ابر خصوصی مایکروسافت- مروری بر امنیت Hypervisor (قسمت اول)
در این مقاله نگاهی به تفاوت بین مرکز داده سنتی و ابر خصوصی می اندازیم.
مقدمه
برای کسانی که در حال حرکت به سمت فناوری ابر هستند، امنیت هم چنان به عنوان یک نگرانی محسوب می شود و صرفا به خاطر آن که شما تصمیم گرفته اید تا یک ابر خصوصی را مستقر سازید، بدان معنی نیست که نباید نگران امنیت آن باشید. در اکثر موارد، امنیت ابر خصوصی همان ویژگی ها و الزامات امنیت مرکز داده سنتی را دارد. شما نیاز دارید تا در ابر خصوصی امکانات، زیرساخت سخت افزاری، شبکه، برنامه های کاربردی و داده های خصوصی را به همان روشی که برای مرکز داده سنتی استفاده می کنید، امن سازید. با این حال تفاوت های قابل توجهی بین مرکز داده سنتی و ابر خصوصی وجود دارد که در این مقاله نگاهی به آن ها می اندازیم.
یکی از تفاوت های قابل توجه در این زمینه آن است که تقریبا تمام فناوری ابر خصوصی از مجازی سازی استفاده می کند. توجه داشته باشید که مجازی سازی یک الزام برای ابر خصوصی نیست. شما می توانید برای انجام تمامی فعالیت ها، به جای ماشین های مجازی از سرورهای blade استفاده نمایید. با این حال قیمت این سرورها کمی بالاتر است، در نتیجه بسیاری از شرکت ها برای استقرار ابر خصوصی از مجازی سازی استفاده می کنند. در فروشگاه مایکروسافت این مجازی سازی توسط Hyper-V انجام می گیرد.
در ابر خصوصی بر مبنای Hyper-V مایکروسافت، مواردی وجود دارد که باید هنگام اعمال امنیت در نظر گرفته شوند. برخی از این موارد عبارتند از:
· اگر از پردازنده مبتنی بر مجازی سازی استفاده نمی کنید، آن را غیرفعال نمایید.
· برای کاهش حملات و به روز رسانی از ویندوز سرور هسته استفاده نمایید.
· از رمزگذاری درایو Bitlocker استفاده نمایید.
· برنامه های کاربردی و سرویس ها را بر روی سیستم عامل میزبان اجرا نکنید.
· یک NIC را برای مقاصد مدیریتی اختصاص دهید.
· ناحیه های امنیتی را از هم جدا نگه دارید.
· اطمینان حاصل کنید که سرویس های ادغام Hyper-V نصب شده باشند.
· تصاویر ماشین های مجازی را به روز رسانی کنید.
· از نماینده های مناسب برای مدیرت استفاده کنید.
اگر از پردازنده مبتنی بر مجازی سازی استفاده نمی کنید، آن را غیرفعال نمایید
پردازنده مبتنی بر مجازی سازی مانند Intel VT ماشین های مجازی را قادر می سازد تا به طور بهینه و توسط بالا بردن مدیریت حافظه و فرآیندهای مجزا کار کنند. قطعا زمانیکه شما از سرورهایHyper-V که میزبان ماشین های مجازی می باشند استفاده می کنید، می خواهید این فناوری را فعال نمایید. اما اگر شما تصمیم بگیرید که این ماموریت را از سرور بگیرید و سرور به جای مجازی سازی، نقش معمولی داشته باشد، باید این فناوری را غیرفعال کنید. زیرا این فناوری می تواند به طور بالقوه میزان حملات را بر روی ماشین افزایش دهد. و زمانی که این ماشین میزبان ماشین های مجازی نیست، دلیلی ندارد که این فناوری فعال باشد. پس در صورتیکه از پردازنده مبتنی بر مجازی سازی استفاده نمی کنید، آن را غیرفعال نمایید.
