IRCAR201310187
تاريخ: 22/07/92
مقدمه
در چهار قسمت اول از سري مقالات امنيت ابر خصوصي، برخي از ملاحظات اساسي كه بايد براي امنيت در ابر خصوصي رعايت شوند، شرح داده شد. در اين قسمت درباره قابليت انعطاف پذيري، يكي ديگر از مشخصه هاي اساسي ابر خصوصي مي پردازيم.
با استفاده از قابليت انعطاف پذيري، محاسبات ابري جدا از محاسبات مركز داده سنتي نگهداري مي شوند. در يك محيط ابر، كاربران متفاوتي وجود دارند كه مولفه هاي يك منبع مشترك را با هم تقسيم مي كنند. كاربران اين محيط از شبكه، پردازش و منابع در يك محيط مشترك استفاده مي كنند و زمانيكه به اين دارايي ها احتياج ندارند اين دارايي ها را به محيط ابر باز مي گردانند. هم چنين ممكن است با توجه به نيازهايشان، منابع بيشتري را در اختيار بگيرند ولي زماني كه كار آن ها با اين منابع تمام شود، اين منابع آزاد شده و به محيط ابر باز مي گردند. در يك محيط ابري كه معماري آن به خوبي طراحي شده است، انتساب و ترخيص دارايي ها به صورت خودكار صورت مي گيرد. اين عمليات توسط ويژگي قابليت انعطاف پذيري انجام مي پذيرد.
نگراني هاي امنيتي مرتبط با قابليت انعطاف پذيري
اين ويژگي اساسي در محاسبات ابر شما را قادر مي سازد تا به عنوان ارائه دهنده خدمات ابر يا زيرساخت ابر به مشتريان خود منابعي را كه لازم دارند اختصاص دهيد و بدين جهت بهترين خدمات را به اين مشتريان ارائه دهيد. هم چنين قابليت انعطاف پذيري به شما اين امكان را مي دهد تا استفاده از منابع به اشتراك گذاشته شده را بهينه نماييد. شما بايد يك توافق صريح و روشني با مشتريان خود درباره ميزان منابعي كه لازم دارند، داشته باشيد. اين مساله به شما اجازه مي دهد تا بتوانيد حجم مركز داده خود را مديريت نماييد به گونه اي كه تمامي مشتريان قادر باشند از منابعي كه لازم دارند استفاده نمايند.
با اين حال، قابليت انعطاف پذيري برخي مسائل امنيتي را به وجود مي آورد كه ممكن است شما در يك مركز داده سنتي با آن ها مواجه نشويد. اين مسائل عبارت است از:
- تاييد هويت، تفويض اختيار و كنترل دسترسي كه بررسي مي كند چه كساني مي توانند درخواست استفاده از منابع به اشتراك گذاشته شده را داشته باشند و چه كساني مي توانند اين منابع را آزد كرده و به محيط ابر برگردانند.
- نظارت و بررسي درخواست ها براي انتساب و ترخيص منابع تا تضمين كند كه سهميه بندي به خوبي اجرا شده و خدمات در دسترس مي باشند.
- اطمينان حاصل شود زماني كه منابع اختصاص داده شده آزاد مي شوند و به محيط ابر برگردانده مي شوند، تمامي آثار داده ها از تمامي مولفه هاي به اشتراك گذارده شده پاك مي شود.
امن سازي زيرساخت ابر
انتساب و ترخيص منابع بايد به طور كامل قابل ثبت و بررسي باشد. عمليات نظارت از اهميت ويژه اي برخوردار است به خصوص هنگام استفاده از منابع ابر و آزادسازي آن ها، زيرا يك مهاجم مي تواند توسط در اختيار گرفتن كل منابع، ابر خصوصي را از دسترس خارج نموده و بي ثبات نمايد.
بايد توجه داشت قوانين به گونه اي باشند كه اين اطمينان را بدهند منابعي كه دوباره مي خواهند در ابر مورد استفاده قرار گيرند حاوي داده هاي حساس نباشند زيرا ممكن است توسط برنامه هاي كاربردي يا خدماتي كه مجددا منبع مذكور را در اختيار مي گيرند، قابل مشاهده باشند.
