當部署一個內部基礎設施即服務(IaaS)云計算時��,應當對安全性方面有一個廣泛的考慮�,即企業(yè)不僅必須考慮滿足安全性最佳實踐的要求,而且同時也應考慮符合監(jiān)管的要求�。
在本文中�����,我們將具體討論如何控制虛擬機實例����、管理平臺�、以及支持IaaS實施的網(wǎng)絡與存儲基礎設施。
Advertisement
虛擬機實例
首先����,虛擬機(VM)的操作系統(tǒng)和應用程序必須被鎖定,并使用現(xiàn)有的規(guī)則進行正確配置�����,如來自于互聯(lián)網(wǎng)安全中心(CIS)的配置指導準則���。正確的虛擬機管理還會產(chǎn)生一些更為健全和一致的配置管理措施���。
在虛擬機實例上創(chuàng)建和管理安全配置的關鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機而創(chuàng)建一個“黃金鏡像”是非常明智的做法��。他應當為這個模板打好基線并執(zhí)行嚴格的修訂控制�����,以確保所有的補丁和其他更新能夠及時地得到應用。
很多虛擬化平臺為確保虛擬機的安全性都提供了具體的控制措施�;企業(yè)用戶當然應該充分使用好這些功能。例如���,VMware公司的虛擬機配置設置會特別地限制虛擬機與底層管理程序之間的復制與粘貼操作��,這一限制措施可以有助于防止敏感數(shù)據(jù)被復制到管理程序的內存和剪貼板��。微軟公司和Citrix System公司的平臺產(chǎn)品可提供類似的限制復制粘貼功能。其他的平臺還提供了幫助企業(yè)禁用不必要的設備��、設置日志記錄參數(shù)等功能���。
此外��,當確保虛擬機實例安全性時�,請務必根據(jù)標準數(shù)據(jù)分類原則隔離在不同云計算區(qū)域運行的虛擬機��。由于虛擬機是共享硬件資源的��,所以在相同云計算區(qū)域內運行虛擬機可能會導致數(shù)據(jù)在內存中發(fā)生沖突���,雖然如今這種沖突發(fā)生的概率極低�。
管理平臺
確保虛擬環(huán)境安全性的第二個關鍵在于確保管理平臺的安全性,這個管理平臺會與虛擬機進行交互����,并配置和監(jiān)控使用中的底層管理程序系統(tǒng)。
這些平臺(如VMware的vCenter����、Microsoft的系統(tǒng)中心虛擬機管理器(SCVMM)以及Citrix的XenCenter)都配有他們各自可實施的本地安全控制措施。例如����,Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權限,除非在安裝過程中相關的角色和權限被修改�����。
當談及管理工具時��,確保管理數(shù)據(jù)庫的安全性是最為重要的���,但是很多產(chǎn)品的默認設置并不具備內在的安全性�。最重要的是��,必須在管理平臺內為不同的運營角色分配角色和權限。雖然很多企業(yè)都擁有一支在IaaS云計算內管理虛擬機運行的虛擬化團隊�,但是在管理控制臺內不授予過多的權限是其中的關鍵。我建議為存儲��、網(wǎng)絡����、系統(tǒng)管理及其它團隊授予相關權限,就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中做的一樣����。
對于諸如vCloud Director和OpenStack這樣的云計算管理工具,應當仔細分配好角色和權限�,同時必須包括云計算虛擬機的不同最終用戶。例如�,開發(fā)團隊應當擁有用于他們工作任務的虛擬機�,這些虛擬機應當與財務團隊使用的虛擬機隔離開。
所有的管理工具都應被隔離在一個單獨的網(wǎng)段中�����,而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統(tǒng)是一個好主意�,在這樣的代理平臺上你可以建立強大的認證和集中授權用戶監(jiān)控。
網(wǎng)絡和存儲基礎設施
雖然確保推進IaaS云計算的網(wǎng)絡和存儲的安全性是一項涉及范圍頗廣的任務���,但還是有著一些應當實施的通用最佳實踐�。
對于存儲環(huán)境而言,請謹記����,如同其他任何的敏感文件一樣,必須保護好虛擬機�����。某些文件存儲有效的內存或內存快照(可能是最敏感的���,如可能包含用戶憑據(jù)和其他敏感數(shù)據(jù))�����,而其他的文件代表系統(tǒng)的完整硬盤��。在這兩種情況下���,文件中都包含了敏感數(shù)據(jù)。在存儲環(huán)境中使用單獨的邏輯單元號(LUNs)和區(qū)/域可以隔離不同敏感性的系統(tǒng)�,這是至關重要的。如果存儲區(qū)域網(wǎng)絡(SAN)級加密功能可用,請考慮該功能是否適用�����。
在網(wǎng)絡側�����,請務必確保單個網(wǎng)段是隔離的�����,并在虛擬本地局域網(wǎng)(VLAN)和訪問控制的控制下����。如果在虛擬環(huán)境下細粒度安全控制是必須的,那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測設備�����。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設施���,而傳統(tǒng)網(wǎng)絡供應商的其他產(chǎn)品也可用。此外�����,還應考慮敏感虛擬機數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段,如vMotion網(wǎng)絡���。在這個VMware環(huán)境中�����,明文內存數(shù)據(jù)將從一個管理程序傳輸至另一個�,而使敏感數(shù)據(jù)易于泄漏����。
結論
當談及確保虛擬環(huán)境或IaaS私有云計算安全性時,上述三個方面的控制措施只是冰山一角����。如需了解更多信息,VMware有一系列深入強化的實用指南以用于評估具體的控制措施�����,而OpenStack在其網(wǎng)站上提供了一個安全性指南�����。通過遵循一些基本的做法,企業(yè)可以構建他們自己的內部IaaS云計算�,并確保它們能夠滿足他們自己的標準和所有其他必要的行業(yè)要求。
來源:CIO時代網(wǎng)
版權及免責聲明:凡本網(wǎng)所屬版權作品����,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力����。凡轉載文章,不代表本網(wǎng)觀點和立場��。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
