IRCAR201309185
تاريخ: 10/06/92
رمزگذاري ديسك
هنگامي كه در محيط مجازي يك هكر به زيرساخت ذخيره سازي فيزيكي دسترسي مي يابد، رمزگذاري كل ديسك مي تواند از داده هاي ذخيره شده شما بر روي رسانه محافظت نمايد. هم چنين بايد توجه داشته باشيد كه ماشين هاي مجازي بايد تنها به دستگاه هاي ذخيره سازي مجازي كه به آن ها اختصاص داده شده است، دسترسي داشته باشند.
شما بايد هنگام استفاده از هر روش رمزگذاري درباره مزيت ها و معايب امنيت در مقابل عملكرد بيشتر بررسي نماييد. الگوريتم هاي رمزگذاري مختلف داراي عملكردهاي متفاوتي مي باشند و سطوح مختلفي از محافظت را ارائه مي دهند. نيازي نيست كل ترافيك رمزگذاري و احراز هويت شود. در كسب و كارهاي كوچك تنها لازم است اطلاعات احراز هويت شوند. در كسب و كارهاي بزرگ بايد اطلاعات در زمان انتقال رمزگذاري شوند و عمليات احراز هويت و تفويض اختيار بايد در سطوح شبكه انجام شود.
امنيت زيرساخت اصلي
تمام ماشين هاي مجازي در ابر خصوصي نيازمند پردازش، حافظه، رسانه ذخيره سازي و منابع شبكه مي باشند. Hypervisorاي كه استفاده مي كنيد بايد قادر باشد تا اين منابع را براي هر كاربر تفكيك نمايد. اين كار را مي توان به طرق مختلف انجام داد.
به عنوان مثال راهي در Hyper-V وجود دارد كه مي تواند بر روي تمامي ماشين هاي مجازي در حال اجرا بر روي سيستم عامل ميزبان يكسان تعمدا منابع حافظه را از منايع پردازش تفكيك نمايد. اين راه شما را قادر مي سازد تا سوئيچ هاي مجازي مجزا شده را تعريف نماييد و به هر ماشين مجازي اجازه مي دهد تا تنها از هارد ديسك هاي مجازي خودش استفاده نمايد. اگر برنامه هاي كاربردي چندين كاربر كه بر روي ماشين هاي مجازي مختلفي ميزباني مي شوند نياز باشد كه به يك منبع به اشتراك گذاشته شده دسترسي داشته باشند، اين اشتراك گذاري بايد مديريت شود به گونه اي كه تنها برنامه هاي مجاز شده به آن دسترسي داشته باشند و هم چنين بايد تمامي دسترسي ها و استفاده ها به طور مداوم نظارت شوند.
اگرچه بايد به منظور حفاظت ار ماشين هاي مجازي و جداسازي المان هاي سخت افزاري، خط مشي هايي براي لايه هاي مختلف زيرساخت ايجاد شود اما شما بايد هميشه از روش دفاع در عمق نيز استفاده نماييد و فرض كنيد كه هكرها خواهند توانست رخنه اي را در زيرساخت شما كشف كرده و با استفاده از آن به پلت فرم دسترسي يابند.
دو روش دفاع در عمق در ذيل بيان مي شود:
- ماشين هاي مجازي بايد به منظور مسدود نمودن حملات شبكه هاي خارجي، ماشين هاي مجازي داخل شبكه مجازي يا ديگر مولفه هاي زيرساخت، فايروال مبتني بر ميزبان خودشان را داشته باشند.
- فايروال هاي مبتني بر ميزبان بايد ترافيك هاي ورودي و خروجي ماشين هاي خاص و ارتباطات آن ها را اجازه دهد و اجازه برقراري ارتباط با ماشين هاي مجازي و فيزيكي ديگر را ندهد.
IPsec مي تواند براي جداسازي گروه هايي از ماشين هاي مجازي استفاده شود در نتيجه آن ها قادر نخواهند بود كه به ماشين هاي ديگر متصل شوند. براي مثال، اگر شما يك برنامه كاربردي چند لايه در ابر خصوصي داشته باشيد، مي توانيد با استفاده از IPsec اطمينان حاصل نماييد كه سرور پايگاه داده شما تنها به سرور چند لايه متصل خواهد شد و اين سرور تنها مي تواند به سرور وب متصل شود.
برطرف كردن مسائل امنيتي در نرم افزار
حفاظت داده ها براي خدمات و برنامه هاي كاربردي در حال اجرا بر روي ابر خصوصي مي تواند از روش هاي مختلف انجام شود. طراحان برنامه هاي كاربردي در برابر امنيت ويژگي هاي طراحي خود مسئول مي باشند. ارائه دهنده خدمات ابر (CSP) بايد با طراحان برنامه هاي كاربردي در تعامل باشند و به آن ها كمك نمايند.CSP بايد طراحان را نسبت به خدمات حفاظت داده و ساير ويژگي هاي امنيتي كه توسط زيرساخت ابر ارائه مي شود، آگاه سازند. هر ويژگي از زيرساخت ابر كه ممكن است در طراحي برنامه هاي كاربردي يا خدمات تاثير داشته باشد بايد آزادانه با طراحان برنامه هاي كاربردي به اشتراك گذاشته شود.
برنامه هاي كاربردي كاربران ممكن است داده ها را در رسانه ذخيره سازي، داده را در RAM و داده را در حين فرآيند پردازش رمزگذاري نمايد. در اين حالت اگر برنامه كاربردي يا خدمات يك كاربر در دسترس افراد غيرمجاز قرار بگيرد، سرقت اين داده ها بسيار مشكل خواهد شد.
فناوري هاي رمزگذاري به منظور انجام رمزگذاري و بازگشايي رمز در سناريوي الگوريتم رمزگذاري متقارن و نامتقارن به يك كليد خصوصي نياز دارد. زيرساخت ابر ممكن است برنامه هاي كاربردي كاربران را به سرورهاي مختلف منتقل نمايد و يا آن كه به منظور بهينه كردن دسترسي به خدمات، برنامه ها را به مراكز داده ديگر انتقال دهد. فناوري هاي رمزگذاري كه توسط برنامه هاي كاربردي براي حفاظت داده ها استفاده مي شود بايد به گونه اي موثر و كارآ در اين سناريو ها نيز به كار برده شود.
فرآيندهاي خودكار كه مسئول جابه جايي برنامه هاي كاربردي و خدمات به دستگاه هاي مختلف مي باشند بايد اين اطمينان را بدهند كه كليدهاي رمزگذاري كه براي حفاظت از داده هاي برنامه هاي كاربردي استفاده مي شوند در زمان هاي مورد نياز در دسترس باشند. اگر اين كليدها بين موقعيت هاي مختلف كپي مي شود، فرآيند خودكار بايد اين امكان را فراهم آورد كه فرآيند انتقال امن باشد.
در مقاله بعدي به ملاحظات امنيتي قابليت ارتجاعي مي پردازيم.
مطالب مرتبط:
ملاحظات امنيتي محاسبات ابري (قسمت چهارم) – مديريت منابع (بخش اول)
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش دوم)
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش اول)
ملاحظات امنيتي محاسبات ابري (قسمت دوم)
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (سمت دوم)
- 5