رفتن به محتوای اصلی
ارتقای امنیت دیتاسنتر مجازی

راه های ارتقای امنیت VMware vSphere – بخش دوم

در بخش اول مقاله ارتقای امنیت VMware vSphere راه‌های افزایش امنیت vSphere ESXi بررسی شد. در این بخش مکانیزیم‌های ایمن‌سازی vCenter Server را با توجه به امکانات آخرین نسخه فعلی یعنی ۶.۵ به شما معرفی می‌کنم. 

راهکار vCenter Server مرکزیت هدایت طیف متنوعی از راهکارهای مجازی‌سازی مجموعه vSphere را برعهده دارد. همین جایگاه سبب شده است امنیت این راهکار یکی از چالش‌های اصلی سازمان باشد و در سال‌های اخیر معماری این نرم‌افزار در جهت تامین بهینه امکانات دستخوش تغییرات زیادی قرار گیرد. vCenter Server مرکز مدیریت، کنترل، نظارت و نگهداری جامعی است که نه تنها محیط پردازش vSphere را هدایت می‌کند بلکه سایر محصولات مجازی‌سازی در سطح کنترل شبکه و ذخیره‌سازی، و یا در سطح دسکتاپ و vCloud را برعهده دارد، از این رو هرگونه دسترسی غیرمجاز به این راهکار می‌تواند برای کل زیرساخت خطرآفرین باشد.

از جمله اقداماتی که در سال‌های اخیر جهت ایمن‌سازی هرچه بیشتر این راهکار صورت گرفته است معرفی vCSA یا ابزار لینوکس محور vCenter است. این ابزار مجازی، عینا همان vCenter Server قابل نصب در ویندوز را به همراه امکانات بیشتری مانند vSphere Update Manager و vCenter Server High Availability ارائه می‌دهد. همچنین محیط لینوکس آن سفارشی سازی شده است تا با کمترین میزان منابع مورد نیاز و سرویس‌های ضروری در فضای دیتاسنتر فعال باشد. در مقایسه با نسخه ویندوز میزان به‌روزرسانی‌های مورد نیاز این ابزار کاهش یافته که خود سبب شده است تا مخاطرات امنیتی راهکار به میزان قابل توجهی کاهش یابد.

در اینجا طبق نسخه ۶.۵ اقداماتی را معرفی می‌کنم که با رعایت آنها می‌توانید امنیت vCenter Server را در زیرساختان ارتقا دهید و با خیالی راحت گزارش SLA ماهانه را به مدیرتان ارسال کنید.

  1. یکی از اولین اقدامات، طراحی شبکه‌ای مختص فعالیت‌های vCenter Server است. بایستی بخش‌های مختلف مانند مدیریت، vMotion، FT، vSAN و سایر شبکه‌های حساس را پیش از راه‌اندازی و فعال شدن سرویس‌ها به‌گونه‌ای طراحی کنید که نفوذ در یک شبکه به سایر قسمت‌ها آسیب نرساند. علاوه بر این، جریان داده را در شبکه رمزنگاری کنید تا داده‌های ارسالی به سایت‌های دیگر غیرقابل بازیابی باشند.
  2. اگر از راهکارهای جانبی برای نظارت، کنترل یا پشتیبانی از زیرساخت مجازی استفاده می‌کنید، ضرورت دارد تا یک حساب کاربری ویژه برای هر سرویس تعریف کنید و به میزان نیاز آن دسترسی را در سطح vCenter تعریف کنید.
  3. در صورت امکان کلاستر مجازی و فیزیکی مدیریت زیرساخت را از کلاستر بارهای کاری جداسازی کنید تا در زمان گسترش حمله از یکی از ماشین‌های مجازی به زیرساخت مدیریت جلوگیری شود.
  4. پورت‌های شبکه سوییچ مجازی که در شبکه مدیریت قراردارند را محدود کنید و تنها قابلیت‌های ضروری را بر روی آن فعال کنید. همچنین پهنای باند مورد نیاز و میزان منابع ذخیره‌سازی و حافظه را به صورت اختصاصی تخصیص دهید تا vCenter از طیف وسیعی از حملات به دور باشد.
  5. دسترسی SSH و Shell را محدود کنید و تنها در زمان رفع عیب از آن استفاده کنید.
  6. هیچ گونه سرویس جانبی مانند TFTP یا سایر سرویس‌های لینوکس را در vCSA فعال نکنید.
  7. دسترسی به منابع Content Library را با تعریف گروه‌های کاربری کنترل کنید.
  8. تا حد امکان هیچ گونه دسترسی برای افرادی که مستقیما با سرویس ماشین مجازی در ارتباط هستند تعریف نکنید. به جای آن از Remote Access یا نرم افزارهای مشابه آن استفاده کنید.
  9. به طور دوره‌های وضعیت ثبت رخدادها و فعالیت‌های vCenter Server را کنترل کنید تا تغییرات غیرعادی را سریع‌تر شناسایی کنید.
  10. درگاه‌های اضافی را با استفاده از فایروال vCenter Server مسدود کنید.
  11. تا حد امکان از نصب یا آزمایش پلاگین‌های غیرضروری بر روی vCenter Server در محیط عملیاتی خودداری کنید. هر کد اضافه یک مخاطره محسوب می‌شود. تعریف حساب کاربری، تخصیص دسترسی، به خطر انداختن پایداری رابط کاربری و بروز خطا در کد در زمان به‌روزرسانی vCenter Server از جمله این موارد هستند.
  12. یک برنامه زمان بندی برای تهیه نسخه پشتیبان از vCSA تعریف کنید تا در زمان مناسب بتوانید به آخرین وضعیت مطلوب بازیابی کنید.
  13. مرکز مدیریت vCenter Server را با استقرار Platform Service Controller در خارج از معماری Embedded (PSC خارجی) استقرار دهید تا هرگونه حمله احتمالی به یکی از vCenter ها دسترسی به زیرساخت و سرویس‌ها را مختل نکند. 
  14. از آنجایی که سرویس‌های vCenter Server و PSC مانند VMware Certificate Authority به تغییرات زمانی حساس هستند، از یک سرور داخلی برای تنظیمات NTP استفاده کنید و از صحت عملکرد آن اطمینان یابید.  

در بخش سوم سری مطالب ارتقای امنیت vSphere به معرفی روش های امن‌سازی محیط ماشین‌های مجازی و سرویس‌های آن می‌پردازم.

افزودن دیدگاه جدید

Plain text

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.
The subscriber's email address.‎