امنیت و بستر مجازی vSphere ESXi
از آنجا که هایپروایزر ESXi تمرکز ویژه ای بر مسئله امنیت در زیرساخت مجازی دارد قصد دارم در این مقاله ویژگیهای امنیتی را که ESXi از آنها به منظور حفظ امنیت خود بهره میبرد به طور کامل شرح دهم:
ESXi محافظت از VMkernel را به وسیله سه قابلیت اعمال میکند:
- Memory hardening : کرنل ESXi، برنامههای کاربران، component های اجرایی مانند درایورها و کتابخانهها را با استفاده از آدرس دهی تصادفی و غیرقابل پیش بینی حافظه حفاظت میکند. Memory hardening همراه با ویژگی حفاظت از آدرسدهیهای غیرقابل پیش بینی که توسط ریزپردازنده های امروزی تامین میشود، کار را برای کدهای مخرب که از این آسیب پذیری به منظور memory exploit سوءاستفاده میکند سخت مینماید.
- Kernel Module Integrity : امضای دیجیتال باعث اطمینان از صحت و احراز هویت ماژولها، درایورها و برنامهها که توسط VMkernel بار میشوند میگردد. صحت عملکرد ماژول به ESXi این اجازه را میدهد که ماژولها، درایورها، برنامههای کاربردی و certificate های VMware را شناسایی کند.
- Trusted Platform Module : TPM یک چیپ خاص است که بر روی بردهای کامپیوتر نصب شده است و به منظور احراز هویت فرد استفاده کننده از دستگاه مورد استفاده قرار میگیرد. در این نوع از احراز هویت TPM دستگاه از کاربر سؤال پرسیده و اطلاعات خاصی مانند کلید رمزنگاری، گواهینامه های دیجیتال و مواردی از این دست را بر روی سیستم میزبان تعریف مینماید. ویامور از قابلیتهای TPM به منظور حفظ امنیت پشتیبانی میکند.
امنیت و ماشینهای مجازی:
ماشینهای مجازی شامل نرم افزارها و سیستم عاملهای مهمان در حال اجرا هستند. به همین منظور حفظ امنیت آنها از اهمیت خاصی برخوردار است. در بستر مجازی ویامور ماشینهای مجازی به صورت ایزوله فعالیت میکنند. ایزوله سازی دنیای ماشینهای مجازی توانایی اجرای امن چندین ماشین مجازی مهمان با وجود مشترک بودن سخت افزار را فراهم میکند. حتی کاربرانی که دسترسی مدیریت سیستم ماشین مجازی مهمان را دارند بدون اعطای دسترسی از سوی مدیریت ESXi، نمیتواند این ویژگی را زیر پا بگذارند. نتیجهی ایزوله بودن سیستم عاملهای مهمان این است که با بروز اشکال برای یک ماشین دیگر ماشینها میتوانند بدون توجه به اشکال ایجاد شده در ماشین همسایه کار خود را بدون وقفه ادامه دهند. با وجود استفاده از سخت افزار مشترک، ماشین مجازی در دنیایی قرار دارد که تصور میکند تمامی منابع را تحت کنترل و در اختیار خود دارد و نه بر روی یک سخت افزار مشترک نصب شده است. شکل زیر بیانگر جداسازی ماشین مجازی است.
از آنجا که VMkernel واسط منابع فیزیکی و تمامی دسترسیها به منابع فیزیکی است، ماشینهای مجازی نمیتوانند این سطح جداسازی را دور بزنند.
ماشین مجازی با دیگر ماشینهای در حال اجرا بر روی همان میزبان از طریق سوئیچ مجازی و کارت شبکهی مجازی در ارتباط است. علاوه بر این ماشین مجازی با شبکه واقعی نیز از طریق کارت شبکه فیزیکی در ارتباط است.
با توجه به ساختار سوییچهای مجازی میتوان این گونه بیان کرد:
در صورت حذف پورت مشترک یک ماشین مجازی بر روی سوئیچ مجازی دسترسی شبکه آن ماشین به دیگر ماشینهای موجود بر روی آن میزبان به طور کامل قطع و آن ماشین در شبکه دیگری خواهد بود.
در صورتی که دسترسی به شبکه واقعی از طریق کارت شبکهی فیزیکی موجود بر روی میزبان برای ماشین مجازی پیکربندی نشود آن ماشین به شبکهی فیزیکی متصل نخواهد شد و به صورت ایزوله عمل خواهد کرد.