برای کاهش حملات و به روز رسانی از نسخه هسته ویندوز سرور استفاده نمایید
استقرار نسخه هسته ویندوز سرور، یک روش نصب و راه اندازی حداقل از سیستم عامل می باشد که تنها شامل اجزاء هسته سیستم عامل ویندوز سرور 2008 یا ویندوز سرور 2008 R2 می شود و لازم است سیستم عامل را اجرا نموده و نصب برنامه های کاربردی و خدمات را فعال نمایید. به دلیل کاهش قابل توجه تعداد فایل های باینری در نصب هسته سرور، میزان حملات کاهش می یابد و به روز رسانی های کمی برای اجزاء آن لازم است.
شدیدا توصیه می شود که بر روی سیستم خود ابتدا نسخه هسته ویندوز سرور را نصب نمایید و سرورهای مجازی Hyper-V خود را بر روی آن نصب کنید. پس از نصب نسخه هسته ویندوز سرور، می توانید نقش Hyper-V را بر روی آن فعال کنید و با استفاده از کنسول راه دور Hyper-V یا با استفاده از سیستم مدیریت مرکزی ماشین مجازی (SCVMM) ماشین های مجازی را نصب و پیکربندی نمایید.
از رمزگذاری درایو Bitlocker استفاده نمایید
Bitlocker یک سیستم رمزگذاری درایو است که به شما این امکان را می دهد تا کل دیسک های سخت و کل درایو ها را رمزگذاری کنید. Bitlocker با تراشه TPM بر روی مادربرد کار می کند تا سطح امنیتی را افزایش دهد و این اطمینان را می دهد که محیط بوت تحت حمله یک مهاجم یا بدافزار قرار نگیرد.
Bitlocker در تمامی سناریوهای استقرار اهمیت دارد. با این حال، زمانیکه امنیتی فیزیکی سرور کمتر از حد مطلوب است مانند شعبه های یک شرکت و بسیاری از کسب و کارهای کوچک و بزرگ، این سیستم از اهمیت بیشتری برخوردار می شود. Bitlocker سیستم شما را از حملات آفلاین محافظت می کند. زمانی که یک مهاجم سعی دارد تا سیستم عامل دیگری را لود کند و به طور مستقیم به دیسک شما دسترسی داشته باشد، Bitlocker می تواند از داده های شما حفاظت نماید. هنگامیکه دیسک توسط Bitlocker رمزگذاری می شود، حملات آفلاین ناموفق هستند زیرا سیستم عامل جایگزین برای دسترسی به دیسک، قادر به شکستن رمزگذاری Bitlocker نیست و بدین ترتیب مهاجم نمی تواند به اطلاعات روی دیسک دسترسی یابد.
شما می توانید از Bitlocker برای امن کردن بوت سیستم عامل نصب شده بر روی بوت دیسک استفاده کنید تا از اجزاء هسته سیستم عامل محافظت نمایید. هم چنین می توانید از Bitlocker برای امن کردن درایوهایی که ماشین مجازی بر روی آن ها ذخیره شده اند، استفاده کنید. علاوه براین، اگر داده ای دارید که توسط ماشین مجازی بر روی دیسک دیگری در دسترس می باشد، می توانید برای رمزگذاری آن دیسک ها نیز از Bitlocker استفاده کنید. به طور کلی، استفاده از Bitlocker برای امن کردن تمامی دارایی های روی ویندوز، ایده خوبی می باشد.
خلاصه
در این مقاله، نگاهی به برخی از مسائل اصلی در رابطه با امنیت hypervisor در ابر خصوصی مایکروسافت انداختیم. در اکثر موارد، امنیت ابر خصوصی همان ویژگی ها و الزامات امنیت مرکز داده سنتی را دارد. یکی از تفاوت های قابل توجه در این زمینه آن است که تقریبا تمام فناوری ابر خصوصی از مجازی سازی استفاده می کند. در ابر خصوصی بر مبنای Hyper-V مایکروسافت، مواردی وجود دارد که باید هنگام اعمال امنیت در نظر گرفته شوند. در این مقاله به توضیح سه مورد از موارد مربوطه پرداختیم. در مقاله بعدی سایر موارد شرح داده می شوند.