رفتن به محتوای اصلی
امن سازی vSphere ESXi

راه های ارتقای امنیت VMware vSphere – بخش اول

امنیت یکی از اصلی‌ترین عوامل در زمان انتخاب هر راهکار مجازی‌سازی محسوب می‌شود و زمانی که در فضای یک مرکزداده هستیم این مسئله اهمیتی صد چندان دارد. ضعف امنیتی در این زیرساخت حداقل به‌خارج شدن هزاران سرویس از دسترس و فاش شدن اطلاعات مشتریان منتهی می‌شود که همین مسئله می‌تواند ضربه سنگینی را به اعتبار شما یا سازمان وارد کند. در این سری از مقالات قصد دارم مکانیزم‌های ارتقای امنیت این زیرساخت را تشریح کنم. در بخش اول شما را با روش‌های ارتقای امنیت vSphere ESXi آشنا می‌کنم.

خوشبختانه راهکار VMware vSphere یکی از ایمن‌ترین راهکارهای مجازی‌سازی محسوب می‌شود و در سطوح مختلف آن از سطح پردازش تا شبکه و ذخیره‌سازی به‌طور پیش‌فرض امنیت فوق العاده بالایی را عرضه می‌کند. دلیل آن هم طراحی و معماری بی‌نظیر آن و بکارگیری حداقل کد در زمان اجرا است. این سطح از امنیت تا پیش از حذف سرویس کنسول در ESXi محقق نشده بود و تا پیش از حذف آن مخاطرات امنیتی نگران کننده لینوکس امنیت این راهکار را به چالش کشیده بود. اما با تغییر در معماری vSphere از نسخه 4.1 به بعد به ادعای کارشناسان امنیتی 90% مخاطرات امنیتی که تماما به سیستم عامل لینوکس باز می‌گشت از این سیستم عامل حذف شده است.

بگذارید چند مورد از تدابیر امنیتی پیش‌فرض این راهکار را مرور کنیم:

  • تعبیه گواهینامه امنیتی برای اجزای سرویس به صورت پیش‌فرض؛
  • ایمن‌سازی ارتباط اجزای vSphere با پروتکل‌های امنیتی روز
  • وجود فایروال و بستن درگاه‌های غیرضروری
  • وجود حداقل سرویس مورد نیاز برای اجرای بارهای‌کاری
  • مسدود بودن Shell و SSH به صورت پیش‌فرض
  • امکان استفاده از شبکه‌های اختصاصی براساس بارکاری (تفکیک بار)
  • کنترل میزان استفاده از IO در سطح شبکه و فضای ذخیره‌سازی

مهندسان VMware تدابیر ویژه‌ای جهت اجرای سرویس‌های حیاتی با ضریب امنیت بالا در مرکزداده اتخاذ کرده‌اند و با مرور تنظیمات vSphere ESXi چه در بخش تنظیمات شبکه و چه در بخش تنظیمات ذخیره‌سازی می‌توانید این گزینه‌های از پیش تعریف شده را ببنید. علاوه بر این‌ها، تنظیمات امنیتی در محیط شما بایستی با توجه به شرایط سازمان سفارشی‌سازی شود و به این گونه شما بایستی امنیت سیستم را ارتقا دهید. در اینجا به برخی از مواردی که می‌توانید به‌راحتی تنظیم و سطح امنیت را افزایش دهید اشاره می‌کنم:

