ابر خصوصی مایكروسافت- مروری بر امنیت Hypervisor (قسمت اول)

[ourweb]

رای كسانی كه در حال حركت به سمت فناوری ابر هستند، امنیت هم چنان به عنوان یك نگرانی محسوب می شود و صرفا به خاطر آن كه شما تصمیم گرفته اید تا یك ابر خصوصی را مستقر سازید، بدان معنی نیست كه نباید نگران امنیت آن باشید. در اكثر موارد، امنیت ابر خصوصی همان ویژگی ها و الزامات امنیت مركز داده سنتی را دارد. شما نیاز دارید تا در ابر خصوصی امكانات، زیرساخت سخت افزاری، شبكه، برنامه های كاربردی و داده های خصوصی را به همان روشی كه برای مركز داده سنتی استفاده می كنید، امن سازید. با این حال تفاوت های قابل توجهی بین مركز داده سنتی و ابر خصوصی وجود دارد كه در این مقاله نگاهی به آن ها می اندازیم. یكی از تفاوت های قابل توجه در این زمینه آن است كه تقریبا تمام فناوری ابر خصوصی از مجازی سازی استفاده می كند. توجه داشته باشید كه مجازی سازی یك الزام برای ابر خصوصی نیست. شما می توانید برای انجام تمامی فعالیت ها، به جای ماشین های مجازی از سرورهای blade استفاده نمایید. با این حال قیمت این سرورها كمی بالاتر است، در نتیجه بسیاری از شركت ها برای استقرار ابر خصوصی از مجازی سازی استفاده می كنند. در فروشگاه مایكروسافت این مجازی سازی توسط Hyper-V انجام می گیرد.
در ابر خصوصی بر مبنای Hyper-V مایكروسافت، مواردی وجود دارد كه باید هنگام اعمال امنیت در نظر گرفته شوند. برخی از این موارد عبارتند از:
· اگر از پردازنده مبتنی بر مجازی سازی استفاده نمی كنید، آن را غیرفعال نمایید.
· برای كاهش حملات و به روز رسانی از ویندوز سرور هسته استفاده نمایید.
· از رمزگذاری درایو Bitlocker استفاده نمایید.
· برنامه های كاربردی و سرویس ها را بر روی سیستم عامل میزبان اجرا نكنید.
· یك NIC را برای مقاصد مدیریتی اختصاص دهید.
· ناحیه های امنیتی را از هم جدا نگه دارید.
· اطمینان حاصل كنید كه سرویس های ادغام Hyper-V نصب شده باشند.
· تصاویر ماشین های مجازی را به روز رسانی كنید.
· از نماینده های مناسب برای مدیرت استفاده كنید.
اگر از پردازنده مبتنی بر مجازی سازی استفاده نمی كنید، آن را غیرفعال نمایید
پردازنده مبتنی بر مجازی سازی مانند Intel VT ماشین های مجازی را قادر می سازد تا به طور بهینه و توسط بالا بردن مدیریت حافظه و فرآیندهای مجزا كار كنند. قطعا زمانیكه شما از سرورهایHyper-V كه میزبان ماشین های مجازی می باشند استفاده می كنید، می خواهید این فناوری را فعال نمایید. اما اگر شما تصمیم بگیرید كه این ماموریت را از سرور بگیرید و سرور به جای مجازی سازی، نقش معمولی داشته باشد، باید این فناوری را غیرفعال كنید. زیرا این فناوری می تواند به طور بالقوه میزان حملات را بر روی ماشین افزایش دهد. و زمانی كه این ماشین میزبان ماشین های مجازی نیست، دلیلی ندارد كه این فناوری فعال باشد. پس در صورتیكه از پردازنده مبتنی بر مجازی سازی استفاده نمی كنید، آن را غیرفعال نمایید.
