|
Vid implementering av en on-premises infrastructure-as-a-service (IaaS) molntjänster bör det finnas en bred säkerhetsaspekt, vilket innebär att organisationen inte bara måste uppfylla säkerhetspraxis utan också följa regulatoriska krav. I den här artikeln kommer vi att diskutera hur man kontrollerar virtuella maskininstanser, hanteringsplattformar samt nätverks- och lagringsinfrastrukturen som stöder IaaS-implementationer. Virtuella maskininstanser För det första måste operativsystemet och applikationerna i den virtuella maskinen (VM) låsas och konfigureras korrekt med befintliga regler, såsom konfigurationsriktlinjerna från Internet Security Center (CIS). Korrekt VM-hantering resulterar också i mer robusta och konsekventa konfigurationshanteringsåtgärder. Nyckeln till att skapa och hantera säkerhetskonfigurationer på virtuella maskininstanser är användningen av mallar. Det är klokt för administratörer att skapa en "gyllene bild" för att initiera alla virtuella maskiner i molntjänster. Han bör baslinea denna mall och införa strikta versionskontroller för att säkerställa att alla patchar och andra uppdateringar tillämpas i tid. Många virtualiseringsplattformar tillhandahåller specifika kontroller för att säkerställa säkerheten för virtuella maskiner; Företagsanvändare bör absolut utnyttja dessa funktioner fullt ut. Till exempel begränsar VMwares konfigurationsinställningar för virtuella maskiner specifikt kopierings- och klistra-in-operationer mellan den virtuella maskinen och den underliggande hypervisorn, vilket kan hjälpa till att förhindra att känslig data kopieras till hypervisorns minne och urklipp. Microsoft Corporation och Citrix System-plattformsprodukter erbjuder liknande begränsad kopiera-klistra-in-funktionalitet. Andra plattformar erbjuder också funktioner som hjälper företag att inaktivera onödiga enheter, sätta loggningsparametrar och mer. När du säkrar virtuella maskininstanser, se också till att isolera virtuella maskiner som körs i olika molntjänster enligt standardprinciper för dataklassificering. Eftersom virtuella maskiner delar hårdvaruresurser kan körning i samma molnregion leda till datakollisioner i minnet, även om sannolikheten för sådana konflikter idag är extremt låg. Förvaltningsplattform Den andra nyckeln till att säkra en virtuell miljö är att säkra hanteringsplattformen som interagerar med den virtuella maskinen och konfigurerar och övervakar det underliggande hypervisorsystemet som används. Dessa plattformar, såsom VMwares vCenter, Microsofts System Center Virtual Machine Manager (SCVMM) och Citrix XenCenter, har egna säkerhetskontroller på plats som kan implementeras. Till exempel installeras Vcenter ofta på Windows och ärver rollen som lokal administratör med systemrättigheter, om inte relevanta roller och behörigheter ändras under installationsprocessen. När det gäller hanteringsverktyg är säkerheten i hanteringsdatabasen avgörande, men många produkter har inte inbyggd säkerhet som standard. Viktigast av allt måste roller och behörigheter tilldelas olika operativa roller inom ledningsplattformen. Även om många organisationer har ett virtualiseringsteam som hanterar virtuella maskinoperationer i IaaS-molnet, är det avgörande att inte ge för många behörigheter i hanteringskonsolen. Jag rekommenderar att ge behörigheter till lagring, nätverk, systemadministration och andra team, precis som man skulle göra i en traditionell datacentermiljö. För molnhanteringsverktyg som vCloud Director och OpenStack bör roller och behörigheter noggrant tilldelas, och olika slutanvändare av molnbaserade virtuella maskiner måste inkluderas. Till exempel bör utvecklingsteamet ha virtuella maskiner för sina arbetsuppgifter som bör vara isolerade från de virtuella maskiner som används av ekonomiteamet. Alla hanteringsverktyg bör isoleras i ett separat nätverkssegment, och det är en bra idé att kräva åtkomst till dessa system via en "jump box" eller en dedikerad säker proxyplattform som HyTrust, där du kan etablera stark autentisering och centraliserad användarövervakning. Nätverks- och lagringsinfrastruktur Även om det är en bred uppgift att säkra nätverket och lagringen som utvecklar IaaS-molntjänster, finns det några allmänna bästa praxis som bör implementeras. För lagringsmiljöer, kom ihåg att precis som med andra känsliga filer måste du skydda din virtuella maskin. Vissa filer lagrar giltigt minne eller minnessnapshots (som kan vara de mest känsliga, såsom de som kan innehålla användaruppgifter och annan känslig data), medan andra representerar systemets fulla hårddisk. I båda fallen innehåller filen känslig data. Det är avgörande att separata logiska enhetsnummer (LUN) och zoner/domäner i en lagringsmiljö kan isolera system med olika känsligheter. Om kryptering på lagringsområdesnät (SAN)-nivå finns tillgänglig, överväg om den är tillämplig. På nätverkssidan är det viktigt att säkerställa att enskilda CIDR-segment är isolerade och kontrolleras av virtuella lokala nätverk (VLAN) och åtkomstkontroller. Om finjusterade säkerhetskontroller är ett måste i en virtuell miljö kan företag överväga att använda virtuella brandväggar och virtuella intrångsdetekteringsapparater. VMwares vCloud-plattform är integrerad med dess virtuella säkerhetsanläggning vShield, medan andra produkter från traditionella nätverksleverantörer också finns tillgängliga. Dessutom bör du överväga nätverkssegment där känslig virtuell maskindata kan överföras i klartext, såsom vMotion-nätverk. I denna VMware-miljö överförs klartextminnesdata från en hypervisor till en annan, vilket gör känslig data sårbar för läckage. slutsats När det gäller att säkra virtuella miljöer eller IaaS privat molntjänster är kontrollerna inom dessa tre områden bara toppen av isberget. För mer information har VMware en serie djupgående praktiska härdningsguider för att utvärdera specifika kontroller, och OpenStack tillhandahåller en säkerhetsguide på sin webbplats. Genom att följa några grundläggande rutiner kan företag bygga sin egen interna IaaS-molntjänst och säkerställa att de kan uppfylla sina egna standarder och alla andra nödvändiga branschkrav.
| 
Publicerad på 2014-10-20 10:49:09
|
|
|
