Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Programiranje Tehnični pogovor Namestitve IaaS na lokaciji: Upravljanje varnosti virtualnih strojev
Pogled: 11133|Odgovoriti: 0

Namestitve IaaS na lokaciji: Upravljanje varnosti virtualnih strojev

[Kopiraj povezavo]
Objavljeno na 20. 10. 2014 10:49:09 | | |

Pri uvajanju lokalne infrastrukture kot storitve (IaaS) računalništva v oblaku mora biti upoštevan širok varnostni vidik, kar pomeni, da mora organizacija upoštevati ne le izpolnjevanje najboljših varnostnih praks, temveč tudi izpolnjevanje regulativnih zahtev.

V tem članku bomo razpravljali o tem, kako nadzorovati instance virtualnih strojev, upravljavske platforme ter omrežno in shranjevalno infrastrukturo, ki podpira implementacije IaaS.

Instance virtualnih strojev

Najprej je treba operacijski sistem in aplikacije navideznega stroja (VM) zakleniti in pravilno konfigurirati z obstoječimi pravili, kot so konfiguracijska navodila Internet Security Center (CIS). Pravilno upravljanje VM prinaša tudi bolj robustne in dosledne ukrepe za upravljanje konfiguracije.

Ključ do ustvarjanja in upravljanja varnostnih konfiguracij na instancah virtualnih strojev je uporaba predlog. Pametno je, da administratorji ustvarijo "zlato sliko" za inicializacijo vseh virtualnih strojev v računalništvu v oblaku. To predlogo bi moral oblikovati kot osnovo in uvesti stroge revizijske kontrole, da zagotovi, da so vse popravke in druge posodobitve uporabljene pravočasno.

Številne virtualizacijske platforme zagotavljajo posebne kontrole za zagotavljanje varnosti virtualnih strojev; Poslovni uporabniki bi morali te funkcije v celoti izkoristiti. Na primer, nastavitve konfiguracije virtualnih strojev v VMware posebej omejujejo operacije kopiranja in lepljenja med virtualnim strojem in osnovnim hipervizorjem, kar lahko pomaga preprečiti kopiranje občutljivih podatkov v pomnilnik in odložišče hipervizorja. Platformni izdelki Microsoft Corporation in Citrix System ponujajo podobno omejeno funkcionalnost kopiranja in lepljenja. Druge platforme ponujajo tudi funkcije, ki podjetjem pomagajo onemogočiti nepotrebne naprave, nastaviti parametre beleženja in še več.

Prav tako pri varovanju instanc virtualnih strojev poskrbite, da izolirate virtualne stroje, ki delujejo v različnih regijah računalništva v oblaku, v skladu s standardnimi načeli klasifikacije podatkov. Ker virtualni stroji delijo strojne vire, lahko njihovo delovanje v isti regiji računalništva v oblaku povzroči trke podatkov v pomnilniku, čeprav je verjetnost takšnih konfliktov danes izjemno nizka.

Platforma za upravljanje

Drugi ključ do varovanja virtualnega okolja je zaščita upravljalne platforme, ki sodeluje z virtualnim strojem ter konfigurira in spremlja osnovni hipervizorski sistem, ki se uporablja.

Te platforme, kot so VMwarejev vCenter, Microsoftov System Center Virtual Machine Manager (SCVMM) in Citrixov XenCenter, imajo lastne varnostne kontrole, ki jih je mogoče implementirati. Na primer, Vcenter je pogosto nameščen na Windows in podeduje vlogo lokalnega administratorja s sistemskimi pravicami, razen če se ustrezne vloge in dovoljenja spremenijo med namestitvijo.

