當(dāng)部署一個(gè)內(nèi)部基礎(chǔ)設(shè)施即服務(wù)(IaaS)云計(jì)算時(shí),應(yīng)當(dāng)對(duì)安全性方面有一個(gè)廣泛的考慮�����,即企業(yè)不僅必須考慮滿(mǎn)足安全性最佳實(shí)踐的要求,而且同時(shí)也應(yīng)考慮符合監(jiān)管的要求���。
在本文中���,我們將具體討論如何控制虛擬機(jī)實(shí)例、管理平臺(tái)�����、以及支持IaaS實(shí)施的網(wǎng)絡(luò)與存儲(chǔ)基礎(chǔ)設(shè)施���。
Advertisement
虛擬機(jī)實(shí)例
首先�����,虛擬機(jī)(VM)的操作系統(tǒng)和應(yīng)用程序必須被鎖定����,并使用現(xiàn)有的規(guī)則進(jìn)行正確配置�����,如來(lái)自于互聯(lián)網(wǎng)安全中心(CIS)的配置指導(dǎo)準(zhǔn)則��。正確的虛擬機(jī)管理還會(huì)產(chǎn)生一些更為健全和一致的配置管理措施。
在虛擬機(jī)實(shí)例上創(chuàng)建和管理安全配置的關(guān)鍵在于使用模板����。管理員為在云計(jì)算中初始化所有的虛擬機(jī)而創(chuàng)建一個(gè)“黃金鏡像”是非常明智的做法��。他應(yīng)當(dāng)為這個(gè)模板打好基線(xiàn)并執(zhí)行嚴(yán)格的修訂控制���,以確保所有的補(bǔ)丁和其他更新能夠及時(shí)地得到應(yīng)用�����。
很多虛擬化平臺(tái)為確保虛擬機(jī)的安全性都提供了具體的控制措施�;企業(yè)用戶(hù)當(dāng)然應(yīng)該充分使用好這些功能��。例如�����,VMware公司的虛擬機(jī)配置設(shè)置會(huì)特別地限制虛擬機(jī)與底層管理程序之間的復(fù)制與粘貼操作�,這一限制措施可以有助于防止敏感數(shù)據(jù)被復(fù)制到管理程序的內(nèi)存和剪貼板。微軟公司和Citrix System公司的平臺(tái)產(chǎn)品可提供類(lèi)似的限制復(fù)制粘貼功能����。其他的平臺(tái)還提供了幫助企業(yè)禁用不必要的設(shè)備���、設(shè)置日志記錄參數(shù)等功能。
此外����,當(dāng)確保虛擬機(jī)實(shí)例安全性時(shí),請(qǐng)務(wù)必根據(jù)標(biāo)準(zhǔn)數(shù)據(jù)分類(lèi)原則隔離在不同云計(jì)算區(qū)域運(yùn)行的虛擬機(jī)�����。由于虛擬機(jī)是共享硬件資源的���,所以在相同云計(jì)算區(qū)域內(nèi)運(yùn)行虛擬機(jī)可能會(huì)導(dǎo)致數(shù)據(jù)在內(nèi)存中發(fā)生沖突���,雖然如今這種沖突發(fā)生的概率極低。
管理平臺(tái)
確保虛擬環(huán)境安全性的第二個(gè)關(guān)鍵在于確保管理平臺(tái)的安全性�����,這個(gè)管理平臺(tái)會(huì)與虛擬機(jī)進(jìn)行交互��,并配置和監(jiān)控使用中的底層管理程序系統(tǒng)����。
這些平臺(tái)(如VMware的vCenter��、Microsoft的系統(tǒng)中心虛擬機(jī)管理器(SCVMM)以及Citrix的XenCenter)都配有他們各自可實(shí)施的本地安全控制措施���。例如,Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權(quán)限����,除非在安裝過(guò)程中相關(guān)的角色和權(quán)限被修改�。
當(dāng)談及管理工具時(shí),確保管理數(shù)據(jù)庫(kù)的安全性是最為重要的�,但是很多產(chǎn)品的默認(rèn)設(shè)置并不具備內(nèi)在的安全性。最重要的是�,必須在管理平臺(tái)內(nèi)為不同的運(yùn)營(yíng)角色分配角色和權(quán)限。雖然很多企業(yè)都擁有一支在IaaS云計(jì)算內(nèi)管理虛擬機(jī)運(yùn)行的虛擬化團(tuán)隊(duì)��,但是在管理控制臺(tái)內(nèi)不授予過(guò)多的權(quán)限是其中的關(guān)鍵�����。我建議為存儲(chǔ)���、網(wǎng)絡(luò)��、系統(tǒng)管理及其它團(tuán)隊(duì)授予相關(guān)權(quán)限�����,就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中做的一樣����。
