ملاحظات امنيتی محاسبات ابری (قسمت چهارم) – مديريت منابع (بخش اول)

ملاحظات امنيتی محاسبات ابری (قسمت چهارم) – مديريت منابع (بخش اول)

تاریخ ایجاد

IRCAR201307181
تاريخ: 30/04/92

مقدمه
در سري مقالات امنيت ابر خصوصي، تعريف ابر خصوصي و دو ويژگي ضروري در محاسبات ابر شامل دسترسي به شبكه گسترده و خدمات سلف سرويس بيان شد. هم چنين در خصوص چگونگي تاثير هر يك از اين ويژگي ها در ابر خصوصي و ملاحظات امنيتي هر ويژگي توضيح داده شد. در اين مقاله به مديريت منابع، سومين ويژگي ضروري ابر خصوصي و ملاحظات امنيتي آن پرداخته مي شود.

مديريت منابع چيست؟
مديريت منابع در ابر خصوصي، hypervisor را قادر مي سازد تا به منظور استفاده بهينه از منابع، مشتريان را به مكان هاي مختلف تخصيص دهد. اين همان كاري است كه VMware DRS و Hyper-V PRO مي توانند انجام دهند. راه حل مجازي سازي بايد هر گونه منبعي را به خصوص دستگاه هاي ذخيره سازي و RAM قبل از اختصاص آن به مشتري ديگر پاك سازي نمايد. داده هايي كه متعلق به يك مشتري مي باشد نبايد توسط مشتري جديد قابل فاش شدن باشد. در ابر خصوصي، فرآيند خودكار مي تواند به پاك سازي منابع و اختصاص آن به مشتري ديگر كمك بزرگي نمايد.

پيامدهاي امنيتي
مديريت منابع در ابر خصوصي مي تواند بر روي طراحي امنيتي شما تاثير بگذارد. شما مي توانيد انتظار برخورد با برخي يا همه موارد ذيل را داشته باشيد:

  • مسائل مربوط به استفاده مجدد منابع توسط برنامه هاي كاربردي مشتريان مختلف
  • مسائل مربوط به خدمات مشتركي كه بر روي يك سرور متعلق به مشتريان مختلف است
  • مسائل مربوط به فرآيند هاي خودكار كه تخصيص يافتن و آزاد كردن منابع را مديريت مي كنند

در ابر خصوصي معمولي، منابعي كه مشتريان استفاده مي كنند مي توانند بر روي هر دستگاه در ابري كه اين منابع را پيشنهاد مي دهد، ميزباني شوند. به عنوان مثال، زماني كه يك مشتري خدمات ابر يك ماشين مجازي را در ابر خصوصي راه اندازي مي كند، اين ماشين مجازي مي تواند بر روي هر سروري در ابر خصوصي ميزباني شود. در نتيجه اين ماشين مجازي مي تواند به ميزباني خدمات و برنامه هاي كاربردي كه متعلق به ناحيه امنيتي متفاوتي هستند، پايان دهد و ممكن است خود اين خدمات و برنامه هاي كاربردي داراي قابليت هاي امنيتي متفاوتي از قبيل احراز هويت و تفويض اختيار باشند.

مسائل مرتبط با بالاترين حق دسترسي
در طراحي شما بايد اين مساله در نظر گرفته شود كه خدماتي كه در اختيار كسب و كارهاي كوچك است ممكن است در معرض خطر قرار داشته باشند و مهاجمان قادر خواهند بود با استفاده از اين ضعف، خدماتي كه در اختيار كسب و كارهاي بزرگ است را مورد حمله قرار دهند. اين حمله ممكن است با هدف سرقت داده هاي كسب و كارهاي بزرگ انجام شود و يا با استفاده از حمله انكار سرويس بر روي خدمات كسب و كار كوچك باعث شود تا خدمات بسيار مهم براي كسب و كار بزرگ در دسترس قرار نداشته باشند.
به طور معمول لايه زيرساخت شامل نظارت بر ترافيك شبكه مي باشد. نظارت بر ترافيك شبكه و سيستم تشخيص نفوذ و يا سيستم جلوگيري از نفوذ مي توانند ترافيك غيرعادي را شناسايي نمايند. اين ترافيك غير عادي مي تواند ناشي از يك حمله بر روي زيرساخت باشد و يا نشان دهنده به خطر افتادن برخي از عناصر ابر باشد.

بهينه كردن شبكه با استفاده از مجازي سازي
Hypervisors از قابليت مجازي سازي بخش هاي مختلف شبكه در زيرساخت پشتيباني مي كند. با استفاده از اين قابليت مي توان ترافيك شبكه فيزيكي و منطقي را از يكديگر جدا كرد. اين مساله مي تواند موقعيتي را بوجود آورد كه در آن ترافيك شبكه از دستگاه سوئيچ فيزيكي عبور داده نشود و در نتيجه نمي توان ترافيك آن را نظارت كرد. اين موضوع مي تواند باعث شود تا ابزارهاي تجزيه و تحليل شبكه قادر نباشند به تمام ترافيك شبكه دسترسي داشته باشند. شما بايد تصميم گيري نماييد كه آيا خطر اين تهديد را مي پذيريد و يا مي خواهيد با استفاده از عمليات زير، خطر بالقوه را كاهش دهيد:

  • تمام ترافيك شبكه از طريق دستگاه هاي فيزيكي شبكه ارسال شود و سرور VM اجازه ندارد براي ارسال ترافيكVM از ارتباطات مجازي استفاده نمايد.
  • عملكرد نظارت را به تمامي سرورهاي اضافه نماييد تا با استفاده از نرم افزار شبكه بتوان هر يك از شبكه هاي مجازي را نظارت كرد.
  • از يك راه حل مجازي سازي استفاده نماييد كه قادر باشد ترافيك شبكه مجازي شده را نظارت كند.

ترافيك شبكه بين ماشين هاي مجازي بايد در زمان انتقال به منظور حفاظت از داده رمزگذاري شود. رمزگذاري بر روي سيم بدان معناست كه راه حل هاي IDS / IPS قادر نخواهند بود كه ترافيك را بررسي نمايند. با اين وجود، شما مي توانيد از IPsec استفاده نماييد تا احراز هويت را بدون نياز به رمزگذاري فراهم نمايد.

مطالب مرتبط:
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش دوم)
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش اول)
ملاحظات امنيتي محاسبات ابري (قسمت دوم)
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)

برچسب‌ها