ابر خصوصی مايكروسافت- مروری بر امنيت Hypervisor (قسمت دوم)

ابر خصوصی مايكروسافت- مروری بر امنيت Hypervisor (قسمت دوم)

تاریخ ایجاد

IRCAR201301164
تاريخ: /11/91

مقدمه
در قسمت اول اين مقاله، نگاهي به برخي از مسائل اصلي در رابطه با امنيت hypervisor در ابر خصوصي مايكروسافت انداختيم و سه مورد از مواردي كه بايد هنگام اعمال امنيت در ابر خصوصي بر مبناي Hyper-V مايكروسافت، در نظر گرفته شوند را به تفصيل توضيح داديم. در اين قسمت ساير موارد را به تفصيل شرح خواهيم داد.

برنامه هاي كاربردي و سرويس ها را بر روي سيستم عامل ميزبان اجرا نكنيد
هدف سيستم عامل ميزبان، فراهم كردن محيطي براي ميزباني hypervisor مي باشد كه در اين مورد ميزباني Hyper-V است. شما نبايد هيچگونه برنامه كاربردي يا سرويسي را كه در رابطه با پشتيباني محيط مجازي سازي نمي باشد، بر روي سيستم عامل ميزبان نصب نماييد. يكي از مزاياي استفاده از نسخه هسته سرور نيز عدم نصب و اجراي اينگونه برنامه ها و سرويس ها است. به عنوان مثال، شما نمي توانيد بر روي نسخه هسته سرور مرورگر وب را اجرا نماييد يا بسياري از برنامه هاي كاربردي و سرويس هايي كه ممكن است بر روي ساير نسخه هاي سرور قابل نصب باشد، بر روي نسخه هسته نيز غيرقابل نصب مي باشند.
امروزه بسياري از سازمان ها سعي مي كنند با كمترين امكانات، كارهاي بيشتري را انجام دهند در نتيجه ممكن است سرويس ها و خدماتي مانند DNS، DHCP و يا خدمات گواهينامه را بر روي سيستم عامل ميزبان Hyper-V نصب نمايند. اما شديدا به شما توصيه مي كنيم كه اين كار را انجام ندهيد! هر برنامه كاربردي يا سرويسي كه بر روي سيستم عامل ميزبان نصب مي كنيد، باعث افزايش ميزان حملات مي شود و هم چنين با درخواست هاي بيشتري براي به روز رساني سيستم عامل ميزبان مواجه مي شويد. اگر مي خواهيد سرويس هاي اضافي را اجرا نماييد، آن ها را بر روي يك ماشين مجازي كه توسط سيستم عامل ميزبان، ميزباني مي شود اجرا كنيد.

يك NIC را براي مقاصد مديريتي اختصاص دهيد
سرور مجازي Hyper-V شما داراي چندين واسط شبكه فيزيكي مي باشد. احتمالا شما مي خواهيد يك واسط شبكه را براي اتصال به شبكه توليد اختصاص دهيد در حالي كه واسط ديگري ممكن است سرور را به اينترنت متصل كرده باشد و واسط ديگر ماشين را به يك DMZ متصل كند. ماشين هاي مجازي مي توانند به اين واسط هاي شبكه محدود شوند بدين گونه كه آن ها تنها مي توانند به منابعي كه نياز دارند متصل شوند. اين واسط ها نبايد توسط ميزبان هاي شبكه قابل دسترسي باشند. آن ها بايد تنها براي استفاده ماشين مجازي اختصاص داده شوند.
علاوه بر اين واسط ها، شما بايد يك واسط را براي مقاصد مديريتي اختصاص دهيد. شما مي توانيد براي كنترل كردن كساني كه به اين واسط متصل مي شوند، از فايروال ويندوز با امنيت پيشرفته استفاده كنيد. علاوه بر اين شما مي توانيد هنگام اتصال به واسط مديريتي با استفاده از رمزگذاري و احراز هويت IPsec، از رمزگذاري و احراز هويت در سطح شبكه استفاده نماييد.

