企業(yè)網(wǎng)D1Net摘錄信息要點:
1.虛擬機(VM)的操作系統(tǒng)和應用程序必須是被鎖定的,同時必須使用現(xiàn)有的規(guī)則進行正確的配置,如來自于互聯(lián)網(wǎng)安全中心(CIS)的指導準則。
2.確保虛擬環(huán)境安全性的第二個關鍵在于確保管理平臺的安全性,這個管理平臺會與虛擬機交互、配置和監(jiān)控使用中的底層管理程序系統(tǒng)。
3.對于存儲環(huán)境而言,請謹記,如同其他任何的敏感文件一樣,必須保護好虛擬機。某些文件存儲有效的內(nèi)存或內(nèi)存快照(可能是最敏感的,如可能包含的用戶憑據(jù)和其他敏感數(shù)據(jù)),以及其他的文件代表系統(tǒng)的完整硬盤。
當部署一個內(nèi)部基礎設施即服務(IaaS)云計算時,有一個廣泛的安全性方面的考慮,即企業(yè)不僅必須考慮滿足安全性最佳實踐的要求,而且也應符合監(jiān)管的要求。
在本文中,我們將具體討論如何控制虛擬機實例、管理平臺、以及支持IaaS實施的網(wǎng)絡與存儲基礎設施。
虛擬機實例
首先,虛擬機(VM)的操作系統(tǒng)和應用程序必須是被鎖定的,同時必須使用現(xiàn)有的規(guī)則進行正確的配置,如來自于互聯(lián)網(wǎng)安全中心(CIS)的指導準則。正確的虛擬機管理還可能會產(chǎn)生更為健全和一致的配置管理措施。
在虛擬機實例上創(chuàng)建和管理安全配置的關鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機而創(chuàng)建一個“黃金鏡像”是非常明智的做法。應當為這個模板打好基線并執(zhí)行嚴格的修訂控制措施,以確保所有的補丁和其他更新都能夠及時地得到應用。
很多虛擬化平臺為確保虛擬機的安全性都提供了特定的控制措施;企業(yè)用戶當然應該充分使用好這些功能。例如,VMware公司的虛擬機配置設置可特別地限制虛擬機與底層管理程序之間的復制和粘貼操作,這一措施可有助于防止敏感數(shù)據(jù)被復制到管理程序的內(nèi)存和剪貼板。微軟公司和Citrix System公司的平臺產(chǎn)品可提供類似的防復制粘貼的限制措施。其他的平臺功能可以幫助企業(yè)禁用不必要的設備、設置日志記錄參數(shù)等等。
此外,當確保虛擬機實例安全性時,請務必根據(jù)標準數(shù)據(jù)分類原則隔離在不同云計算區(qū)域運行的虛擬機。由于虛擬機是共享硬件資源的,所以在相同云計算區(qū)域內(nèi)運行虛擬機可能會導致數(shù)據(jù)在內(nèi)存中發(fā)生錯誤,雖然如今這種錯誤發(fā)生的概率是極低的。
管理平臺
確保虛擬環(huán)境安全性的第二個關鍵在于確保管理平臺的安全性,這個管理平臺會與虛擬機交互、配置和監(jiān)控使用中的底層管理程序系統(tǒng)。
這些平臺(如VMware vCenter、Microsoft系統(tǒng)中心虛擬機管理器(SCVMM)以及Citrix XenCenter)都配有他們自己可實施的本地安全控制措施。例如,Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權限,除非在安裝過程中相關角色和權限被修改。
當談及管理工具時,確保管理數(shù)據(jù)庫的安全性是最為重要的,但是很多產(chǎn)品的默認設置并不具備內(nèi)在的安全性。最重要的是,必須在管理平臺內(nèi)為不同的運營角色分配角色和權限。雖然很多企業(yè)都擁有一支在IaaS云計算內(nèi)管理虛擬機運行的虛擬化運營團隊,但是在管理控制臺內(nèi)不授予過多的權限是其中的關鍵原則。我建議分別為存儲、網(wǎng)絡、系統(tǒng)管理及其它團隊授予不同的相關權限,就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中一樣。
對于諸如vCloud Director和OpenStack這樣的云計算管理工具,應當仔細分配角色和權限,但其中必須包括云計算虛擬機的不同最終用戶。例如,開發(fā)團隊應當擁有用于他們工作任務的虛擬機,這些虛擬機應當與財務團隊使用的虛擬機隔離開。
所有的管理工具都應被隔離在一個單獨的網(wǎng)段中,而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統(tǒng)是一個好主意,在這樣的代理平臺上你可以建立強大的認證和集中授權用戶監(jiān)控。
網(wǎng)絡和存儲基礎設施
雖然確保推進IaaS云計算的網(wǎng)絡和存儲的安全性是一項涉及范圍頗廣的任務,但還是有一些應當實施的通用最佳實踐。
對于存儲環(huán)境而言,請謹記,如同其他任何的敏感文件一樣,必須保護好虛擬機。某些文件存儲有效的內(nèi)存或內(nèi)存快照(可能是最敏感的,如可能包含的用戶憑據(jù)和其他敏感數(shù)據(jù)),以及其他的文件代表系統(tǒng)的完整硬盤。在這兩種情況下,這個文件中都包含了敏感數(shù)據(jù)。在存儲環(huán)境中使用單獨的邏輯單元號(LUNs)和區(qū)/域以隔離不同敏感性的系統(tǒng),這是至關重要的。如果存儲區(qū)域網(wǎng)絡(SAN)級加密功能可用,請考慮它是否適用。
在網(wǎng)絡側,請務必確保單個網(wǎng)段是隔離的,并在虛擬本地局域網(wǎng)(VLAN)和訪問控制措施的掌控之下。如果在虛擬環(huán)境下細粒度安全控制是必須的,那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測設備。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設施,而傳統(tǒng)網(wǎng)絡供應商的其他產(chǎn)品也是可用的。此外,還應考慮敏感虛擬機數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段,如vMotion網(wǎng)絡。在這個VMware環(huán)境中,明文內(nèi)存數(shù)據(jù)將從一個管理程序傳輸至另一個,從而使敏感數(shù)據(jù)易于泄漏。
結論
當談及確保虛擬環(huán)境或IaaS私有云計算安全性時,上述控制措施的三個方面只是冰山一角。如需了解更多信息,VMware有一系列深入強化的實用指南以用于評估具體的控制措施,而OpenStack在其網(wǎng)站上提供了一個安全性指南。通過遵循一些基本的做法,企業(yè)可以構建他們自己的內(nèi)部IaaS云計算,并確保它們能夠滿足他們自己的標準和所有其他必要的行業(yè)要求。