ابر خصوصی مايكروسافت- مروری بر امنيت Hypervisor (قسمت اول)

IRCAR201301163
تاريخ: 4/11/91

در اين مقاله نگاهي به تفاوت بين مركز داده سنتي و ابر خصوصي مي اندازيم.

مقدمه
براي كساني كه در حال حركت به سمت فناوري ابر هستند، امنيت هم چنان به عنوان يك نگراني محسوب مي شود و صرفا به خاطر آن كه شما تصميم گرفته ايد تا يك ابر خصوصي را مستقر سازيد، بدان معني نيست كه نبايد نگران امنيت آن باشيد. در اكثر موارد، امنيت ابر خصوصي همان ويژگي ها و الزامات امنيت مركز داده سنتي را دارد. شما نياز داريد تا در ابر خصوصي امكانات، زيرساخت سخت افزاري، شبكه، برنامه هاي كاربردي و داده هاي خصوصي را به همان روشي كه براي مركز داده سنتي استفاده مي كنيد، امن سازيد. با اين حال تفاوت هاي قابل توجهي بين مركز داده سنتي و ابر خصوصي وجود دارد كه در اين مقاله نگاهي به آن ها مي اندازيم.
يكي از تفاوت هاي قابل توجه در اين زمينه آن است كه تقريبا تمام فناوري ابر خصوصي از مجازي سازي استفاده مي كند. توجه داشته باشيد كه مجازي سازي يك الزام براي ابر خصوصي نيست. شما مي توانيد براي انجام تمامي فعاليت ها، به جاي ماشين هاي مجازي از سرورهاي blade استفاده نماييد. با اين حال قيمت اين سرورها كمي بالاتر است، در نتيجه بسياري از شركت ها براي استقرار ابر خصوصي از مجازي سازي استفاده مي كنند. در فروشگاه مايكروسافت اين مجازي سازي توسط Hyper-V انجام مي گيرد.
در ابر خصوصي بر مبناي Hyper-V مايكروسافت، مواردي وجود دارد كه بايد هنگام اعمال امنيت در نظر گرفته شوند. برخي از اين موارد عبارتند از:

• اگر از پردازنده مبتني بر مجازي سازي استفاده نمي كنيد، آن را غيرفعال نماييد.
• براي كاهش حملات و به روز رساني از ويندوز سرور هسته استفاده نماييد.
• از رمزگذاري درايو Bitlocker استفاده نماييد.
• برنامه هاي كاربردي و سرويس ها را بر روي سيستم عامل ميزبان اجرا نكنيد.
• يك NIC را براي مقاصد مديريتي اختصاص دهيد.
• ناحيه هاي امنيتي را از هم جدا نگه داريد.
• اطمينان حاصل كنيد كه سرويس هاي ادغام Hyper-V نصب شده باشند.
• تصاوير ماشين هاي مجازي را به روز رساني كنيد.
• از نماينده هاي مناسب براي مديرت استفاده كنيد.

اگر از پردازنده مبتني بر مجازي سازي استفاده نمي كنيد، آن را غيرفعال نماييد
پردازنده مبتني بر مجازي سازي مانند Intel VT ماشين هاي مجازي را قادر مي سازد تا به طور بهينه و توسط بالا بردن مديريت حافظه و فرآيندهاي مجزا كار كنند. قطعا زمانيكه شما از سرورهايHyper-V كه ميزبان ماشين هاي مجازي مي باشند استفاده مي كنيد، مي خواهيد اين فناوري را فعال نماييد. اما اگر شما تصميم بگيريد كه اين ماموريت را از سرور بگيريد و سرور به جاي مجازي سازي، نقش معمولي داشته باشد، بايد اين فناوري را غيرفعال كنيد. زيرا اين فناوري مي تواند به طور بالقوه ميزان حملات را بر روي ماشين افزايش دهد. و زماني كه اين ماشين ميزبان ماشين هاي مجازي نيست، دليلي ندارد كه اين فناوري فعال باشد. پس در صورتيكه از پردازنده مبتني بر مجازي سازي استفاده نمي كنيد، آن را غيرفعال نماييد.

