|
Під час впровадження локальних інфраструктурних хмарних обчислень (IaaS) має враховуватися широкий аспект безпеки, тобто організація повинна враховувати не лише дотримання найкращих практик безпеки, а й регуляторних вимог. У цій статті ми розглянемо, як керувати екземплярами віртуальних машин, платформами управління, а також мережевою та інфраструктурою зберігання, що підтримує реалізацію IaaS. Екземпляри віртуальних машин По-перше, операційна система та додатки віртуальної машини (VM) мають бути заблоковані та коректно налаштовані з використанням існуючих правил, таких як керівництва конфігурації від Інтернет-центру безпеки (CIS). Правильне управління віртуальними машинами також забезпечує більш надійні та послідовні заходи управління конфігурацією. Ключем до створення та управління конфігураціями безпеки на екземплярах віртуальних машин є використання шаблонів. Адміністраторам варто створити «золотий образ» для ініціалізації всіх віртуальних машин у хмарних обчисленнях. Він повинен базувати цей шаблон і впровадити суворий контроль версій, щоб усі патчі та інші оновлення вчасно застосовувалися. Багато платформ віртуалізації забезпечують специфічні контролі для забезпечення безпеки віртуальних машин; Корпоративні користувачі повинні повністю використовувати ці функції. Наприклад, налаштування віртуальної машини VMware спеціально обмежують операції копіювання та вставки між віртуальною машиною та базовим гіпервізором, що може допомогти запобігти копіюванню конфіденційних даних у пам'ять гіпервізора та буфер обміну. Продукти Microsoft Corporation та платформи Citrix System пропонують подібні обмежені функції копіювання-вставки. Інші платформи також пропонують функції, які допомагають бізнесу вимикати непотрібні пристрої, встановлювати параметри логування та інше. Також, при захисті екземплярів віртуальних машин, обов'язково ізолюйте віртуальні машини, що працюють у різних регіонах хмарних обчислень, відповідно до стандартних принципів класифікації даних. Оскільки віртуальні машини ділять апаратні ресурси, їх запуск у тому ж хмарному регіоні може призвести до зіткнень даних у пам'яті, хоча ймовірність таких конфліктів сьогодні надзвичайно низька. Платформа управління Другий ключ до забезпечення безпеки віртуального середовища — це захист платформи керування, яка взаємодіє з віртуальною машиною та налаштовує та моніторить базову систему гіпервізора, що використовується. Ці платформи, такі як vCenter від VMware, System Center Virtual Machine Manager (SCVMM) від Microsoft та XenCenter від Citrix, мають власні локальні системи контролю безпеки, які можна реалізувати. Наприклад, Vcenter часто встановлюється на Windows і успадковує роль локального адміністратора з системними привілеями, якщо відповідні ролі та дозволи не змінені під час процесу встановлення. Що стосується інструментів управління, забезпечення безпеки бази даних управління є надзвичайно важливим, але багато продуктів за замовчуванням не мають вбудованої безпеки. Найголовніше, що ролі та дозволи мають бути призначені різним операційним ролям у межах платформи управління. Хоча багато організацій мають команду віртуалізації, яка керує операціями віртуальних машин у хмарі IaaS, ключовим є надання надто великої кількості дозволів у консолі керування. Рекомендую надавати дозволи для зберігання, мереж, системного адміністрування та інших команд, так само, як у традиційному дата-центрі. Для інструментів управління хмарою, таких як vCloud Director та OpenStack, ролі та дозволи слід ретельно призначати, а також включати різних кінцевих користувачів хмарних віртуальних машин. Наприклад, команда розробників повинна мати віртуальні машини для своїх робочих завдань, які мають бути ізольовані від віртуальних машин, які використовує фінансова команда. Усі інструменти управління мають бути ізольовані в окремому сегменті мережі, і добре вимагати доступ до цих систем через «jump box» або спеціалізовану безпечну проксі-платформу, таку як HyTrust, де можна встановити потужну автентифікацію та централізований моніторинг користувачів. Мережа та інфраструктура зберігання даних Хоча забезпечення безпеки мережі та сховища, які сприяють розвитку хмарних обчислень IaaS, є широким завданням, існують загальні найкращі практики, які слід впроваджувати. Для середовищ зберігання пам'ятайте, що, як і будь-який інший чутливий файл, ви повинні захищати свою віртуальну машину. Деякі файли зберігають дійсні знімки пам'яті або пам'яті (які можуть бути найчутливішими, наприклад, ті, що містять облікові дані користувача та інші конфіденційні дані), тоді як інші представляють повний жорсткий диск системи. В обох випадках файл містить конфіденційні дані. Критично важливо, щоб окремі логічні номери одиниць (LUN) та зони/домени у середовищі зберігання могли ізолювати системи з різною чутливістю. Якщо доступне шифрування на рівні мережі зберігання (SAN), розгледіть, чи воно застосовне. З боку мережі важливо забезпечити, щоб окремі сегменти CIDR були ізольовані та перебувають під контролем віртуальних локальних мереж (VLAN) та систем контролю доступу. Якщо в віртуальному середовищі потрібні тонкі системи безпеки, підприємства можуть розглянути використання віртуальних міжмережевих екранів і пристроїв для виявлення віртуальних проникнень. Сама платформа vCloud від VMware інтегрована з віртуальною системою безпеки vShield, а також доступні інші продукти від традиційних мережевих постачальників. Крім того, варто розглянути сегменти мережі, де чутливі дані віртуальних машин можуть передаватися у відкритому тексті, наприклад, мережі vMotion. У цьому середовища VMware відкритий текст пам'яті передається від одного гіпервізора до іншого, що робить чутливі дані вразливими до витоків. висновок Коли йдеться про захист віртуальних середовищ або приватних хмарних обчислень IaaS, керування в цих трьох сферах — лише верхівка айсберга. Для отримання додаткової інформації VMware має серію глибоких практичних посібників з загартування для оцінки конкретних елементів контролю, а OpenStack надає інструкцію з безпеки на своєму вебсайті. Дотримуючись базових практик, бізнес може створити власні хмарні системи IaaS і забезпечити відповідність власним стандартам та всім необхідним галузевим вимогам.
| 
Опубліковано 20.10.2014 10:49:09
|
|
|
