ورود کاربر

ورود

وارد اکانت خودتان بشوید

نام کاربری *
رمز عبور *


مقدمه

در قسمت اول این مقاله، نگاهی به برخی از مسائل اصلی در رابطه با امنیت hypervisor در ابر خصوصی مایكروسافت انداختیم و سه مورد از مواردی كه باید هنگام اعمال امنیت در ابر خصوصی بر مبنای Hyper-V مایكروسافت، در نظر گرفته شوند را به تفصیل توضیح دادیم. در این قسمت سایر موارد را به تفصیل شرح خواهیم داد.

 

برنامه های كاربردی و سرویس ها را بر روی سیستم عامل میزبان اجرا نكنید

هدف سیستم عامل میزبان، فراهم كردن محیطی برای میزبانی hypervisor می باشد كه در این مورد میزبانی Hyper-V است. شما نباید هیچگونه برنامه كاربردی یا سرویسی را كه در رابطه با پشتیبانی محیط مجازی سازی نمی باشد، بر روی سیستم عامل میزبان نصب نمایید. یكی از مزایای استفاده از نسخه هسته سرور نیز عدم نصب و اجرای اینگونه برنامه ها و سرویس ها است. به عنوان مثال، شما نمی توانید بر روی نسخه هسته سرور مرورگر وب را اجرا نمایید یا بسیاری از برنامه های كاربردی و سرویس هایی كه ممكن است بر روی سایر نسخه های سرور قابل نصب باشد، بر روی نسخه هسته نیز غیرقابل نصب می باشند.

امروزه بسیاری از سازمان ها سعی می كنند با كمترین امكانات، كارهای بیشتری را انجام دهند در نتیجه ممكن است سرویس ها و خدماتی مانند DNS، DHCP و یا خدمات گواهینامه را بر روی سیستم عامل میزبان Hyper-V نصب نمایند. اما شدیدا به شما توصیه می كنیم كه این كار را انجام ندهید! هر برنامه كاربردی یا سرویسی كه بر روی سیستم عامل میزبان نصب می كنید، باعث افزایش میزان حملات می شود و هم چنین با درخواست های بیشتری برای به روز رسانی سیستم عامل میزبان مواجه می شوید. اگر می خواهید سرویس های اضافی را اجرا نمایید، آن ها را بر روی یك ماشین مجازی كه توسط سیستم عامل میزبان، میزبانی می شود اجرا كنید.

یك NIC را برای مقاصد مدیریتی اختصاص دهید

سرور مجازی Hyper-V شما دارای چندین واسط شبكه فیزیكی می باشد. احتمالا شما می خواهید یك واسط شبكه را برای اتصال به شبكه تولید اختصاص دهید در حالی كه واسط دیگری ممكن است سرور را به اینترنت متصل كرده باشد و واسط دیگر ماشین را به یكDMZ متصل كند. ماشین های مجازی می توانند به این واسط های شبكه محدود شوند بدین گونه كه آن ها تنها می توانند به منابعی كه نیاز دارند متصل شوند. این واسط ها نباید توسط میزبان های شبكه قابل دسترسی باشند. آن ها باید تنها برای استفاده ماشین مجازی اختصاص داده شوند.

علاوه بر این واسط ها، شما باید یك واسط را برای مقاصد مدیریتی اختصاص دهید. شما می توانید برای كنترل كردن كسانی كه به این واسط متصل می شوند، از فایروال ویندوز با امنیت پیشرفته استفاده كنید. علاوه بر این شما می توانید هنگام اتصال به واسط مدیریتی با استفاده از رمزگذاری و احراز هویت IPsec، از رمزگذاری و احراز هویت در سطح شبكه استفاده نمایید. 

ناحیه های امنیتی را از هم جدا نگه دارید

در آرایه های Hyper-V، این امكان برای ماشین های مجازی وجود دارد كه به طور خودكار جا به جا شوند در نتیجه هیچ سرور واحدی در آرایه برای حافظه، پردازشگر یا شبكه سربار نخواهد داشت. به همین دلیل، شما در موقعیتی قرار می گیرید كه نمی دانید در یك زمان مشخص یك ماشین مجازی در كجا قرا گرفته است. در این سناریو، ماشین های مجازی كه متعلق به ناحیه های امنیتی مختلف می باشند می توانند بر روی یك سرور مجازی قرار بگیرند. امنیت ماشین های مجازی در این حالت كمتر از حد مطلوب می باشد زیرا در این حالت ماشین های مجازی كه در ناحیه با امنیت بالا قرار دارند می توانند به طور بالقوه تحت تاثیر ماشین های مجازی قرار بگیرند كه در ناحیه با امنیت پایین قرار دارند.