برای كاهش حملات و به روز رسانی از نسخه هسته ویندوز سرور استفاده نمایید
استقرار نسخه هسته ویندوز سرور، یك روش نصب و راه اندازی حداقل از سیستم عامل می باشد كه تنها شامل اجزاء هسته سیستم عامل ویندوز سرور 2008 یا ویندوز سرور 2008 R2 می شود و لازم است سیستم عامل را اجرا نموده و نصب برنامه های كاربردی و خدمات را فعال نمایید. به دلیل كاهش قابل توجه تعداد فایل های باینری در نصب هسته سرور، میزان حملات كاهش می یابد و به روز رسانی های كمی برای اجزاء آن لازم است.
شدیدا توصیه می شود كه بر روی سیستم خود ابتدا نسخه هسته ویندوز سرور را نصب نمایید و سرورهای مجازی Hyper-V خود را بر روی آن نصب كنید. پس از نصب نسخه هسته ویندوز سرور، می توانید نقش Hyper-V را بر روی آن فعال كنید و با استفاده از كنسول راه دور Hyper-V یا با استفاده از سیستم مدیریت مركزی ماشین مجازی (SCVMM) ماشین های مجازی را نصب و پیكربندی نمایید.
از رمزگذاری درایو Bitlocker استفاده نمایید
Bitlocker یك سیستم رمزگذاری درایو است كه به شما این امكان را می دهد تا كل دیسك های سخت و كل درایو ها را رمزگذاری كنید.Bitlocker با تراشه TPM بر روی مادربرد كار می كند تا سطح امنیتی را افزایش دهد و این اطمینان را می دهد كه محیط بوت تحت حمله یك مهاجم یا بدافزار قرار نگیرد.
Bitlocker در تمامی سناریوهای استقرار اهمیت دارد. با این حال، زمانیكه امنیتی فیزیكی سرور كمتر از حد مطلوب است مانند شعبه های یك شركت و بسیاری از كسب و كارهای كوچك و بزرگ، این سیستم از اهمیت بیشتری برخوردار می شود. Bitlocker سیستم شما را از حملات آفلاین محافظت می كند. زمانی كه یك مهاجم سعی دارد تا سیستم عامل دیگری را لود كند و به طور مستقیم به دیسك شما دسترسی داشته باشد، Bitlocker می تواند از داده های شما حفاظت نماید. هنگامیكه دیسك توسط Bitlocker رمزگذاری می شود، حملات آفلاین ناموفق هستند زیرا سیستم عامل جایگزین برای دسترسی به دیسك، قادر به شكستن رمزگذاری Bitlocker نیست و بدین ترتیب مهاجم نمی تواند به اطلاعات روی دیسك دسترسی یابد.
شما می توانید از Bitlocker برای امن كردن بوت سیستم عامل نصب شده بر روی بوت دیسك استفاده كنید تا از اجزاء هسته سیستم عامل محافظت نمایید. هم چنین می توانید از Bitlocker برای امن كردن درایوهایی كه ماشین مجازی بر روی آن ها ذخیره شده اند، استفاده كنید. علاوه براین، اگر داده ای دارید كه توسط ماشین مجازی بر روی دیسك دیگری در دسترس می باشد، می توانید برای رمزگذاری آن دیسك ها نیز از Bitlocker استفاده كنید. به طور كلی، استفاده از Bitlocker برای امن كردن تمامی دارایی های روی ویندوز، ایده خوبی می باشد.
خلاصه
در این مقاله، نگاهی به برخی از مسائل اصلی در رابطه با امنیت hypervisor در ابر خصوصی مایكروسافت انداختیم. در اكثر موارد، امنیت ابر خصوصی همان ویژگی ها و الزامات امنیت مركز داده سنتی را دارد. یكی از تفاوت های قابل توجه در این زمینه آن است كه تقریبا تمام فناوری ابر خصوصی از مجازی سازی استفاده می كند. در ابر خصوصی بر مبنای Hyper-V مایكروسافت، مواردی وجود دارد كه باید هنگام اعمال امنیت در نظر گرفته شوند. در این مقاله به توضیح سه مورد از موارد مربوطه پرداختیم. در مقاله بعدی سایر موارد شرح داده می شوند.
منبع : مرکز ماهر