Pri orodjih za upravljanje je zagotavljanje varnosti upravljalske baze podatkov ključnega pomena, vendar mnogi izdelki privzeto nimajo vgrajene varnosti. Najpomembneje je, da morajo biti vloge in dovoljenja dodeljena različnim operativnim vlogam znotraj upravljalne platforme. Čeprav ima veliko organizacij virtualizacijsko ekipo, ki upravlja delovanje virtualnih strojev v IaaS oblaku, je ključno, da ne podelite preveč dovoljenj v upravljalski konzoli. Priporočam, da podelite dovoljenja za shranjevanje, omrežja, sistemsko administracijo in druge ekipe, tako kot bi to storili v tradicionalnem podatkovnem centru.

Pri orodjih za upravljanje oblaka, kot sta vCloud Director in OpenStack, je treba vloge in dovoljenja natančno dodeliti, vključiti pa tudi različne končne uporabnike virtualnih strojev v oblaku. Na primer, razvojna ekipa bi morala imeti virtualne stroje za svoje delovne naloge, ki naj bodo ločene od virtualnih strojev, ki jih uporablja finančna ekipa.

Vsa orodja za upravljanje naj bodo izolirana v ločenem omrežnem segmentu, zato je priporočljivo zahtevati dostop do teh sistemov prek "jump boxa" ali namenske varne proxy platforme, kot je HyTrust, kjer lahko vzpostavite močno avtentikacijo in centralizirano spremljanje uporabnikov.

Omrežna in shranjevalna infrastruktura

Čeprav je zavarovanje omrežja in shranjevanja, ki napreduje IaaS računalništvo v oblaku, široka naloga, je treba upoštevati nekatere splošne najboljše prakse.

Pri shranjevalnih okoljih ne pozabite, da morate, tako kot pri vsaki drugi občutljivi datoteki, zaščititi svoj virtualni stroj. Nekatere datoteke shranjujejo veljavne pomnilniške ali pomnilniške posnetke (ki so lahko najbolj občutljivi, na primer tisti, ki vsebujejo uporabniške podatke in druge občutljive podatke), medtem ko druge predstavljajo celoten trdi disk sistema. V obeh primerih datoteka vsebuje občutljive podatke. Ključno je, da ločene logične enotne številke (LUN) in cone/domene v shranjevalnem okolju lahko izolirajo sisteme z različnimi občutljivostmi. Če je na voljo šifriranje na ravni omrežja za shranjevanje (SAN), razmislite, ali je uporabno.

Na omrežni strani je pomembno zagotoviti, da so posamezni segmenti CIDR izolirani in pod nadzorom virtualnih lokalnih omrežij (VLAN-ov) ter nadzora dostopa. Če so v virtualnem okolju nujni natančni varnostni nadzori, lahko podjetja razmislijo o uporabi virtualnih požarnih zidov in naprav za zaznavanje virtualnih vdorov. VMwarejeva vCloud platforma je integrirana z virtualno varnostno napravo vShield, medtem ko so na voljo tudi drugi izdelki tradicionalnih omrežnih ponudnikov. Poleg tega bi morali upoštevati omrežne segmente, kjer se lahko občutljivi podatki virtualnih strojev prenašajo v navadnem besedilu, kot so vMotion omrežja. V tem VMware okolju se podatki v navadnem besedilu iz pomnilnika prenašajo iz enega hipervizorja v drugega, zaradi česar so občutljivi podatki ranljivi za uhajanje.

Sklep

Ko gre za varovanje virtualnih okolij ali IaaS zasebnega računalništva v oblaku, so kontrole na teh treh področjih le vrh ledene gore. Za več informacij ima VMware serijo poglobljenih praktičnih vodičev za utrjevanje določenih kontrol, OpenStack pa na svoji spletni strani ponuja varnostni vodič. Z upoštevanjem osnovnih praks lahko podjetja zgradijo lastno lastno IaaS računalništvo v oblaku in zagotovijo, da izpolnjujejo svoje standarde in vse druge potrebne industrijske zahteve.






Prejšnji:20. oktober 2014 Deljenje računov članov Thunderja
Naslednji:Zanesljivost trdih diskov po proizvajalcu

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com