對(duì)于諸如vCloud Director和OpenStack這樣的云計(jì)算管理工具,應(yīng)當(dāng)仔細(xì)分配好角色和權(quán)限���,同時(shí)必須包括云計(jì)算虛擬機(jī)的不同最終用戶(hù)��。例如��,開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)當(dāng)擁有用于他們工作任務(wù)的虛擬機(jī)�,這些虛擬機(jī)應(yīng)當(dāng)與財(cái)務(wù)團(tuán)隊(duì)使用的虛擬機(jī)隔離開(kāi)��。
所有的管理工具都應(yīng)被隔離在一個(gè)單獨(dú)的網(wǎng)段中�,而要求通過(guò)一個(gè)“跳箱”或諸如HyTrust這樣的專(zhuān)用安全代理平臺(tái)訪(fǎng)問(wèn)這些系統(tǒng)是一個(gè)好主意,在這樣的代理平臺(tái)上你可以建立強(qiáng)大的認(rèn)證和集中授權(quán)用戶(hù)監(jiān)控���。
網(wǎng)絡(luò)和存儲(chǔ)基礎(chǔ)設(shè)施
雖然確保推進(jìn)IaaS云計(jì)算的網(wǎng)絡(luò)和存儲(chǔ)的安全性是一項(xiàng)涉及范圍頗廣的任務(wù)���,但還是有著一些應(yīng)當(dāng)實(shí)施的通用最佳實(shí)踐。
對(duì)于存儲(chǔ)環(huán)境而言��,請(qǐng)謹(jǐn)記,如同其他任何的敏感文件一樣��,必須保護(hù)好虛擬機(jī)���。某些文件存儲(chǔ)有效的內(nèi)存或內(nèi)存快照(可能是最敏感的�����,如可能包含用戶(hù)憑據(jù)和其他敏感數(shù)據(jù)),而其他的文件代表系統(tǒng)的完整硬盤(pán)����。在這兩種情況下,文件中都包含了敏感數(shù)據(jù)�����。在存儲(chǔ)環(huán)境中使用單獨(dú)的邏輯單元號(hào)(LUNs)和區(qū)/域可以隔離不同敏感性的系統(tǒng)�����,這是至關(guān)重要的�����。如果存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)級(jí)加密功能可用,請(qǐng)考慮該功能是否適用���。
在網(wǎng)絡(luò)側(cè)����,請(qǐng)務(wù)必確保單個(gè)網(wǎng)段是隔離的���,并在虛擬本地局域網(wǎng)(VLAN)和訪(fǎng)問(wèn)控制的控制下�。如果在虛擬環(huán)境下細(xì)粒度安全控制是必須的�,那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測(cè)設(shè)備。VMware公司的vCloud平臺(tái)本身已集成了其vShield虛擬安全設(shè)施����,而傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商的其他產(chǎn)品也可用。此外����,還應(yīng)考慮敏感虛擬機(jī)數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段,如vMotion網(wǎng)絡(luò)�����。在這個(gè)VMware環(huán)境中,明文內(nèi)存數(shù)據(jù)將從一個(gè)管理程序傳輸至另一個(gè)����,而使敏感數(shù)據(jù)易于泄漏。
結(jié)論
當(dāng)談及確保虛擬環(huán)境或IaaS私有云計(jì)算安全性時(shí)�,上述三個(gè)方面的控制措施只是冰山一角。如需了解更多信息�����,VMware有一系列深入強(qiáng)化的實(shí)用指南以用于評(píng)估具體的控制措施�����,而OpenStack在其網(wǎng)站上提供了一個(gè)安全性指南���。通過(guò)遵循一些基本的做法,企業(yè)可以構(gòu)建他們自己的內(nèi)部IaaS云計(jì)算�����,并確保它們能夠滿(mǎn)足他們自己的標(biāo)準(zhǔn)和所有其他必要的行業(yè)要求����。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