ابر خصوصي شما ممكن است سهميه بندي منابع مختلف را براي كلاينت هاي متفاوت پيشنهاد دهد. به منظور نگهداري كيفيت خدمات براي تمامي كلاينت ها مي بايست تعداد سايزهاي خاص ماشين هاي مجازي را در ابر محدود نماييد به عنوان مثال 5 درصد از ماشين هاي مجازي بزرگ مي باشند، 75 درصد سايز متوسط دارند و 20 درصد كوچك مي باشند.
بايد خط مشي ها به گونه اي باشند كه براي كنترل استفاده از منابع ابر خصوصي، سهميه بندي را توصيف نمايد. اين كار باعث مي شود تا كلاينت يا مهاجم نتوانند به طور تصادفي يا عمدي با درخواست هاي مكرر زيرساخت ابر خصوصي را درهم بشكند. شما بايد بتوانيد تشخيص دهيد كه كدام مشتري يا فرآيند درخواست استفاده از منابع را دارد و هم چنين بايد بتوانيد به صورت پويا بهره برداري از منابع را نظارت نماييد.
طراحي زيرساخت ابر خصوصي بايد براي تمامي مشتريان در دسترس باشد. همانطور كه قبلا اشاره شد تمامي درخواست هاي استفاده از منابع و آزاد كردن آن ها بايد ثبت شود و قابل بررسي باشد. هم چنين زيرساخت ابر خصوصي بايد پاسخگو باشد و زماني كه منابع درخواست مي شوند نبايد در اختصاص منابع تاخير قابل توجهي داشته باشد.
يك سناريو فرضي آن است كه درخواست هايي كه تقاضاي تخصيص منابع ابر خصوصي را دارند بسيار زياد باشد در نتيجه ممكن است نگهداري دسترسي پذيري ظرفيت منابع كار دشواري باشد. در اين حالت، ممكن است از ارتقاء ابر هيبريد استفاده نماييد و ابر خصوصي خود را گسترش دهيد و از شركت هاي ثالث استفاده كنيد. در ارتقاء ابر هيبريد بايد به كنترل هاي امنيتي كه توسط ميزبان ثالث به كار گرفته مي شود، توجه داشت.
امنيت نرم افزارها در ابر خصوصي
خدمات و برنامه هاي كاربردي ميزبان بايد به گونه اي طراحي شوند تا از ويژگي هاي ابر استفاده نموده و بتوانند تنظيمات امنيتي خود را حفظ نمايند. خدمات ابر مي تواند به گونه اي طراحي شود تا درخواست تخصيص منابع را به صورت برنامه ريزي شده و بر اساس تقاضا پاسخ دهد. اين عمليات بايد به گونه اي انجام گيرد كه قابليت دسترسي به خدمات را در ابر تحت تاثير قرار ندهد. علاوه بر اين، برنامه هايي كه براي پشتيباني از ويژگي قابليت انعطاف پذيري طراحي شده اند بايد براي اشتراك گذاري حالت كاربر داراي فرآيند خودكار باشد. SLA ها مي توانند توضيح دهند كه چگونه مي توان اين كار را به صورت امن انجام داد.
فرآيند مديريت امن در محيط الاستيك
در اختيار گرفتن و آزاد كردن منابع بايد از طريق يك سيستم مديريت ابر يكپارچه صورت پذيرد كه از طريق رابط هاي بصري و هم چنين رابط هاي برنامه اي پياده سازي مي شوند. كنترل دسترسي قوي بايد بايد اين واسط ها را بواسطه استفاده از كنترل دسترسي مبتني بر نقش اعمال كند و بايد براي دسترسي به اين واسط ها از سيستم هاي ورودي بسيار قوي استفاده نمايد. اين واسط ها بايد بررسي سهميه بندي بر روي تخصيص منابع را به اجرا درآورند.
مطالب مرتبط:
ملاحظات امنيتي محاسبات ابري (قسمت چهارم) – مديريت منابع (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت چهارم) – مديريت منابع (بخش اول)
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش دوم)
ملاحظات امنيتي پردازش ابري (قسمت سوم) – دسترسي به شبكه گسترده (بخش اول)
ملاحظات امنيتي محاسبات ابري (قسمت دوم)
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالشهاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)
- 10