|
Pri nasadzovaní on-premises infrastructure-as-service (IaaS) cloud computingu by mala byť zohľadnená široká bezpečnostná úvaha, čo znamená, že organizácia musí zvážiť nielen dodržiavanie bezpečnostných štandardov, ale aj regulačné požiadavky. V tomto článku sa budeme venovať tomu, ako ovládať inštancie virtuálnych strojov, platformy na správu a sieťovú a úložnú infraštruktúru, ktorá podporuje implementácie IaaS. Inštancie virtuálnych strojov Po prvé, operačný systém a aplikácie virtuálneho stroja (VM) musia byť uzamknuté a správne nakonfigurované podľa existujúcich pravidiel, ako sú konfiguračné smernice od Internet Security Center (CIS). Správne riadenie VM tiež vedie k robustnejším a konzistentnejším opatreniam na správu konfigurácie. Kľúčom k vytváraniu a správe bezpečnostných konfigurácií na inštanciách virtuálnych strojov je použitie šablón. Je rozumné, aby administrátori vytvorili "zlatý obraz" na inicializáciu všetkých virtuálnych strojov v cloud computingu. Mal by túto šablónu základne nastaviť a zaviesť prísne revízne kontroly, aby zabezpečil, že všetky záplaty a ďalšie aktualizácie budú aplikované včas. Mnohé virtualizačné platformy poskytujú špecifické kontroly na zabezpečenie bezpečnosti virtuálnych strojov; Podnikoví používatelia by určite mali tieto funkcie plne využiť. Napríklad nastavenia konfigurácie virtuálneho stroja VMware špecificky obmedzujú operácie kopírovania a vkladania medzi virtuálnym strojom a podkladovým hypervízorom, čo môže pomôcť zabrániť kopírovaniu citlivých údajov do pamäte a do schránky hypervízora. Platformy Microsoft Corporation a Citrix System ponúkajú podobnú obmedzenú funkciu kopírovania a vkladania. Iné platformy tiež poskytujú funkcie, ktoré firmám pomáhajú deaktivovať zbytočné zariadenia, nastaviť parametre logovania a ďalšie. Tiež pri zabezpečení inštancií virtuálnych strojov sa uistite, že izolujete virtuálne stroje bežiace v rôznych oblastiach cloud computingu podľa štandardných princípov klasifikácie dát. Keďže virtuálne stroje zdieľajú hardvérové zdroje, ich prevádzka v rovnakom cloud computingovom regióne môže viesť ku kolíziám dát v pamäti, hoci pravdepodobnosť takýchto konfliktov je dnes extrémne nízka. Platforma na správu Druhým kľúčom k zabezpečeniu virtuálneho prostredia je zabezpečiť správcovskú platformu, ktorá interaguje s virtuálnym strojom a konfiguruje a monitoruje používaný hypervízorový systém. Tieto platformy, ako VMware vCenter, Microsoft System Center Virtual Machine Manager (SCVMM) a Citrix XenCenter, majú vlastné lokálne bezpečnostné kontroly, ktoré je možné implementovať. Napríklad Vcenter je často nainštalovaný na Windows a dedí lokálnu administrátorskú rolu so systémovými oprávneniami, pokiaľ nie sú počas inštalácie upravené príslušné roly a oprávnenia. Pokiaľ ide o nástroje na správu, zabezpečenie bezpečnosti databázy je kľúčové, no mnohé produkty nemajú zabudovanú bezpečnosť automaticky. Najdôležitejšie je, aby roly a oprávnenia boli priradené rôznym prevádzkovým rolám v rámci manažérskej platformy. Hoci mnohé organizácie majú virtualizačný tím, ktorý spravuje prevádzku virtuálnych strojov v rámci IaaS cloudu, kľúčové je neudeľovať príliš veľa oprávnení v správcovskej konzole. Odporúčam udeľovať oprávnenia tímom na úložiská, sieťovanie, správu systémov a ďalšie tímy, rovnako ako by ste to robili v tradičnom prostredí dátového centra. Pre nástroje na správu cloudu, ako sú vCloud Director a OpenStack, by mali byť roly a oprávnenia starostlivo priradené a musia byť zahrnutí rôzni koncoví používatelia cloudových virtuálnych strojov. Napríklad vývojový tím by mal mať virtuálne stroje pre svoje pracovné úlohy, ktoré by mali byť izolované od virtuálnych strojov používaných finančným tímom. Všetky nástroje na správu by mali byť izolované v samostatnom segmente siete a je dobré vyžadovať prístup k týmto systémom cez "jump box" alebo dedikovanú bezpečnú proxy platformu, ako je HyTrust, kde môžete nastaviť silnú autentifikáciu a centralizované monitorovanie používateľov. Sieťová a úložná infraštruktúra Hoci zabezpečenie siete a úložiska, ktoré posúva cloud computing v IaaS, je široká úloha, existujú niektoré všeobecné osvedčené postupy, ktoré by sa mali zaviesť. Pri úložných prostrediach pamätajte, že rovnako ako pri každom inom citlivom súbore, musíte chrániť svoj virtuálny stroj. Niektoré súbory ukladajú platnú pamäť alebo snímky pamäte (ktoré môžu byť najcitlivejšie, napríklad tie, ktoré môžu obsahovať používateľské prihlasovacie údaje a iné citlivé údaje), zatiaľ čo iné predstavujú celý pevný disk systému. V oboch prípadoch súbor obsahuje citlivé údaje. Je kritické, aby samostatné logické jednotkové čísla (LUN) a zóny/domény v úložnom prostredí dokázali izolovať systémy s rôznou citlivosťou. Ak je šifrovanie na úrovni storage area network (SAN) dostupné, zvážte, či je použiteľné. Na strane siete je dôležité zabezpečiť, aby jednotlivé segmenty CIDR boli izolované a pod kontrolou virtuálnych lokálnych sietí (VLAN) a prístupových kontrol. Ak sú detailné bezpečnostné opatrenia nevyhnutné vo virtuálnom prostredí, podniky môžu zvážiť použitie virtuálnych firewallov a zariadení na detekciu virtuálnych prienikov. Samotná vCloud platforma VMware je integrovaná s virtuálnym bezpečnostným zariadením vShield, pričom sú dostupné aj ďalšie produkty od tradičných sieťových dodávateľov. Okrem toho by ste mali zvážiť sieťové segmenty, kde môžu byť citlivé dáta virtuálnych strojov prenášané v čistom texte, napríklad vMotion siete. V tomto prostredí VMware sa čisté textové pamäťové dáta prenášajú z jedného hypervízora na druhý, čím sa citlivé údaje stávajú zraniteľnými voči úniku. záver Pokiaľ ide o zabezpečenie virtuálnych prostredí alebo IaaS privátneho cloud computingu, ovládanie v týchto troch oblastiach je len špičkou ľadovca. Pre viac informácií má VMware sériu podrobných praktických príručiek na vyhodnotenie špecifických kontrol a OpenStack poskytuje bezpečnostnú príručku na svojej webovej stránke. Dodržiavaním základných postupov môžu firmy vytvoriť vlastné interné IaaS cloud computing a zabezpečiť, že spĺňajú vlastné štandardy a všetky ostatné potrebné požiadavky odvetvia.
| 
Zverejnené 20. 10. 2014 10:49:09
|
|
|
