IRCAR201307179
تاريخ: 15/04/92
در مقاله گذشته برخي از مسائل مربوط به دسترسي به شبكه گسترده مورد بررسي قرار گرفت. در اين بخش به توضيح مسائل ديگر مربوط به دسترسي به شبكه گسترده و امنيت ابر خصوصي مي پردازيم.
كنترل دسترسي مبتني بر نقش (RBAC)
در اين بخش به مفهوم كنترل دسترسي مبتني بر نقش مي پردازيم. دسترسي به مولفه هاي مختلف ابر خصوصي بايد بر اساس نقش هايي كه افراد در ابر خصوصي دارند، تعريف گردد. مولفه هاي مختلفي در ابر خصوصي وجود دارد كه مي تواند از نقش هاي متعددي پشتيباني كند. چالش آنجاست كه مولفه هاي زيرساخت كه براي ميزباني مولفه هاي فيزيكي مختلف در حالت توزيع شده در يك مركز داده سنتي استفاده مي شود، در حال حاضر در ابر خصوصي در يك زيرساخت مركزي متمركز شده اند.
نقش هاي شبكه، محاسبات و ذخيره سازي بايد به افرادي كه مسئول اين مولفه ها هستند، واگذار شود. به احتمال زياد راه حل هاي مديريتي يك كنسول مركزي را براي مديريت تمامي مولفه ها ارائه مي دهد. بنابراين، بايد اطمينان حاصل كنيد كه واسط مديريتي ابر خصوصي، شما را قادر مي سازد تا به مديران شبكه مولفه هاي مختلف دسترسي هاي لازم به واسط هاي پيكربندي را بدهيد اما در همين حال به گزينه هاي ديگر پيكربندي دسترسي نداشته باشند.
كاربران نهايي در ابر بايد براي دسترسي به مولفه هاي خدماتي كه نياز دارند، محدوديت داشته باشند. كاربران نهايي نياز دارند تا به خدماتي كه به آن متصل مي شوند، دسترسي داشته باشند در نتيجه مي توانند از برنامه هاي كاربردي مورد نياز استفاده نمايند و مديران شبكه نياز دارند تا به كنترل هايي كه عملكرد و كارايي كارهاي آن ها را تحت تاثير قرار مي دهد، دسترسي داشته باشند.
رويداد
رويدادهاي زيرساخت احراز هويت و تفويض اختيار به دليل تعداد سيستم هايي كه ابر خصوصي با آن ها كار مي كند، بسيار حياتي است. بسياري از محيط هاي ابر خصوصي مولفه هايي خواهند داشت كه در ابر عمومي يا در محيط هاي ابر خصوصي ديگر قرار گرفته اند. به همين دليل فرآيند احراز هويت متمركز شده نيست. اين موضوع در رابطه با ارتباطات كلاينت ها در محيط ابر خصوصي نيز صدق مي كند. شما ممكن است اطلاعاتي در رابطه با سيستم هاي كلاينت داشته باشيد و بنابراين نياز خواهيد داشت تا زماني كه آن ها از مخازن احراز هويت استفاده مي كنند، از يك خط مشي غيرمتمركز پيروي كنيد. رويداد به شما اجازه مي دهد تا بوسيله فعال كردن ابر خصوصي براي تحليل ادعاهاي توليد شده بوسيله مخازن احراز هويت معتبر، اين كار را انجام دهيد.
لاگ گيري و مميزي
مميزي در ابر خصوصي بايد بسيار قوي و جامع باشد. زيرا بار كاري زيادي در ابر وجود دارد و هم چنين كاربران و دستگاه هاي زيادي از مكان هاي مختلفي به ابر خصوصي متصل مي شوند و در نتيجه بايد از كليه فعاليت هايي كه انجام مي گيرد به طور جامع لاگ گيري و گزارش گيري شود. با توجه به اين واقعيت كه خدمات سلف سرويس اين امكان را به مديران شبكه مي دهد تا به طور خودكار بر روي خدمات مختلف حركت نمايند و كاربران را قادر مي سازد تا به اين منابع متصل شوند، اين موقعيت بسيار پيچيده مي باشد.
لاگ گيري و مميزي نيز بسيار حائز اهميت مي باشند. بايد بتوان گرايش ها و الگوهايي با توجه به دسترسي شبكه بدست آورد. آيا اتصال كاربران داراي الگويي مشخص مي باشد؟ آيا كاربران در ساعات خاصي از روز بيشتر به شبكه متصل مي شوند؟ آيا از موقعيت هاي جغرافيايي خاص حملات بيشتري بر روي شبكه انجام مي گيرد؟ آيا الگوي مشخصي براي يك نوع حمله خاص از دستگاه هاي مشخص وجود دارد؟ گستردگي لاگ گيري و گزارش گيري مي تواند اين اطلاعات حياتي را به شما بدهد و در نتيجه مي توان پاسخگويي خودكار را در برابر اين مسائل طرح ريزي كرده و به كار بست.
اتصال به شبكه عمومي
از آن جايي كه دسترسي به شبكه گسترده نيازمند اتصال به اينترنت است، نياز است تا اطمينان حاصل كرد كه اتصال به اينترنت شما بايد كارايي بالا داشته و هميشه در دسترس باشد. هم چنين نياز است تا اطمينان حاصل شود كه هميشه پهناي باند كافي براي اتصال كاربران و مديران شبكه به منابع وجود دارد. بايد از خدمات QoS استفاده نماييد در نتيجه هر يك از فعاليت هايي كه انجام مي شود، پهناي باندي كه نياز دارد را اشغال مي كند. علاوه براين، خدمات QoS بسيار مهم مي باشند زيرا يك بار كاري خرابكار ممكن است اتصال به اينترنت را تحت تاثير قرار دهد و تاثير منفي بر روي ساير فعاليت هاي زيرساخت ابر خصوصي بگذارد.
حفاظت نقطه پاياني (امنيت كلاينت)
مهم ترين مسئله در رابطه با دسترسي به شبكه گسترده، حفاظت نقطه پاياني و امنيت كلاينت است. به اين دليل كه دسترسي به شبكه گسترده مستلزم آن است كه بتوان دستگاه هاي گوناگوني را از هر نقطه جهان پشتيباني نمود و هم چنين اين نكته وجود دارد كه بسياري از كاربراني كه از خدمات ابر استفاده مي كنند براي شما ناشناس مي باشند.
در بسياري از موارد، شما هيچ كنترلي بر روي پيكربندي اين دستگاه ها نداريد. شما بايد درباره پيامدهاي امنيتي ناشي از اتصال دستگاه هاي ناامن به سرويس هاي موجود در ابر خصوصي بيانديشيد. بسته به بار كاري، لازم است تا استفاده از دستگاه هاي دروازه عبور كه مي توانند به پيكربندي امنيتي دستگاه هاي متصل به ابر خصوصي دسترسي يابند و بر اساس وضع موجود امنيت سطوح مختلف دسترسي را ارائه دهند، در نظر گرفته شوند.
خلاصه
در اين مقاله، مفاهيم امنيتي يكي از ويژگي هاي ابر خصوصي با عنوان دسترسي به شبكه گسترده را مورد بررسي قرار داديم. مساله كليدي در رابطه با اين ويژگي آن است كه هر دو كاربر شناخته شده و ناشناس از دستگاه هاي مديريت شده و مديريت نشده مي توانند به سرويس هاي موجود در ابر خصوصي متصل شوند.
مطالب مرتبط:
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش اول)
ملاحظات امنيتي محاسبات ابري (قسمت دوم)
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)
- 12