|
При развертывании локальных облачных вычислений инфраструктуры как услуги (IaaS) необходимо учитывать широкий аспект безопасности, то есть организация должна учитывать не только соблюдение лучших практик безопасности, но и соблюдение нормативных требований. В этой статье мы обсудим, как управлять экземплярами виртуальных машин, управляющими платформами, а также сетевой и хранилищей, поддерживающей реализации IaaS. Экземпляры виртуальных машин Во-первых, операционная система и приложения виртуальной машины (VM) должны быть заблокированы и корректно настроены с использованием существующих правил, таких как руководства по конфигурации от Центра интернет-безопасности (CIS). Правильное управление виртуальными машинами также приводит к более надёжным и последовательным мерам управления конфигурациями. Ключ к созданию и управлению конфигурациями безопасности на экземплярах виртуальных машин — это использование шаблонов. Администраторам разумно создавать «золотой образ» для инициализации всех виртуальных машин в облачных вычислениях. Он должен разработать этот шаблон и внедрить строгий контроль за правками, чтобы все патчи и другие обновления применялись своевременно. Многие платформы виртуализации предоставляют специальные органы управления для обеспечения безопасности виртуальных машин; Корпоративные пользователи должны полностью использовать эти функции. Например, настройки конфигурации виртуальной машины VMware специально ограничивают операции копирования и вставки между виртуальной машиной и базовым гипервизором, что помогает предотвратить копирование конфиденциальных данных в память и буфер обмена гипервизором. Продукты Microsoft Corporation и Citrix System предлагают аналогичную ограниченную функциональность копирования и вставки. Другие платформы также предоставляют функции, помогающие бизнесу отключать ненужные устройства, устанавливать параметры логирования и многое другое. Также при защите экземпляров виртуальных машин обязательно изолируйте виртуальные машины, работающие в различных областях облачных вычислений, согласно стандартным принципам классификации данных. Поскольку виртуальные машины используют общие аппаратные ресурсы, их работа в одном и том же облачном регионе может привести к столкновениям данных в памяти, хотя вероятность таких конфликтов сегодня крайне мала. Платформа управления Второй ключ к защите виртуальной среды — это защита платформы управления, которая взаимодействует с виртуальной машиной и настраивает и мониторит используемую гипервизорную систему. Эти платформы, такие как vCenter от VMware, System Center Virtual Machine Manager (SCVMM) от Microsoft и XenCenter от Citrix, оснащены собственными локальными системами контроля безопасности, которые можно реализовывать. Например, Vcenter часто устанавливается на Windows и наследует локальную роль администратора с системными правами, если только соответствующие роли и права не изменяются в процессе установки. Что касается инструментов управления, обеспечение безопасности базы данных управления имеет первостепенное значение, но многие продукты по умолчанию не имеют встроенной безопасности. Самое главное — роли и права должны быть назначены разным операционным ролям внутри управляющей платформы. Хотя во многих организациях есть команда виртуализации, управляющая операциями виртуальных машин в облаке IaaS, ключевым является отсутствие слишком большого количества разрешений внутри консоли управления. Рекомендую предоставлять разрешения для хранения данных, сетей, системного администрирования и других команд, так же, как в традиционных дата-центрах. Для облачных инструментов управления, таких как vCloud Director и OpenStack, роли и права на права должны быть тщательно распределены, а также включать различных конечных пользователей облачных виртуальных машин. Например, команда разработчиков должна иметь виртуальные машины для своих рабочих задач, которые должны быть изолированы от виртуальных машин, используемых финансовой командой. Все инструменты управления должны быть изолированы в отдельном сетевом сегменте, и разумно требовать доступ к этим системам через «прыжковый бокс» или специализированную защищённую прокси-платформу, такую как HyTrust, где можно наладить мощную аутентификацию и централизованный мониторинг пользователей. Сетевая и инфраструктура хранения Хотя безопасность сети и хранилища, способствующих развитию облачных вычислений IaaS, является широкой задачей, существуют общие лучшие практики, которые следует внедрять. Для среды хранения помните, что, как и любой другой чувствительный файл, вы должны защищать свою виртуальную машину. Некоторые файлы хранят действительные снимки памяти или памяти (которые могут быть самыми чувствительными, например, содержащие учетные данные пользователя и другие конфиденциальные данные), в то время как другие представляют полный жёсткий диск системы. В обоих случаях файл содержит конфиденциальные данные. Крайне важно, чтобы отдельные логические номера единиц (LUN) и зоны/домены в среде хранения могли изолировать системы с разной чувствительностью. Если доступно шифрование на уровне сети хранения данных (SAN), рассмотрите, применимо ли это. Со стороны сети важно убедиться, что отдельные сегменты CIDR изолированы и находятся под контролем виртуальных локальных сетей (VLAN) и систем контроля доступа. Если в виртуальной среде необходимы тонкие меры безопасности, предприятия могут рассмотреть использование виртуальных межсетевых экранов и устройств обнаружения виртуальных вторжений. Платформа vCloud от VMware интегрирована с виртуальной системой безопасности vShield, а также доступны другие продукты от традиционных сетевых поставщиков. Кроме того, стоит рассмотреть сегменты сети, где чувствительные данные виртуальных машин могут передаваться в открытом виде, например, сети vMotion. В этой среде VMware открытые данные памяти передаются от одного гипервизора к другому, что делает чувствительные данные уязвимыми к утечке. заключение Когда речь идёт о защите виртуальных сред или частных облачных вычислений IaaS, управление в этих трёх областях — лишь верхушка айсберга. Для получения дополнительной информации VMware предлагает серию подробных практических руководств по усилению для оценки конкретных элементов управления, а OpenStack предоставляет руководство по безопасности на своём сайте. Следуя базовым практикам, компании могут создавать собственные облачные технологии IaaS и обеспечивать соответствие своим стандартам и всем другим необходимым отраслевым требованиям.
| 
Опубликовано 20.10.2014 10:49:09
|
|
|
