راه های ارتقای امنیت VMware vSphere – بخش اول
امنیت یکی از اصلیترین عوامل در زمان انتخاب هر راهکار مجازیسازی محسوب میشود و زمانی که در فضای یک مرکزداده هستیم این مسئله اهمیتی صد چندان دارد. ضعف امنیتی در این زیرساخت حداقل بهخارج شدن هزاران سرویس از دسترس و فاش شدن اطلاعات مشتریان منتهی میشود که همین مسئله میتواند ضربه سنگینی را به اعتبار شما یا سازمان وارد کند. در این سری از مقالات قصد دارم مکانیزمهای ارتقای امنیت این زیرساخت را تشریح کنم. در بخش اول شما را با روشهای ارتقای امنیت vSphere ESXi آشنا میکنم.
خوشبختانه راهکار VMware vSphere یکی از ایمنترین راهکارهای مجازیسازی محسوب میشود و در سطوح مختلف آن از سطح پردازش تا شبکه و ذخیرهسازی بهطور پیشفرض امنیت فوق العاده بالایی را عرضه میکند. دلیل آن هم طراحی و معماری بینظیر آن و بکارگیری حداقل کد در زمان اجرا است. این سطح از امنیت تا پیش از حذف سرویس کنسول در ESXi محقق نشده بود و تا پیش از حذف آن مخاطرات امنیتی نگران کننده لینوکس امنیت این راهکار را به چالش کشیده بود. اما با تغییر در معماری vSphere از نسخه 4.1 به بعد به ادعای کارشناسان امنیتی 90% مخاطرات امنیتی که تماما به سیستم عامل لینوکس باز میگشت از این سیستم عامل حذف شده است.
بگذارید چند مورد از تدابیر امنیتی پیشفرض این راهکار را مرور کنیم:
- تعبیه گواهینامه امنیتی برای اجزای سرویس به صورت پیشفرض؛
- ایمنسازی ارتباط اجزای vSphere با پروتکلهای امنیتی روز
- وجود فایروال و بستن درگاههای غیرضروری
- وجود حداقل سرویس مورد نیاز برای اجرای بارهایکاری
- مسدود بودن Shell و SSH به صورت پیشفرض
- امکان استفاده از شبکههای اختصاصی براساس بارکاری (تفکیک بار)
- کنترل میزان استفاده از IO در سطح شبکه و فضای ذخیرهسازی
مهندسان VMware تدابیر ویژهای جهت اجرای سرویسهای حیاتی با ضریب امنیت بالا در مرکزداده اتخاذ کردهاند و با مرور تنظیمات vSphere ESXi چه در بخش تنظیمات شبکه و چه در بخش تنظیمات ذخیرهسازی میتوانید این گزینههای از پیش تعریف شده را ببنید. علاوه بر اینها، تنظیمات امنیتی در محیط شما بایستی با توجه به شرایط سازمان سفارشیسازی شود و به این گونه شما بایستی امنیت سیستم را ارتقا دهید. در اینجا به برخی از مواردی که میتوانید بهراحتی تنظیم و سطح امنیت را افزایش دهید اشاره میکنم:
- اتخاذ سیاستی ویژه جهت هویت سنجی کاربران: توصیه میشود با استفاده از سرویس Active Directory هویت کاربران و گروههای کاربری را کنترل کنید و سیاستهای خاصی با توجه به الزامات هر گروه تعریف کنید. استفاده از کلمه عبور پیچیده، زمان غیرفعال شدن ارتباط و تخصیص دسترسی به گروههای کاربری بر روی فولدرهای vCenter از جمله این موارد هستند.
- استفاده از Resource Pool ها، یکی از مواردی است که بسیاری از کارشناسان مجازی سازی از تنظیم آن صرف نظر میکنند در صورتی که این عدم پیکربندی یک ضعف امنیتی محسوب میشود. منابع موجود در کلاستر بایستی به گونه ای مدیریت، کنترل و نگهداری شوند تا بارهای کاری حیاتی با اولویت بالا و بارهای کاری عادی با درجه اولویت پایین در کنار یکدیگر فعالیت کنند. عدم تنظیم منابع و تخصیص احتیاجات سرویس ها سبب می شود تا منابع ESXi آنگونه که باید تخصیص نیابد یا در وضعیتی بدتر یکی از سرویس ها با استفاده از اکثر منابع فعالیت سایر سرویس ها را مختل کند. باتوجه به سطح امنیت هر سرویس سطح منابع آن را تضمین کنید.