میتوان به منظور حفاظت بیشتر از ماشینهای مجازی، از مکانیزیم های رزرو منابع و یا اعمال محدودیتهای بیشتر امنیت ماشینهای مجازی را بیش از پیش افزایش داد تا در صورت بروز سختترین حملات نیز به دیگر ماشینهای مجازی آسیب وارد نشود. به عنوان مثال با کنترل منابع در دسترس هایپروایزر ESXi میتوانید به یک ماشین دستور دهید که تنها از 10 تا 20 درصد از حافظه RAM را استفاده نماید. رزرو منابع و محدود کردن ماشینها باعث بهبود عملکرد و حفظ منابع اختصاصی برای آن ماشین میگردد. فرض کنید ماشینی مورد حملهی اختلال در سرویس قرار گرفت، اختصاص منابع به صورت محدود باعث جلوگیری از مصرف منابع سخت افزاری مشترک شده خواهد شد و بدین ترتیب دیگر ماشینها به کار خود ادامه خواهند داد. به همین ترتیب رزرو منابع سبب میشود که در هنگام حملهی اختلال در سرویس، دیگر ماشینها از منابع کافی جهت پردازش بارهای کاری خود بهره ببرند. به صورت پیش فرض هایپروایزر ESXi رزرو منابع را با الگوریتمهای توزیع پذیری برای استفادهی مساوی ماشینهای مجازی، اجرا مینماید و با اعمال رزرو منابع توسط مدیر شبکه تخصیص منبع به شکل دلخواه انجام خواهد شد.
امنیت و لایه شبکه مجازی:
لایهی شبکه شامل کارت شبکههای مجازی و سوئیچهای مجازی است. هایپروایزر ESXi با تکیه بر لایهی شبکهی مجازی اتصال خود را با ماشینهای مجازی و کاربران خارجی میسر میسازد. به علاوه از این لایه جهت برقراری ارتباط با دستگاه های ذخیره سازی در انواع SAN، NAS و با استفاده از تکنولوژیهای iSCSI، Fiber Channel و غیره استفاده میشود.
شما به منظور امن سازی ماشینها میتوانید از روشهای مختلفی استفاده کنید که یکی از این روشها استفاده از فایروال است که در زیرساخت مجازی ویامور توسط ابزارهای مجازی حرفهای این کار صورت میپذیرد.
همچنین ESXi از IEEE 802.1Q پشتیبانی میکند و همان طور که ذکر شد به شما امکان محافظت از شبکهی ماشینهای مجازی و تنظیمات ارایه های ذخیره سازی را به طور پیشرفته فراهم کرده است. قابلیت تعریف VLAN تقریبا در تمامی قسمتهای لایه شبکه ESXi تعبیه و پشتیبانی شده است. استفاده از VLAN ها این امکان را به شما میدهد که بتوانید قسمتی از شبکهی مجازی خود را از دیگر قسمتها جدا کرده و با این کار ضریب امنیت و ساختار طراحی مشخصی را در زیرساخت مجازی پیاده سازی نماید.
جمع بندی:
با توجه به لزوم امن بودن زیرساخت اطلاعاتی و در دسترس بودن اطلاعات برای کاربران واقعی استفاده از تکنولوژیها و الگوریتمهای امنیتی حائز اهمیت است در اینجا به بررسی اجمالی برخی از ویژگیهای امنیتی که ESXi از آنها بهره جسته است پرداخته شد. در مقالات بعدی، امنیت در بستر مجازی ویامور را در ابعاد دیگر بررسی خواهم کرد.
با سلام و ارزوی موفقیت…
با سلام و ارزوی موفقیت روزافزون
درحال حاضر روی پایان نامه ام کار میکنم که مربوط به امنیت شبکه های مجازی سازی شده است و نیاز به کمک دارم.آدرس ایمیلتون رو پیدا نکردم.اگر ممکنه آدرس ایمیلتون رو بدید.ممنون
سلام خانم مهندس…
سلام خانم مهندس.
ممنون از مقالات جالب و پربارتون. میخواستم vcenter 5.1 رو دانلود کنم پیداش نکردم . یعنی همه لینکها یا خرابه یا باید عضو بود .میشه یه لینک مطمئن بهم معرفی کنید.
سلام ممنون از مطالبتون لطفاً…
سلام ممنون از مطالبتون لطفاً اگر میشه یک مطلب درباره "مدیریت حافظه در ESX Server و انواع روش های آن" بگذارید. با تشکر
سلام…
سلام
منظورم روش های مدیریت حافظه در VMware ESX Server هستش مثلاً روش هایی مثل:
1. VMware Ballooning
2. Demand Paging
3. Transparent Page Sharing یا TPS
4. Content-Based Page Sharing
5. Page Replacement Issues
6. Shared Memory
من جستجو کردم ولی چیزی پیدا نکردم!!!
اگه میشه لطفاً لینکش رو بذارید. ممنون
با سلام…
با سلام
لطفا مطلبی درباره تفاوت بین standard switch و distributed switchها بنویسید.
ممنون
با عرض سلام و خسته نباشید…
با عرض سلام و خسته نباشید
من داکیومنتی در ارتباط با vm esx , hyper v میخوام
مطالب بالا عالی بود
با سلام در مورد امنیت مجازی…
با سلام در مورد امنیت مجازی سازی با روش ACPS مطلبی دارید.