. Recomand să acordați permisiuni echipelor de stocare, rețelistică, administrare de sistem și altor echipe, exact ca într-un mediu tradițional de centru de date. Pentru instrumentele de management cloud precum vCloud Director și OpenStack, rolurile și permisiunile trebuie atribuite cu grijă, iar utilizatorii finali diferiți ai mașinilor virtuale cloud trebuie incluși. De exemplu, echipa de dezvoltare ar trebui să aibă mașini virtuale pentru sarcinile lor de lucru care să fie izolate de mașinile virtuale folosite de echipa financiară. Toate instrumentele de management ar trebui să fie izolate într-un segment de rețea separat, iar este o idee bună să se solicite acces la aceste sisteme printr-un "jump box" sau o platformă proxy dedicată și securizată, cum ar fi HyTrust, unde poți stabili o autentificare puternică și monitorizare centralizată a utilizatorilor. Infrastructură de rețea și stocare Deși securizarea rețelei și a stocării care avansează cloud computing-ul IaaS este o sarcină largă, există câteva bune practici generale care ar trebui implementate. Pentru mediile de stocare, amintește-ți că, la fel ca orice alt fișier sensibil, trebuie să-ți protejezi mașina virtuală. Unele fișiere stochează memoria validă sau snapshot-uri de memorie (care pot fi cele mai sensibile, cum ar fi cele care pot conține credențiale de utilizator și alte date sensibile), în timp ce altele reprezintă întregul hard disk al sistemului. În ambele cazuri, fișierul conține date sensibile. Este esențial ca numerele unităților logice (LUN-uri) și zonele/domeniile separate într-un mediu de stocare să poată izola sistemele cu sensibilități diferite. Dacă criptarea la nivel de rețea de spațiu de stocare (SAN) este disponibilă, luați în considerare dacă este aplicabilă. Pe partea de rețea, este important să se asigure că segmentele CIDR individuale sunt izolate și sub controlul rețelelor virtuale locale (VLAN) și al controlului accesului. Dacă controalele de securitate detaliate sunt esențiale într-un mediu virtual, atunci companiile pot lua în considerare utilizarea firewall-urilor virtuale și a dispozitivelor de detectare a intruziunilor virtuale. Platforma vCloud a VMware este integrată cu facilitatea sa de securitate virtuală vShield, în timp ce alte produse de la furnizorii tradiționali de rețea sunt de asemenea disponibile. În plus, ar trebui să iei în considerare segmentele de rețea unde datele sensibile ale mașinilor virtuale pot fi transmise în text clar, cum ar fi rețelele vMotion. În acest mediu VMware, datele de memorie în text clar sunt transferate de la un hipervizor la altul, făcând datele sensibile vulnerabile la scurgeri. concluzie Când vine vorba de securizarea mediilor virtuale sau a cloud computingului privat IaaS, controalele din aceste trei domenii sunt doar vârful aisbergului. Pentru mai multe informații, VMware are o serie de ghiduri practice detaliate de consolidare pentru evaluarea unor controale specifice, iar OpenStack oferă un ghid de securitate pe site-ul său. Urmând câteva practici de bază, companiile își pot construi propriul cloud computing IaaS intern și se pot asigura că își pot îndeplini propriile standarde și toate celelalte cerințe necesare din industrie.
| 
Postat pe 20.10.2014 10:49:09
|
|
|
