移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

内部IaaS摆设:若何治理虚拟机的安然性

时间:2014-02-10 14:09来源:TuZhiJiaMi企业信息安全专家 点击:
在本文中,我们将具体味商若何节制虚拟机实例、治理平台、和撑持iaas实施的收集与存储根本举措措施。 虚拟机实例 起首,虚拟机(vm)的把持系统和利用法度必需是被锁定的,同时必需利用现
Tags应用安全(1006)IaaS(6)管理平台(6)虚拟机(14)  

  在本文中,我们将具体味商若何节制虚拟机实例、治理平台、和撑持iaas实施的收集与存储根本举措措施。

  虚拟机实例

  起首,虚拟机(vm)的把持系统和利用法度必需是被锁定的,同时必需利用现有的法则进行准确的建设,如来自于互联网安然中间(cis)的指导准则。准确的虚拟机治理还可能会产生更加健全和一致的建设治理办法。

  在虚拟机实例上成立和治理安然建设的关头在于利用模板。治理员为在云计较中初始化所有的虚拟机而成立一个“黄金镜像”是很是明智的做法。该当为这个模板打好基线并履行严格的修订节制办法,以确保所有的补丁和其他更新都可以或许及时地获得利用。

  良多虚拟化平台为确保虚拟机的安然性都供给了特定的节制办法;企业用户当然应当充分利用好这些功能。例如,vmware公司的虚拟机建设设置可出格地限制虚拟机与底层治理法度之间的复制和粘贴把持,这一办法可有助于避免敏感数据被复制到治理法度的内存和剪贴板。微软公司和citrix system公司的平台产品可供给近似的防复制粘贴的限制办法。其他的平台功能可以帮忙企业禁用不需要的设备、设置日记记实参数等等。

  别的,当确保虚拟机实例安然性时,请务必按照尺度数据分类原则隔离在不合云计较区域运行的虚拟机。因为虚拟机是共享硬件资本的,所以在不异云计较区域内运行虚拟机可能会导致数据在内存中产生弊端,当然此刻这类弊端产生的概率是极低的。

  治理平台

  确保虚拟环境安然性的第二个关头在于确保治理平台的安然性,这个治理平台会与虚拟机交互、建设和监控利用中的底层治理法度系统。

  这些平台(如vmware vcenter、microsoft系统中间虚拟机治理器(scvmm)和citrix xencenter)都配有他们本身可实施的本地安然节制办法。例如,vcenter常被安装在windows并继续本地治理员角色而具有系统权限,除非在安装过程中相干角色和权限被点窜。

  当谈及治理东西时,确保治理数据库的安然性是最为首要的,可是良多产品的默许设置其实不具有内涵的安然性。最首要的是,必需在治理平台内为不合的运营角色分派角色和权限。当然良多企业都具有一支在iaas云计较内治理虚拟机运行的虚拟化运营团队,可是在治理节制台内不授予过量的权限是此中的关头原则。我建议别离为存储、收集、系统治理及其它团队授予不合的相干权限,就犹如在传统数据中间环境中一样。

  对诸如vcloud director和openstack如许的云计较治理东西,该当细心分派角色和权限,但此中必需包含云计较虚拟机的不合最终用户。例如,开辟团队该当具有效于他们工作任务的虚拟机,这些虚拟机该当与财务团队利用的虚拟机隔分开。

  所有的治理东西都应被隔离在一个伶仃的网段中,而要求经由过程一个“跳箱”或诸如hytrust如许的专用安然代办署理平台拜候这些系统是一个好主张,在如许的代办署理平台上你可以成立强大年夜的认证和集中授权用户监控。

  收集和存储根本举措措施

  当然确保推动iaas云计较的收集和存储的安然性是一项触及范围颇广的任务,但仍是有一些该当实施的通用最好实践。

  对存储环境而言,请谨记,犹如其他任何的敏感文件一样,必需呵护好虚拟机。某些文件存储有效的内存或内存快照(多是最敏感的,如可能包含的用户根据和其他敏感数据),和其他的文件代表系统的完全硬盘。在这两种环境下,这个文件中都包含了敏感数据。在存储环境中利用伶仃的逻辑单位号(luns)和区/域以隔离不合敏感性的系统,这是相当首要的。假定存储区域收集(san)级加密功能可用,请考虑它是不是合用。

  在收集侧,请务必确保单个网段是隔离的,并在虚拟本地局域网(vlan)和拜候节制办法的掌控之下。假定在虚拟环境下细粒度安然节制是必需的,那么企业可以考虑利用虚拟防火墙和虚拟进侵检测设备。vmware公司的vcloud平台本身已集成了其vshield虚拟安然举措措施,而传统收集供给商的其他产品也是可用的。别的,还应考虑敏感虚拟机数据可能以明文传输的网段,如vmotion收集。在这个vmware环境中,明文内存数据将从一个治理法度传输至另外一个,从而使敏感数据易于泄漏。

  结论

  当谈及确保虚拟环境或iaas私有云计较安然性时,上述节制办法的三个方面只是冰山一角。如需体味更多信息,vmware有一系列深进强化的合用指南以用于评估具体的节制办法,而openstack在其网站上供给了一个安然性指南。经由过程遵守一些根基的做法,企业可以构建他们本身的内部iaas云计较,并确保它们可以或许知足他们本身的尺度和所有其他需要的行业要求。

------分隔线----------------------------

推荐内容