Your browser does not support JavaScript! رفتن به محتوای اصلی
Loader
Securing ESXi

امنیت و بستر مجازی vSphere ESXi

از آنجا که هایپروایزر ESXi  تمرکز ویژه ای بر مسئله امنیت در زیرساخت مجازی دارد قصد دارم در این مقاله ویژگی‌های امنیتی را که ESXi از آن‌ها به منظور حفظ امنیت خود بهره می‌برد به طور کامل شرح دهم:

ESXi  محافظت از VMkernel را به وسیله سه قابلیت اعمال می‌کند:

  • Memory hardening  : کرنل ESXi، برنامه‌های کاربران،  component های اجرایی مانند درایورها و کتابخانه‌ها را با استفاده از آدرس­ دهی تصادفی و غیرقابل پیش­ بینی حافظه حفاظت می‌کند. Memory hardening همراه با ویژگی حفاظت از آدرس‌دهی‌های غیرقابل پیش­ بینی که توسط ریزپردازنده های امروزی تامین می‌شود، کار را برای کدهای مخرب که از این آسیب ­پذیری به منظور memory exploit سوءاستفاده می­کند سخت می‌نماید.
  • Kernel Module Integrity : امضای دیجیتال باعث اطمینان از صحت و احراز هویت ماژول­ها، درایورها و برنامه‌ها که توسط VMkernel بار می‌شوند می‌گردد. صحت عملکرد ماژول به ESXi این اجازه را می‌دهد که ماژول­ها، درایورها، برنامه‌های کاربردی و certificate های VMware را شناسایی کند.
  • Trusted Platform Module : TPM یک چیپ خاص است که بر روی بردهای کامپیوتر نصب شده است و به منظور احراز هویت فرد استفاده کننده از دستگاه مورد استفاده قرار می‌گیرد. در این نوع از احراز هویت TPM  دستگاه از کاربر سؤال پرسیده و اطلاعات خاصی مانند کلید رمزنگاری، گواهینامه­ های دیجیتال و مواردی از این دست را بر روی سیستم‌ میزبان تعریف می‌نماید. وی‌ام‌ور از قابلیت‌های TPM به منظور حفظ امنیت پشتیبانی می‌کند.

امنیت و ماشین‌های مجازی:

ماشین‌های مجازی شامل نرم­ افزارها و سیستم­ عامل‌های مهمان در حال اجرا هستند. به همین منظور حفظ امنیت آن‌ها از اهمیت خاصی برخوردار است. در بستر مجازی وی‌ام‌ور ماشین‌های مجازی به صورت ایزوله فعالیت می‌کنند. ایزوله سازی دنیای ماشین‌های مجازی توانایی اجرای امن چندین ماشین مجازی مهمان با وجود مشترک بودن سخت افزار را فراهم می‌کند. حتی کاربرانی که دسترسی مدیریت سیستم ماشین مجازی مهمان را دارند بدون اعطای دسترسی از سوی مدیریت ESXi، نمی‌تواند این ویژگی را زیر پا بگذارند. نتیجه‌ی ایزوله بودن سیستم عامل‌های مهمان این است که با بروز اشکال برای یک ماشین دیگر ماشین‌ها می‌توانند بدون توجه به اشکال ایجاد شده در ماشین همسایه کار خود را بدون وقفه ادامه دهند. با وجود استفاده از سخت افزار مشترک، ماشین مجازی در دنیایی قرار دارد که تصور می‌کند تمامی منابع را تحت کنترل و در اختیار خود دارد و نه بر روی یک سخت افزار مشترک نصب شده است. شکل زیر بیانگر جداسازی ماشین مجازی است.

 

 

از آنجا که VMkernel واسط منابع فیزیکی و تمامی دسترسی‌ها به منابع فیزیکی است، ماشین‌های مجازی نمی‌توانند این سطح جداسازی را دور بزنند.

ماشین مجازی با دیگر ماشین‌های در حال اجرا بر روی همان‌ میزبان از طریق سوئیچ مجازی و کارت شبکه‌ی مجازی در ارتباط است. علاوه بر این ماشین مجازی با شبکه واقعی نیز از طریق کارت شبکه فیزیکی در ارتباط است.

 

 

با توجه به ساختار سوییچ‌های مجازی می‌توان این گونه بیان کرد:

در صورت حذف پورت مشترک یک ماشین مجازی بر روی سوئیچ مجازی دسترسی شبکه آن ماشین به دیگر ماشین‌های موجود بر روی آن‌ میزبان به طور کامل قطع و آن ماشین در شبکه دیگری خواهد بود.

در صورتی که دسترسی به شبکه واقعی از طریق کارت شبکه‌ی فیزیکی موجود بر روی میزبان برای ماشین مجازی پیکربندی نشود آن ماشین به شبکه‌ی فیزیکی متصل نخواهد شد و به صورت ایزوله عمل خواهد کرد.