- عدم استفاده از کاربر ROOT، برای این حساب یک کلمه عبور دشوار تنظیم کنید و اجازه استفاده از آن تنها در موارد خاص را بدهید. سو استفاده افراد سودجو از این حساب تمامی زیرساخت را ناپایدار خواهد کرد.
- وضعیت Strict Lockdown mode را فعال سازید تا دسترسی مستقیم به ESXi غیرفعال شود و افراد مجاز بتوانند دسترسی یابند.
- پورتهای شبکه مدیریت زیرساخت را محدود کنید و با جداسازی شبکه این بخش، اتصال سرویسهای ضروری را کنترل کنید.
- جهت کنترل و نحوه استفاده از سرویسها از مکانیزیمهای مانیتورینگ و ثبت رخداد مانند vRealize Log Insight یا vRealize Operation Manager استفاده کنید تا از وضعیت منابع و وضعیت استفاده از سرویسها آگاه شوید و بر روی تغییرات زیرساخت مدیریت داشته باشید.
- Host Profile را فعال کنید. یکی از قابلیتهای بسیار مفید در vSphere ESXi است که بسیاری از افراد از آن صرف نظر میکنند در حالی که بکارگیری آن بسیار ساده و مفید است. یک پروفایل استاندارد از تنظیمات سرور ایجاد کنید و از آن برای راهاندازی سرور جدید یا اعمال دوبار تنظیمات استاندارد استفاده کنید. به این ترتیب، به آسانی سیاستهای امنیتی سرور را اعمال خواهید کرد و از تطبیق تنظیمات جدید با سیاستهای استاندارد سازمان مطلع میشوید.
- منابع ذخیرهسازی که از پروتکلهای iSCSI، NFS و یا FC استفاده میکنند رمزنگاری کنید و یا تدبیری بی اندیشید تا دسترسی به دادههای حساس به سرویسهای غیرضروری ممکن نشود. این کار با استفاده از Kerberos در NFS4.1 و یا استفاده از CHAP در پروتکل iSCSI به آسانی قابل پیادهسازی است.
- دسترسی سرویسهای جانبی را تنها با ساخت حساب کاربری خاص آن سرویس و تخصیص دسترسی مجاز در محدوده مورد نیاز فراهم کنید و از استفاده از حساب کاربری ادمین شبکه برای سرویسهای حیاتی سازمان جلوگیری کنید. این کار تضمین میکند که سواستفادهای از حساب کاربری انجام نخواهد شد و دسترسی به میزان کافی و معقول تخصیص یابد.
- در صورتی که از نسخه 6.5 استفاده میکنید تنظیمات Secure Boot را در بایوس سرور تنظیم کرده و با این کار امنیت کدهای بار گذاری شده در حافظه سیستم را تضمین کنید.
- از شبکههای مجزا برای فعالیت سرویسها استفاده کنید و میزان منابع مورد نیاز سرویس را با مکانیزمهای کنترل IO مدیریت کنید. به اینگونه ماشینهای همسایه نمیتوانند بیش از حد مجاز منابع را از دیگر ماشینها قرض بگیرند و در روند سرویسدهی اختلال ایجاد کنند.
- از به روز بودن نسخه vSphere ابایی نداشته باشید. بستههای بهروزرسانی vSphere برخلاف رقبای لینوکسی و ویندوز از جمله پایدارترین بستههای به روزرسانی محسوب میشوند و استفاده از آخرین پچهای امنیتی عملکرد پایدار و پویای زیرساخت را تضمین میکند.
- تنظیمات امنیتی را به صورت دورهای پایش کنید تا از صحت عملکرد آنها باخبر شوید. کیفیت امنیت زیرساخت بایستی در بازههای زمانی مشخص تست و ارتقا یابد تا اطمینان حاصل شود که بستر امنی برای فعالیت سرویسها مهیا شده است. همچنین با این کار از تغییرات ضروری در سیاستهای امنیتی آگاه خواهید شد.
در بخش دوم به تنظیمات امنیتی در سطح vCenter Server خواهم پرداخت تا زوایای امنیتی و موارد ایمنسازی این راهکار بیش از پیش آشکار شود.