ناحيه هاي امنيتي را از هم جدا نگه داريد
در آرايه هاي Hyper-V، اين امكان براي ماشين هاي مجازي وجود دارد كه به طور خودكار جا به جا شوند در نتيجه هيچ سرور واحدي در آرايه براي حافظه، پردازشگر يا شبكه سربار نخواهد داشت. به همين دليل، شما در موقعيتي قرار مي گيريد كه نمي دانيد در يك زمان مشخص يك ماشين مجازي در كجا قرا گرفته است. در اين سناريو، ماشين هاي مجازي كه متعلق به ناحيه هاي امنيتي مختلف مي باشند مي توانند بر روي يك سرور مجازي قرار بگيرند. امنيت ماشين هاي مجازي در اين حالت كمتر از حد مطلوب مي باشد زيرا در اين حالت ماشين هاي مجازي كه در ناحيه با امنيت بالا قرار دارند مي توانند به طور بالقوه تحت تاثير ماشين هاي مجازي قرار بگيرند كه در ناحيه با امنيت پايين قرار دارند.
شما بايد هنگام طراحي آرايه هاي Hyper-V درمورد حجم كاري كه بر روي ماشين هاي مجازي اجرا مي شود، فكر كنيد. اگر ماشين هاي مجازي داريد كه سرويس هاي دسترسي از راه دور مانند فايروال TMG، يا سرور UAG SSL VPN را ارئه مي دهندبايد اطمينان حاصل كنيد كه يك آرايه را به طور جداگانه به اين ماشين هاي مجازي و دستگاه هاي مرتبط با اينترنت اختصاص داده ايد و ناحيه آن ها از ناحيه ماشين هاي مجازي كه به اينترنت متصل نيستند مانند سرور SQL يا سرور sharepoint جدا مي باشند.
اطمينان حاصل كنيد كه سرويس هاي يكپارچه سازي Hyper-V نصب شده باشند
سرويس هاي يكپارچه سازي Hyper-V كارهاي زيادي را انجام مي دهند و يكي از مهم ترين وظايف اين سرويس آن است كه زمان را بر روي ماشين هاي مجازي با زمان سيستم عامل ميزبان هماهنگ نمايد. اين سرويس به شما اين امكان را مي دهد كه ماشين هاي مجازي را جا به جا كنيد حتي در ناحيه هايي كه زمان متفاوتي دارند. در اين حالت زمان ماشين هاي مجازي به طور خودكار با زمان سيستم عامل ميزبان هماهنگ مي شود.

تصاوير ماشين هاي مجازي را به روز رساني كنيد
در يك محيط ابر غير خصوصي، شما سيستم عامل را نصب مي كنيد و بلافاصله به روز رساني ويندوز را اجرا مي كنيد. شما اين فرآيند را از ابتدا تا انتها كنترل مي كنيد بنابراين مي دانيد كه اين مرحله حياتي بايد اجرا شود. اما در يك محيط مجازي اين امكان وجود دارد كه كاربراني كه آگاهي كمي از مسائل امنيتي دارند، ماشين هاي مجازي را ايجاد نمايند ولي به درستي آن ها را به روز رساني نكنند.
شما مي توانيد اين مشكل را با استفاده از ابزارهاي به روز رساني آفلاين براي نصب به روز رساني ها بر روي قالب هاي ماشين مجازي برطرف نماييد. هنگامي كه قالب هاي ماشين مجازي به صورت آفلاين به روز رساني مي شوند، ماشين هاي مجازي كه بر اساس اين قالب ها ايجاد مي شوند هميشه به روز خواهند بود. شما مي توانيد براي انجام اين كار از ابزار VMST استفاده نماييد.

براي مديريت از نماينده هاي مناسب استفاده كنيد
در نهايت، مطمئن شويد كه به درستي وظايف مديريتي را محول كرده ايد. اطمينان حاصل كنيد كه مديران زير ساخت هاي حياتي يا ابر خصوصي اجازه دسترسي به سيستم عامل ماشين مجازي را ندارند و مديران سيستم عامل هايي كه بر روي ماشين هاي مجازي اجرا مي شوند اجازه دسترسي به زيرساخت مجازي يا ابر خصوصي را ندارند. در واقع شما بايد با استفاده از كنسول Role Based Access Control، كنترل هاي بيشتري را بر روي زيرساخت مجازي و ابر خصوصي اعمال نماييد. شما مي توانيد اين كار را از طريق كاربر عضو گروه Authorization Manager در ويندوز سرور 2008 و ويندوز سرور 2008 R2 انجام دهيد.

خلاصه
در اين مقاله، ساير مواردي كه بايد هنگام اعمال امنيت در ابر خصوصي بر مبناي Hyper-V مايكروسافت، در نظر گرفته شوند را به تفصيل توضيح داديم. با دانستن ملاحظات امنيتي و افزايش امنيت ابر خصوصي، مي توانيد به طور موثرتري از ابر خصوصي استفاده نماييد.

لينك هاي مرتبط:
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)