براي كاهش حملات و به روز رساني از نسخه هسته ويندوز سرور استفاده نماييد
استقرار نسخه هسته ويندوز سرور، يك روش نصب و راه اندازي حداقل از سيستم عامل مي باشد كه تنها شامل اجزاء هسته سيستم عامل ويندوز سرور 2008 يا ويندوز سرور 2008 R2 مي شود و لازم است سيستم عامل را اجرا نموده و نصب برنامه هاي كاربردي و خدمات را فعال نماييد. به دليل كاهش قابل توجه تعداد فايل هاي باينري در نصب هسته سرور، ميزان حملات كاهش مي يابد و به روز رساني هاي كمي براي اجزاء آن لازم است.
شديدا توصيه مي شود كه بر روي سيستم خود ابتدا نسخه هسته ويندوز سرور را نصب نماييد و سرورهاي مجازي Hyper-V خود را بر روي آن نصب كنيد. پس از نصب نسخه هسته ويندوز سرور، مي توانيد نقش Hyper-V را بر روي آن فعال كنيد و با استفاده از كنسول راه دور Hyper-V يا با استفاده از سيستم مديريت مركزي ماشين مجازي (SCVMM) ماشين هاي مجازي را نصب و پيكربندي نماييد.

از رمزگذاري درايو Bitlocker استفاده نماييد
Bitlocker يك سيستم رمزگذاري درايو است كه به شما اين امكان را مي دهد تا كل ديسك هاي سخت و كل درايو ها را رمزگذاري كنيد. Bitlocker با تراشه TPM بر روي مادربرد كار مي كند تا سطح امنيتي را افزايش دهد و اين اطمينان را مي دهد كه محيط بوت تحت حمله يك مهاجم يا بدافزار قرار نگيرد.
Bitlocker در تمامي سناريوهاي استقرار اهميت دارد. با اين حال، زمانيكه امنيتي فيزيكي سرور كمتر از حد مطلوب است مانند شعبه هاي يك شركت و بسياري از كسب و كارهاي كوچك و بزرگ، اين سيستم از اهميت بيشتري برخوردار مي شود. Bitlocker سيستم شما را از حملات آفلاين محافظت مي كند. زماني كه يك مهاجم سعي دارد تا سيستم عامل ديگري را لود كند و به طور مستقيم به ديسك شما دسترسي داشته باشد، Bitlocker مي تواند از داده هاي شما حفاظت نمايد. هنگاميكه ديسك توسط Bitlocker رمزگذاري مي شود، حملات آفلاين ناموفق هستند زيرا سيستم عامل جايگزين براي دسترسي به ديسك، قادر به شكستن رمزگذاري Bitlocker نيست و بدين ترتيب مهاجم نمي تواند به اطلاعات روي ديسك دسترسي يابد.
شما مي توانيد از Bitlocker براي امن كردن بوت سيستم عامل نصب شده بر روي بوت ديسك استفاده كنيد تا از اجزاء هسته سيستم عامل محافظت نماييد. هم چنين مي توانيد از Bitlocker براي امن كردن درايوهايي كه ماشين مجازي بر روي آن ها ذخيره شده اند، استفاده كنيد. علاوه براين، اگر داده اي داريد كه توسط ماشين مجازي بر روي ديسك ديگري در دسترس مي باشد، مي توانيد براي رمزگذاري آن ديسك ها نيز از Bitlocker استفاده كنيد. به طور كلي، استفاده از Bitlocker براي امن كردن تمامي دارايي هاي روي ويندوز، ايده خوبي مي باشد.

خلاصه
در اين مقاله، نگاهي به برخي از مسائل اصلي در رابطه با امنيت hypervisor در ابر خصوصي مايكروسافت انداختيم. در اكثر موارد، امنيت ابر خصوصي همان ويژگي ها و الزامات امنيت مركز داده سنتي را دارد. يكي از تفاوت هاي قابل توجه در اين زمينه آن است كه تقريبا تمام فناوري ابر خصوصي از مجازي سازي استفاده مي كند. در ابر خصوصي بر مبناي Hyper-V مايكروسافت، مواردي وجود دارد كه بايد هنگام اعمال امنيت در نظر گرفته شوند. در اين مقاله به توضيح سه مورد از موارد مربوطه پرداختيم. در مقاله بعدي ساير موارد شرح داده مي شوند.