內部IaaS部署:管理虛擬機安全
當部署一個內部基礎設施即服務(IaaS)云計算時,應當對安全性方面有一個廣泛的考慮,即企業不僅必須考慮滿足安全性最佳實踐的要求,而且同時也應考慮符合監管的要求。
在本文中,我們將具體討論如何控制虛擬機實例、管理平臺、以及支持IaaS實施的網絡與存儲基礎設施。
虛擬機實例
首先,虛擬機(VM)的操作系統和應用程序必須被鎖定,并使用現有的規則進行正確配置,如來自于互聯網安全中心(CIS)的配置指導準則。正確的虛擬機管理還會產生一些更為健全和一致的配置管理措施。
在虛擬機實例上創建和管理安全配置的關鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機而創建一個“黃金鏡像”是非常明智的做法。他應當為這個模板打好基線并執行嚴格的修訂控制,以確保所有的補丁和其他更新能夠及時地得到應用。
很多虛擬化平臺為確保虛擬機的安全性都提供了具體的控制措施;企業用戶當然應該充分使用好這些功能。例如,VMware公司的虛擬機配置設置會特別地限制虛擬機與底層管理程序之間的復制與粘貼操作,這一限制措施可以有助于防止敏感數據被復制到管理程序的內存和剪貼板。微軟公司和Citrix System公司的平臺產品可提供類似的限制復制粘貼功能。其他的平臺還提供了幫助企業禁用不必要的設備、設置日志記錄參數等功能。
此外,當確保虛擬機實例安全性時,請務必根據標準數據分類原則隔離在不同云計算區域運行的虛擬機。由于虛擬機是共享硬件資源的,所以在相同云計算區域內運行虛擬機可能會導致數據在內存中發生沖突,雖然如今這種沖突發生的概率極低。
管理平臺
確保虛擬環境安全性的第二個關鍵在于確保管理平臺的安全性,這個管理平臺會與虛擬機進行交互,并配置和監控使用中的底層管理程序系統。
這些平臺(如VMware的vCenter、Microsoft的系統中心虛擬機管理器(SCVMM)以及Citrix的XenCenter)都配有他們各自可實施的本地安全控制措施。例如,Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統權限,除非在安裝過程中相關的角色和權限被修改。
當談及管理工具時,確保管理數據庫的安全性是最為重要的,但是很多產品的默認設置并不具備內在的安全性。最重要的是,必須在管理平臺內為不同的運營角色分配角色和權限。雖然很多企業都擁有一支在IaaS云計算內管理虛擬機運行的虛擬化團隊,但是在管理控制臺內不授予過多的權限是其中的關鍵。我建議為存儲、網絡、系統管理及其它團隊授予相關權限,就如同在傳統數據中心環境中做的一樣。
對于諸如vCloud Director和OpenStack這樣的云計算管理工具,應當仔細分配好角色和權限,同時必須包括云計算虛擬機的不同最終用戶。例如,開發團隊應當擁有用于他們工作任務的虛擬機,這些虛擬機應當與財務團隊使用的虛擬機隔離開。
所有的管理工具都應被隔離在一個單獨的網段中,而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統是一個好主意,在這樣的代理平臺上你可以建立強大的認證和集中授權用戶監控。
網絡和存儲基礎設施
雖然確保推進IaaS云計算的網絡和存儲的安全性是一項涉及范圍頗廣的任務,但還是有著一些應當實施的通用最佳實踐。
對于存儲環境而言,請謹記,如同其他任何的敏感文件一樣,必須保護好虛擬機。某些文件存儲有效的內存或內存快照(可能是最敏感的,如可能包含用戶憑據和其他敏感數據),而其他的文件代表系統的完整硬盤。在這兩種情況下,文件中都包含了敏感數據。在存儲環境中使用單獨的邏輯單元號(LUNs)和區/域可以隔離不同敏感性的系統,這是至關重要的。如果存儲區域網絡(SAN)級加密功能可用,請考慮該功能是否適用。
在網絡側,請務必確保單個網段是隔離的,并在虛擬本地局域網(VLAN)和訪問控制的控制下。如果在虛擬環境下細粒度安全控制是必須的,那么企業可以考慮使用虛擬防火墻和虛擬入侵檢測設備。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設施,而傳統網絡供應商的其他產品也可用。此外,還應考慮敏感虛擬機數據可能以明文傳輸的網段,如vMotion網絡。在這個VMware環境中,明文內存數據將從一個管理程序傳輸至另一個,而使敏感數據易于泄漏。
結論
當談及確保虛擬環境或IaaS私有云計算安全性時,上述三個方面的控制措施只是冰山一角。如需了解更多信息,VMware有一系列深入強化的實用指南以用于評估具體的控制措施,而OpenStack在其網站上提供了一個安全性指南。通過遵循一些基本的做法,企業可以構建他們自己的內部IaaS云計算,并確保它們能夠滿足他們自己的標準和所有其他必要的行業要求。
作者簡介:
Dave Shackleford是IANS公司的高級研發副總裁和CTO,SANS分析師、講師和課程設計師。他已為數百個安全、遵守法規以及網絡架構與工程領域的企業提供過咨詢服務。 他是VMware vExpert, 在設計和配置安全虛擬化基礎設施方面擁有豐富經驗。Dave之前是Configuresoft公司的CSO、互聯網安全中心的CTO、并曾出任多家財富500強公司的安全架構師、分析師和經理。Dave是信息安全實務一書和信息安全管理課程書籍“管理事件響應”一章的合著者。最近,Dave為SANS研究所合作設計了第一個虛擬化安全課程。目前,Dave在SANS技術研究院擔任董事一職,并協助領導云計算安全聯盟的亞特蘭大分部。
