IRCAR201304170
تاريخ: 03/02/92
مقدمه
در قسمت دوم از سري مقالات ملاحظات امنيتي پردازش ابري توضيح داده شد كه چگونه پنج مشخصه ابر خصوصي، ملاحظات امنيتي را تحت تاثير قرار مي دهد. هم چنين بيان شد كه امنيت در ابر خصوصي بسيار شبيه به امنيت در مركز داده سنتي است. تفاوت هاي اصلي مربوط به مسائل امنيتي است كه بايد در رابطه با پنج مشخصه امنيتي در ابر خصوصي با تمركز بر روي مشخصه سلف سرويس در نظر گرفته شود.
در اين قسمت، مشخصه "دسترسي به شبكه گسترده" در ابر خصوصي توضيح داده خواهد شد و مشكلات امنيتي كه بايد برطرف شوند، معرفي مي شوند. هنگامي كه به مشخصه "دسترسي به شبكه گسترده" در ابر خصوصي اشاره مي شود بدين منظور است كه منابع ميزباني شده توسط ابر بايد براي هر دستگاه پردازشي بدون درنظر گرفتن ساختار آن و از طريق هر ارتباط اينترنتي در دسترس باشد. در ميان پنج مشخصه اساسي پردازش ابري، دسترسي به شبكه گسترده بسيار بحث برانگيز است زيرا هنگامي كه درباره ابر خصوصي فكر مي كنيد، معتقد هستيد كه استقرار ابر خصوصي باعث مي شود تا بسياري از اطلاعات باارزش شما دور از دسترس افرادي كه از اينترنت استفاده مي كنند، نگهداري شوند. در نتيجه بسياري از افراد بر اين باورند كه استفاده از مشخصه دسترسي به شبكه گسترده براي ابر عمومي كاراتر از ابر خصوصي است.
با اين حال، مي توانيد ديدگاهي ديگري نسبت به اين مشخصه داشته باشيد. اگر فرض كنيم كه ابرهاي تركيبي كه تركيبي از ابرهاي عمومي و خصوصي مي باشد، يك مدل استقرار رايج براي ابر باشد در نتيجه استفاده از مشخصه دسترسي به شبكه گسترده مي تواند يك الزام باشد زيرا ابر خصوصي نياز دارد تا به مولفه هاي پاياني ميزباني شده در ابر عمومي دسترسي داشته باشد.
مسائل مربوط به دسترسي به شبكه گسترده و امنيت ابر خصوصي
مسائل كليدي در رابطه با دسترسي به شبكه گسترده و امنيت ابر خصوصي عبارتند از:
- محل و نقش شبكه
- مديريت دسترسي و هويت
- احراز هويت
- تفويض اختيار
- كنترل دسترسي مبتني بر نقش
- رويداد
- لاگ گيري و مميزي
- اتصال به شبكه عمومي
- حفاظت نقطه پاياني (امنيت كلاينت)
در زير، موارد فوق به تفصيل بررسي خواهند شد.
محل و نقش شبكه
در ابر خصوصي، لازم است تا ارتباطات ورود به منابع روي شبكه ابر خصوصي مديريت شوند. در برخي از موارد، نياز است تا دسترسي ورودي به خدمات پاياني اجازه دهد تا به منابع ابر خصوصي متصل شوند و در موارد ديگري نيز ممكن است منابع ابر خصوصي به گونه اي مديريت شوند كه مشخص كند كدام دستگاه هاي كلاينت مي توانند به اين منابع متصل گردند. به دليل آن كه دسترسي به منابع از طريق اينترنت انجام مي گيرد، لازم است تا بين خدمات ابر خصوصي و اينترنت يك محيط DMZ قرار گيرد.
نكته مهم ديگر آن است كه ممكن است بخواهيد محيط DMZ و فايروال ها را در يك محيط مجازي مانند ديگر خدمات ابر خصوصي خود ميزباني كنيد. اگرچه فايروال ها و دروازه هاي عبور متعلق به ناحيه امنيتي مجزا مي باشند، اما نبايد اين خدمات را بر روي سرورهايي كه باركاري محصولات شما را ميزباني مي كنند، قرار دهيد. دليل اين امر آن است كه اگر به هر نحوي ماشين هاي مجازي دروازه عبور به خطر بيافتند، اين شانس براي مهاجم به وجود مي آيد كه كل زيرساخت ابر خصوصي شما را مورد حمله قرار داده و از كار بياندازد.
مديريت دسترسي و هويت
مديريت دسترسي و هويت در رابطه با امنيت ابر خصوصي، بحراني و بسيار مهم مي باشد. لازم است تا كليه اتصالات ورودي به ابر خصوصي تاييد هويت شوند و پس از آن كه هويت كاربر تصديق شد، نياز به مكانيزمي است تا بتواند منابعي را كه اين كاربر اجازه دسترسي به آن ها را دارد، مشخص نمايد تا كاربر تنها بتواند به منابع مجاز دسترسي يابد. چگونگي انجام اين مكانيزم به تعداد كاربراني كه از منابع ابر خصوصي استفاده مي كنند و ماهيت منابع ابر خصوصي كه كابران به آن متصل مي شوند، بستگي دارد.
مديريت دسترسي نه تنها براي كاربران ابر خصوصي بلكه براي مديران زيرساخت اين ابر بايد در نظر گرفته شود. زيرا نيازي نيست تا مديران اجزاء زيرساخت ابر خصوصي به تمامي آن دسترسي داشته باشند. آن ها بايد تنها به بخش هايي از زيرساخت كه مسئول نگهداري آن مي باشند، دسترسي داشته باشند.
در قسمت بعدي اين مقاله به توضيح بخش هاي ديگر مسائل مربوط به دسترسي به شبكه گسترده و امنيت ابر خصوصي پرداخته مي شود.
مطالب مرتبط:
ملاحظات امنيتي محاسبات ابري (قسمت دوم)
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)
- 5