ملاحظات امنيتی محاسبات ابری (قسمت اول)- پلتفرم مجازی‌سازی (بخش اول)

ملاحظات امنيتی محاسبات ابری (قسمت اول)- پلتفرم مجازی‌سازی (بخش اول)

تاریخ ایجاد

IRCAR201302166
تاريخ: 1/12/91
دراين مقاله نگاهي به مسائل امنيتي مربوط به مجازي سازي در ابر مي‌ پردازيم.
در مقاله گذشته، ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor، درباره امنيت hypervisor در ابر خصوصي مايكروسافت صحبت كرديم. اما محاسبات ابري اعم از عمومي و خصوصي، موضوع پيچيده ‌اي است و در اين سري از مقالات قصد داريم تا به بررسي برخي از پيچيدگي هاي آن بپردازيم. يك محيط محاسبات ابري مزاياي بسياري دارد. با اين حال، بايد توجه داشت در حالي كه hypervisor يك مولفه مهم است، محاسبات ابري مسائلي فراتر از مجازي سازي را در برمي گيرد. به ياد داشته باشيد كه با توجه به NIST، يك ابر داراي ويژگي هاي زير مي باشد:

  • سلف سرويس
  • دسترسي به شبكه گسترده
  • قابليت ارتجاعي
  • استرداد
  • مديريت منابع

بايد دقت كرد كه مجازي سازي در رديف پنج ويژگي اصلي بالا قرار ندارد. البته، مجازي سازي باعث مي شود تا به قابليت هاي فعال شده توسط اين پنج ويژگي راحت تر دسترسي يابيد. از آن جايي كه به احتمال زياد در مركز داده هاي ابر از يك يا چند پلت فرم مجازي سازي استفاده مي شود (اعم از ابر عمومي يا خصوصي يا تركيبي)، بايد مسائل امنيتي مربوط به مجازي سازي در ابر بررسي شود.
قبل از آن كه درباره نگراني هاي امنيتي مربوط به مجازي سازي و محاسبات ابري فكر كنيد، بايد ابتدا بدانيد كه چگونه مجازي سازي در محيط ابر مورد استفاده قرار مي گيرد. يك ماشين مجازي ( معمولا به عنوان "VM" ناميده مي شود) معمولا سيستم عاملي است كه در حال اجراي تصويري از OS مي باشد. تصوير OS يك عكس فوري از سرور است و شامل ديسك ذخيره سازي مجازي است. شما نياز به فناوري هايي داريد كه اين ماشين هاي مجازي را پشتيباني كند. اين كار با استفاده از يك Hypervisor انجام مي گيرد.
پلت فرم هاي مختلف مجازي سازي از روش هاي مختلف استفاده مي كنند. صرف نظر از توليدكننده، دو نوع استاندارد براي پلت فرم هاي مجازي سازي وجود دارد كه امروزه استفاده مي شود:

  • نوع اول: Hypervisorها به طور مستقيم بر روي سخت افزار bare اجرا مي شوند. سيستم عامل هاي مهمان بر روي Hypervisor اجرا مي شوند. به عنوان مثال: Hyper-Vand VMware ESX مايكروسافت.
  • نوع دوم: Hypervisorها با عنوان “hosted hypervisors” ناميده مي شوند و Hypervisor به عنوان برنامه اي در سيستم عامل ميزبان اجرا مي شود. VMها بر روي Hypervisor نوع دوم اجرا مي شوند. به عنوان مثال: VirtualBox اوراكل، Parallels، Virtual PC، VMware Fusion، VMware Server، Xen و XenServer.

بحث بيشتر درباره چگونگي كار كرد مجازي سازي فراتر از اين مقاله مي باشد. منابع بسيار خوبي بر روي وب سايت شركت هاي مايكروسافت و VMware وجود دارد و در صورت تمايل مي توانيد اطلاعات بيشتري درباره پلت فرم هاي مجازي سازي كسب نماييد. در اين سري مقالات صرفا بر روي مسائل امنيتي مهم مربوط به Hypervisor مي پردازيم و اين مسائل امنيتي زماني كه مربوط به استفاده مجازي سازي در ابر مي باشد، از اهميت بيشتري برخوردار مي شود. در زير نگاهي به برخي از اين مسائل مي اندازيم:

  • اولين ملاحظه امنيتي آن است كه زماني كه يك ماشين مجازي جديد ايجاد مي نماييد و آن را روشن مي كنيد، شما يك سيستم عامل جديد را به محيط توليد اضافه مي كنيد. صرف نظر از سيستم عامل، هر سيستم عامل مخاطرات امنيتي مخصوص به خود را دارد. اين بدان معناست كه شما بايد بسيار مراقب باشيد كه هر سيستم عاملي كه در محيط مجازي در حال اجراست به روز رساني شود، نگهداري شود و نظارت مناسب براي آن در نظر گرفته شود، درست مانند هر سيستم عامل غيرمجازي كه بر روي شبكه قرار دارد.
  • ملاحظه امنيتي بعدي آن است كه شما بايد آگاه باشيد، سيستم هاي تشخيص نفوذ شبكه كه امروزه در شبكه هاي بزرگ استفاده مي شود، لزوما در زيرساخت هاي مجازي با همان كيفيت كار نمي كنند. به ويژه زماني كه مي خواهيد ترافيك بين ماشين هاي مجازي كه بر روي يك سرور ميزباني مي شوند يا عضو يك سرور كلاستر مجازي هستند را نظارت كنيد. نتيجه آن است كه بايد براي نظارت ترافيك بين VMها از روش هاي جايگزين استفاده نماييد.
  • ملاحظه امنيتي مهم ديگر آن است كه هنگامي كه شما ماشين هاي مجازي را از يك سرور فيزيكي به يك سرور فيزيكي ديگر منتقل مي كنيد، سيستم ها ممكن است از جا به جايي ماشين هاي مجازي مطلع نشوند، بنابراين ممكن است پيام هاي هشداري توليد نمايند كه نادرست است. اين موقعيت حتي زماني كه شما در ارتباط با مجازي سازي از كلاستر استفاده مي كنيد، دشوارتر مي شود.
  • آخرين ملاحظه امنيتي آن است كه مجازي سازي شما را ملزم مي كند تا براي خدماتي كه ارائه مي دهيد، روش هاي مديريتي مختلفي را از ميان تمامي راه حل ها اتخاذ نماييد. مسائلي از قبيل مديريت پيكربندي مطلوب (DCM)، پويايي ماشين مجازي و مديريت و برنامه ريزي ظرفيت نياز به بازنگري دارند. علاوه بر اين، ممكن است در اختصاص منابع با مشكلاتي مواجه شويد. به همين دلايل، نياز است تا زماني كه برنامه هاي كاربردي و خدمات در يك محيط مجازي اجرا مي شوند، توجه ويژه اي به مديريت عملكرد داشته باشيد.

مطالب مرتبط:
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)

برچسب‌ها
مستندات مرجع
  • 11