|
Yerel altyapı-hizmet olarak (IaaS) bulut bilişim kurulumu sırasında geniş bir güvenlik değerlendirmesi olmalıdır; yani kuruluş sadece en iyi güvenlik uygulamalarını karşılamayı değil, aynı zamanda düzenleyici gereksinimlere uymayı da göz önünde bulundurmalıdır. Bu makalede, sanal makine örneklerini, yönetim platformlarını ve IaaS uygulamalarını destekleyen ağ ve depolama altyapısını nasıl kontrol edeceğimizi tartışacağız. Sanal makine örnekleri İlk olarak, sanal makinenin (VM) işletim sistemi ve uygulamaları kilitlenmeli ve İnternet Güvenlik Merkezi'nin (CIS) yapılandırma yönergeleri gibi mevcut kurallarla doğru şekilde yapılandırılmalıdır. Doğru VM yönetimi ayrıca bazı daha sağlam ve tutarlı yapılandırma yönetim önlemleri sağlar. Sanal makine örneklerinde güvenlik yapılandırmaları oluşturma ve yönetmenin anahtarı, şablonların kullanılmasıdır. Yöneticilerin, bulut bilişimdeki tüm sanal makineleri başlatmak için "altın bir görüntü" oluşturmaları akıllıca olur. Bu şablonu temel oluşturmalı ve tüm yamaların ve diğer güncellemelerin zamanında uygulanmasını sağlamak için sıkı revizyon kontrolleri uygulamalıdır. Birçok sanallaştırma platformu, sanal makinelerin güvenliğini sağlamak için özel kontroller sağlar; Kurumsal kullanıcılar bu özelliklerden tam anlamıyla yararlanmalıdır. Örneğin, VMware'in sanal makine yapılandırma ayarları, sanal makine ile altta yatan hipervizör arasındaki kopyala-yapıştır işlemlerini özellikle kısıtlar; bu da hassas verilerin hipervizörün belleğine ve panosuna kopyalanmasını önlemeye yardımcı olabilir. Microsoft Corporation ve Citrix System platform ürünleri benzer sınırlı kopyala-yapıştır işlevselliği sunar. Diğer platformlar da işletmelerin gereksiz cihazları devre dışı bırakmasına, kayıt parametrelerini belirlemesine ve daha fazlasını sağlayan özellikler sunuyor. Ayrıca, sanal makine örneklerini güvence altına alırken, farklı bulut hesaplama bölgelerinde çalışan sanal makineleri standart veri sınıflandırma ilkelerine göre izole ettiğinizden emin olun. Sanal makineler donanım kaynaklarını paylaştıkları için, bunları aynı bulut bilişim bölgesinde çalıştırmak bellekte veri çarpışmalarına yol açabilir, ancak bugün bu tür çatışmaların olasılığı oldukça düşüktür. Yönetim platformu Sanal bir ortamı güvence altına almanın ikinci anahtarı, sanal makineyle etkileşime giren ve kullanılan temel hipervizör sistemini yapılandıran ve izleyen yönetim platformunu güvence altına almaktır. VMware'in vCenter'ı, Microsoft'un System Center Virtual Machine Manager (SCVMM) ve Citrix'in XenCenter gibi bu platformlar, uygulanabilecek kendi yerel güvenlik kontrolleriyle geliyor. Örneğin, Vcenter genellikle Windows'ta kurulur ve kurulum sürecinde ilgili roller ve izinler değiştirilmezse, yerel yönetici rolünü sistem ayrıcalıklarıyla devralır. Yönetim araçları söz konusu olduğunda, yönetim veritabanının güvenliğini sağlamak en önemli şeydir, ancak birçok üründe varsayılan olarak yerleşik güvenlik yoktur. En önemlisi, roller ve izinler yönetim platformunda farklı operasyonel rollere atanmalıdır. Birçok kuruluşun IaaS bulutunda sanal makine işlemlerini yöneten bir sanallaştırma ekibi olsa da, yönetim konsolunda çok fazla izin vermemek çok önemlidir. Geleneksel bir veri merkezi ortamında olduğu gibi depolama sistemi, ağ, sistem yönetimi ve diğer ekiplere izin vermeyi öneririm. vCloud Director ve OpenStack gibi bulut yönetim araçları için roller ve izinler dikkatlice atanmalı ve bulut sanal makinelerinin farklı son kullanıcıları dahil edilmelidir. Örneğin, geliştirme ekibinin iş görevleri için finansal ekibin kullandığı sanal makinelerden izole edilmesi gereken sanal makineler olmalıdır. Tüm yönetim araçları ayrı bir ağ segmentinde izole edilmeli ve bu sistemlere bir "jump box" veya HyTrust gibi özel güvenli proxy platformu aracılığıyla erişim talep etmek iyi bir fikirdir; burada güçlü kimlik doğrulama ve merkezi kullanıcı izleme kurulabilir. Ağ ve depolama altyapısı IaaS bulut bilişimi geliştiren ağ ve depolamayı güvence altına almak geniş bir görev olsa da, uygulanması gereken bazı genel en iyi uygulamalar da vardır. Depolama ortamları için, diğer hassas dosyalar gibi, sanal makinenizi korumanız gerektiğini unutmayın. Bazı dosyalar geçerli bellek veya bellek anlık görüntülerini (en hassas olanlar, örneğin kullanıcı kimlik bilgileri ve diğer hassas veriler içerebilir) saklarken, diğerleri sistemin tam sabit diskini temsil eder. Her iki durumda da dosya hassas veriler içerir. Bir depolama ortamında ayrı mantıksal birim sayıları (LUN) ve bölgelerin/alanların farklı hassasiyetlere sahip sistemleri izole edebilmesi kritik öneme sahiptir. Depolama alanı ağı (SAN) seviyesinde şifreleme varsa, bunun uygulanabilir olup olmadığını düşünün. Ağ tarafında, bireysel CIDR segmentlerinin izole edilmesi ve sanal yerel alan ağları (VLAN) ile erişim kontrollerinin kontrolü altında olması önemlidir. Eğer sanal ortamda ince detaylı güvenlik kontrolleri zorunluysa, işletmeler sanal güvenlik duvarları ve sanal müdahale tespit cihazları kullanmayı düşünebilir. VMware'in vCloud platformu, vShield sanal güvenlik tesisiyle entegre olup, geleneksel ağ üreticilerinin diğer ürünleri de mevcuttur. Ayrıca, hassas sanal makine verilerinin açık metin olarak iletilebileceği ağ segmentlerini de göz önünde bulundurmalısınız; örneğin vMotion ağları. Bu VMware ortamında, düz metin bellek verileri bir hipervizordan diğerine aktarılır ve hassas veriler sızıntıya karşı savunmasız hale gelir. son Sanal ortamların güvenliği veya IaaS özel bulut bilişim söz konusu olduğunda, bu üç alandaki kontroller sadece buzdağının görünen kısmıdır. Daha fazla bilgi için, VMware'in belirli kontrolleri değerlendirmek için derinlemesine sertleştirme pratik rehberleri var ve OpenStack web sitesinde bir güvenlik rehberi sunmaktadır. Bazı temel uygulamaları takip ederek, işletmeler kendi iç IaaS bulut bilişimlerini kurabilir ve kendi standartlarını ve diğer tüm gerekli sektör gereksinimlerini karşılayabileceklerinden emin olabilirler.
| 
Yayınlandı 20.10.2014 10:49:09
|
|
|