می‌توان به منظور حفاظت بیشتر از ماشین‌های مجازی، از مکانیزیم های رزرو منابع و یا اعمال محدودیت‌های بیشتر امنیت ماشین‌های مجازی را بیش از پیش افزایش داد تا در صورت بروز سخت‌ترین حملات نیز به دیگر ماشین‌های مجازی آسیب وارد نشود. به عنوان مثال با کنترل منابع در دسترس هایپروایزر ESXi می‌توانید به یک ماشین دستور دهید که تنها از 10 تا 20 درصد از حافظه RAM را استفاده نماید. رزرو منابع و محدود کردن ماشین‌ها باعث بهبود عملکرد و حفظ منابع اختصاصی برای آن ماشین‌ می‌گردد. فرض کنید ماشینی مورد حمله‌ی اختلال در سرویس قرار گرفت، اختصاص منابع به صورت محدود باعث جلوگیری از مصرف منابع سخت­ افزاری مشترک شده خواهد شد و بدین ترتیب دیگر ماشین‌ها به کار خود ادامه خواهند داد. به همین ترتیب رزرو منابع سبب می‌شود که در هنگام حمله‌ی اختلال در سرویس، دیگر ماشین­ها از منابع کافی جهت پردازش بارهای کاری خود بهره ببرند. به صورت پیش­ فرض هایپروایزر ESXi رزرو منابع را با الگوریتم‌های توزیع­ پذیری برای استفاده‌ی مساوی ماشین‌های مجازی، اجرا می‌نماید و با اعمال رزرو منابع توسط مدیر شبکه تخصیص منبع به شکل دلخواه انجام خواهد شد.

امنیت و  لایه شبکه مجازی:

لایه‌ی شبکه شامل کارت شبکه­‌های مجازی و سوئیچ­های مجازی است. هایپروایزر ESXi با تکیه بر لایه‌ی شبکه‌ی مجازی اتصال خود را با ماشین‌های مجازی و کاربران خارجی میسر می‌سازد. به علاوه از این لایه جهت برقراری ارتباط با دستگاه های ذخیره سازی در انواع SAN، NAS و با استفاده از تکنولوژی‌های iSCSI، Fiber Channel و غیره استفاده می‌شود.

شما به منظور امن سازی ماشین‌ها می‌توانید از روش‌های مختلفی استفاده کنید که یکی از این روش‌ها استفاده از فایروال است که در زیرساخت مجازی وی‌ام‌ور توسط ابزارهای مجازی حرفه‌ای این کار صورت می‌پذیرد.

همچنین ESXi  از IEEE 802.1Q پشتیبانی می‌کند و همان طور که ذکر شد به شما امکان محافظت از شبکه‌ی ماشین‌های مجازی و تنظیمات ارایه های ذخیره­ سازی را به طور پیشرفته فراهم کرده است. قابلیت تعریف VLAN تقریبا در تمامی قسمت‌های لایه شبکه ESXi تعبیه و پشتیبانی شده است. استفاده از VLAN ها این امکان را به شما می‌دهد که بتوانید قسمتی از شبکه‌ی مجازی خود را از دیگر قسمت‌ها جدا کرده و با این کار ضریب امنیت و ساختار طراحی مشخصی را در زیرساخت مجازی پیاده سازی نماید.

جمع بندی:

با توجه به لزوم امن بودن زیرساخت اطلاعاتی و در دسترس بودن اطلاعات برای کاربران واقعی استفاده از تکنولوژی‌ها و الگوریتم‌های امنیتی حائز اهمیت است در اینجا به بررسی اجمالی برخی از ویژگی­های امنیتی که ESXi از آن‌ها بهره جسته است پرداخته شد. در مقالات بعدی، امنیت در بستر مجازی وی‌ام‌ور را در ابعاد دیگر بررسی خواهم کرد.

7 دیدگاه‌ها

با سلام و ارزوی موفقیت روزافزون
درحال حاضر روی پایان نامه ام کار میکنم که مربوط به امنیت شبکه های مجازی سازی شده است و نیاز به کمک دارم.آدرس ایمیلتون رو پیدا نکردم.اگر ممکنه آدرس ایمیلتون رو بدید.ممنون

سلام خانم مهندس.
ممنون از مقالات جالب و پربارتون. میخواستم vcenter 5.1 رو دانلود کنم پیداش نکردم . یعنی همه لینکها یا خرابه یا باید عضو بود .میشه یه لینک مطمئن بهم معرفی کنید.

سلام
منظورم روش های مدیریت حافظه در VMware ESX Server هستش مثلاً روش هایی مثل:
1. VMware Ballooning
2. Demand Paging
3. Transparent Page Sharing یا TPS
4. Content-Based Page Sharing
5. Page Replacement Issues
6. Shared Memory

من جستجو کردم ولی چیزی پیدا نکردم!!!
اگه میشه لطفاً لینکش رو بذارید. ممنون

افزودن دیدگاه جدید

محتوای این فیلد خصوصی است و به صورت عمومی نشان داده نخواهد شد.

Plain text

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.

پیشنهادهای ویژه

The subscriber's email address.