راه های ارتقای امنیت VMware vSphere – بخش دوم
در بخش اول مقاله ارتقای امنیت VMware vSphere راههای افزایش امنیت vSphere ESXi بررسی شد. در این بخش مکانیزیمهای ایمنسازی vCenter Server را با توجه به امکانات آخرین نسخه فعلی یعنی 6.5 به شما معرفی میکنم.
راهکار vCenter Server مرکزیت هدایت طیف متنوعی از راهکارهای مجازیسازی مجموعه vSphere را برعهده دارد. همین جایگاه سبب شده است امنیت این راهکار یکی از چالشهای اصلی سازمان باشد و در سالهای اخیر معماری این نرمافزار در جهت تامین بهینه امکانات دستخوش تغییرات زیادی قرار گیرد. vCenter Server مرکز مدیریت، کنترل، نظارت و نگهداری جامعی است که نه تنها محیط پردازش vSphere را هدایت میکند بلکه سایر محصولات مجازیسازی در سطح کنترل شبکه و ذخیرهسازی، و یا در سطح دسکتاپ و vCloud را برعهده دارد، از این رو هرگونه دسترسی غیرمجاز به این راهکار میتواند برای کل زیرساخت خطرآفرین باشد.
از جمله اقداماتی که در سالهای اخیر جهت ایمنسازی هرچه بیشتر این راهکار صورت گرفته است معرفی vCSA یا ابزار لینوکس محور vCenter است. این ابزار مجازی، عینا همان vCenter Server قابل نصب در ویندوز را به همراه امکانات بیشتری مانند vSphere Update Manager و vCenter Server High Availability ارائه میدهد. همچنین محیط لینوکس آن سفارشی سازی شده است تا با کمترین میزان منابع مورد نیاز و سرویسهای ضروری در فضای دیتاسنتر فعال باشد. در مقایسه با نسخه ویندوز میزان بهروزرسانیهای مورد نیاز این ابزار کاهش یافته که خود سبب شده است تا مخاطرات امنیتی راهکار به میزان قابل توجهی کاهش یابد.
در اینجا طبق نسخه 6.5 اقداماتی را معرفی میکنم که با رعایت آنها میتوانید امنیت vCenter Server را در زیرساختان ارتقا دهید و با خیالی راحت گزارش SLA ماهانه را به مدیرتان ارسال کنید.
- یکی از اولین اقدامات، طراحی شبکهای مختص فعالیتهای vCenter Server است. بایستی بخشهای مختلف مانند مدیریت، vMotion، FT، vSAN و سایر شبکههای حساس را پیش از راهاندازی و فعال شدن سرویسها بهگونهای طراحی کنید که نفوذ در یک شبکه به سایر قسمتها آسیب نرساند. علاوه بر این، جریان داده را در شبکه رمزنگاری کنید تا دادههای ارسالی به سایتهای دیگر غیرقابل بازیابی باشند.
- اگر از راهکارهای جانبی برای نظارت، کنترل یا پشتیبانی از زیرساخت مجازی استفاده میکنید، ضرورت دارد تا یک حساب کاربری ویژه برای هر سرویس تعریف کنید و به میزان نیاز آن دسترسی را در سطح vCenter تعریف کنید.
- در صورت امکان کلاستر مجازی و فیزیکی مدیریت زیرساخت را از کلاستر بارهای کاری جداسازی کنید تا در زمان گسترش حمله از یکی از ماشینهای مجازی به زیرساخت مدیریت جلوگیری شود.
- پورتهای شبکه سوییچ مجازی که در شبکه مدیریت قراردارند را محدود کنید و تنها قابلیتهای ضروری را بر روی آن فعال کنید. همچنین پهنای باند مورد نیاز و میزان منابع ذخیرهسازی و حافظه را به صورت اختصاصی تخصیص دهید تا vCenter از طیف وسیعی از حملات به دور باشد.
- دسترسی SSH و Shell را محدود کنید و تنها در زمان رفع عیب از آن استفاده کنید.
- هیچ گونه سرویس جانبی مانند TFTP یا سایر سرویسهای لینوکس را در vCSA فعال نکنید.
- دسترسی به منابع Content Library را با تعریف گروههای کاربری کنترل کنید.
- تا حد امکان هیچ گونه دسترسی برای افرادی که مستقیما با سرویس ماشین مجازی در ارتباط هستند تعریف نکنید. به جای آن از Remote Access یا نرم افزارهای مشابه آن استفاده کنید.
- به طور دورههای وضعیت ثبت رخدادها و فعالیتهای vCenter Server را کنترل کنید تا تغییرات غیرعادی را سریعتر شناسایی کنید.
- درگاههای اضافی را با استفاده از فایروال vCenter Server مسدود کنید.
- تا حد امکان از نصب یا آزمایش پلاگینهای غیرضروری بر روی vCenter Server در محیط عملیاتی خودداری کنید. هر کد اضافه یک مخاطره محسوب میشود. تعریف حساب کاربری، تخصیص دسترسی، به خطر انداختن پایداری رابط کاربری و بروز خطا در کد در زمان بهروزرسانی vCenter Server از جمله این موارد هستند.
- یک برنامه زمان بندی برای تهیه نسخه پشتیبان از vCSA تعریف کنید تا در زمان مناسب بتوانید به آخرین وضعیت مطلوب بازیابی کنید.
- مرکز مدیریت vCenter Server را با استقرار Platform Service Controller در خارج از معماری Embedded (PSC خارجی) استقرار دهید تا هرگونه حمله احتمالی به یکی از vCenter ها دسترسی به زیرساخت و سرویسها را مختل نکند.
- از آنجایی که سرویسهای vCenter Server و PSC مانند VMware Certificate Authority به تغییرات زمانی حساس هستند، از یک سرور داخلی برای تنظیمات NTP استفاده کنید و از صحت عملکرد آن اطمینان یابید.
در بخش سوم سری مطالب ارتقای امنیت vSphere به معرفی روش های امنسازی محیط ماشینهای مجازی و سرویسهای آن میپردازم.