  1. اتخاذ سیاستی ویژه جهت هویت سنجی کاربران: توصیه می‌شود با استفاده از سرویس Active Directory هویت کاربران و گروه‌های کاربری را کنترل کنید و سیاست‌های خاصی با توجه به الزامات هر گروه تعریف کنید. استفاده از کلمه عبور پیچیده، زمان غیرفعال شدن ارتباط و تخصیص دسترسی به گروه‌های کاربری بر روی فولدرهای vCenter از جمله این موارد هستند.
  2. استفاده از Resource Pool ها، یکی از مواردی است که بسیاری از کارشناسان مجازی سازی از تنظیم آن صرف نظر می‌کنند در صورتی که این عدم پیکربندی یک ضعف امنیتی محسوب می‌شود. منابع موجود در کلاستر بایستی به گونه ای مدیریت، کنترل و نگهداری شوند تا بارهای کاری حیاتی با اولویت بالا و بارهای کاری عادی با درجه اولویت پایین در کنار یکدیگر فعالیت کنند. عدم تنظیم منابع و  تخصیص احتیاجات سرویس ها سبب می شود تا منابع ESXi آنگونه که باید تخصیص نیابد یا در وضعیتی بدتر یکی از سرویس ها با استفاده از اکثر منابع فعالیت سایر سرویس ها را مختل کند. باتوجه به سطح امنیت هر سرویس سطح منابع آن را تضمین کنید.
  3. عدم استفاده از کاربر ROOT، برای این حساب یک کلمه عبور دشوار تنظیم کنید و اجازه استفاده از آن تنها در موارد خاص را بدهید. سو استفاده افراد سودجو از این حساب تمامی زیرساخت را ناپایدار خواهد کرد.
  4. وضعیت Strict Lockdown mode را فعال سازید تا دسترسی مستقیم به ESXi غیرفعال شود و افراد مجاز بتوانند دسترسی یابند.
  5. پورت‌های شبکه مدیریت زیرساخت را محدود کنید و با جداسازی شبکه این بخش، اتصال سرویس‌های ضروری را کنترل کنید.
  6. جهت کنترل و نحوه استفاده از سرویس‌ها از مکانیزیم‌های مانیتورینگ و ثبت رخداد مانند vRealize Log Insight یا vRealize Operation Manager استفاده کنید تا از وضعیت منابع و وضعیت استفاده از سرویس‌ها آگاه شوید و بر روی تغییرات زیرساخت مدیریت داشته باشید.
  7. Host Profile را فعال کنید. یکی از قابلیت‌های بسیار مفید در vSphere ESXi است که بسیاری از افراد از آن صرف نظر می‌کنند در حالی که بکارگیری آن بسیار ساده و مفید است. یک پروفایل استاندارد از تنظیمات سرور ایجاد کنید و از آن برای راه‌اندازی سرور جدید یا اعمال دوبار تنظیمات استاندارد استفاده کنید. به این ترتیب، به آسانی سیاست‌های امنیتی سرور را اعمال خواهید کرد و از تطبیق تنظیمات جدید با سیاست‌های استاندارد سازمان مطلع می‌شوید.
  8. منابع ذخیره‌سازی که از پروتکل‌های iSCSI، NFS و یا FC استفاده می‌کنند رمزنگاری کنید و یا تدبیری بی اندیشید تا دسترسی به داده‌های حساس به سرویس‌های غیرضروری ممکن نشود. این کار با استفاده از Kerberos در NFS4.1 و یا استفاده از CHAP در پروتکل iSCSI به آسانی قابل پیاده‌سازی است.
  9. دسترسی سرویس‌های جانبی را تنها با ساخت حساب کاربری خاص آن سرویس و تخصیص دسترسی مجاز در محدوده مورد نیاز فراهم کنید و از استفاده از حساب کاربری ادمین شبکه برای سرویس‌های حیاتی سازمان جلوگیری کنید. این کار تضمین می‌کند که سواستفاده‌ای از حساب کاربری انجام نخواهد شد و دسترسی به میزان کافی و معقول تخصیص یابد.
  10. در صورتی که از نسخه 6.5 استفاده می‌کنید تنظیمات Secure Boot را در بایوس سرور تنظیم کرده و با این کار امنیت کدهای بار گذاری شده در حافظه سیستم را تضمین کنید.
  11. از شبکه‌های مجزا برای فعالیت سرویس‌ها استفاده کنید و میزان منابع مورد نیاز سرویس را با مکانیزم‌های کنترل IO مدیریت کنید. به اینگونه ماشین‌های همسایه نمی‌توانند بیش از حد مجاز منابع را از دیگر ماشین‌ها قرض بگیرند و در روند سرویس‌دهی اختلال ایجاد کنند.
  12. از به روز بودن نسخه vSphere ابایی نداشته باشید. بسته‌های به‌روزرسانی vSphere برخلاف رقبای لینوکسی و ویندوز از جمله پایدارترین بسته‌های به روزرسانی محسوب می‌شوند و استفاده از آخرین پچ‌های امنیتی عملکرد پایدار و پویای زیرساخت را تضمین می‌کند.
  13. تنظیمات امنیتی را به صورت دوره‌ای پایش کنید تا از صحت عملکرد آنها باخبر شوید. کیفیت امنیت زیرساخت بایستی در بازه‌های زمانی مشخص تست و ارتقا یابد تا اطمینان حاصل شود که بستر امنی برای فعالیت سرویس‌ها مهیا شده است. همچنین با این کار از تغییرات ضروری در سیاست‌های امنیتی آگاه خواهید شد.

در بخش دوم به تنظیمات امنیتی در سطح vCenter Server خواهم پرداخت تا زوایای امنیتی و موارد ایمن‌سازی این راهکار بیش از پیش آشکار شود.

افزودن دیدگاه جدید

محتوای این فیلد خصوصی است و به صورت عمومی نشان داده نخواهد شد.

کد HTML محدود

  • تگ‌های HTML مجاز: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی‌های وب و پست الکترونیکی به صورت خودکار به پیوند‌ها تبدیل می‌شوند.