شما باید هنگام طراحی آرایه های Hyper-V درمورد حجم كاری كه بر روی ماشین های مجازی اجرا می شود، فكر كنید. اگر ماشین های مجازی دارید كه سرویس های دسترسی از راه دور مانند فایروال TMG، یا سرور UAG SSL VPN را ارئه می دهندباید اطمینان حاصل كنید كه یك آرایه را به طور جداگانه به این ماشین های مجازی و دستگاه های مرتبط با اینترنت اختصاص داده اید و ناحیه آن ها از ناحیه ماشین های مجازی كه به اینترنت متصل نیستند مانند سرور SQL یا سرور sharepoint جدا می باشند.  

اطمینان حاصل كنید كه سرویس های یكپارچه سازی Hyper-V نصب شده باشند

سرویس های یكپارچه سازی Hyper-V كارهای زیادی را انجام می دهند و یكی از مهم ترین وظایف این سرویس آن است كه زمان را بر روی ماشین های مجازی با زمان سیستم عامل میزبان هماهنگ نماید. این سرویس به شما این امكان را می دهد كه ماشین های مجازی را جا به جا كنید حتی در ناحیه هایی كه زمان متفاوتی دارند. در این حالت زمان ماشین های مجازی به طور خودكار با زمان سیستم عامل میزبان هماهنگ می شود.

تصاویر ماشین های مجازی را به روز رسانی كنید

در یك محیط ابر غیر خصوصی، شما سیستم عامل را نصب می كنید و بلافاصله به روز رسانی ویندوز را اجرا می كنید. شما این فرآیند را از ابتدا تا انتها كنترل می كنید بنابراین می دانید كه این مرحله حیاتی باید اجرا شود. اما در یك محیط مجازی این امكان وجود دارد كه كاربرانی كه آگاهی كمی از مسائل امنیتی دارند، ماشین های مجازی را ایجاد نمایند ولی به درستی آن ها را به روز رسانی نكنند.

شما می توانید این مشكل را با استفاده از ابزارهای به روز رسانی آفلاین برای نصب به روز رسانی ها بر روی قالب های ماشین مجازی برطرف نمایید. هنگامی كه قالب های ماشین مجازی به صورت آفلاین به روز رسانی می شوند، ماشین های مجازی كه بر اساس این قالب ها ایجاد می شوند همیشه به روز خواهند بود. شما می توانید برای انجام این كار از ابزار VMST استفاده نمایید.

برای مدیریت از نماینده های مناسب استفاده كنید

در نهایت، مطمئن شوید كه به درستی وظایف مدیریتی را محول كرده اید. اطمینان حاصل كنید كه مدیران زیر ساخت های حیاتی یا ابر خصوصی اجازه دسترسی به سیستم عامل ماشین مجازی را ندارند و مدیران سیستم عامل هایی كه بر روی ماشین های مجازی اجرا می شوند اجازه دسترسی به زیرساخت مجازی یا ابر خصوصی را ندارند. در واقع شما باید با استفاده از كنسول Role Based Access Control، كنترل های بیشتری را بر روی زیرساخت مجازی و ابر خصوصی اعمال نمایید. شما می توانید این كار را از طریق كاربر عضو گروهAuthorization Manager در ویندوز سرور 2008 و ویندوز سرور 2008 R2 انجام دهید.

خلاصه

در این مقاله، سایر مواردی كه باید هنگام اعمال امنیت در ابر خصوصی بر مبنای Hyper-V مایكروسافت، در نظر گرفته شوند را به تفصیل توضیح دادیم. با دانستن ملاحظات امنیتی و افزایش امنیت ابر خصوصی، می توانید به طور موثرتری از ابر خصوصی استفاده نمایید.  

منبع : مرکز ماهر

اضافه کردن نظر


کد امنیتی
تازه سازی

مرکز تخصصی دیتاسنتر و شبکه ایران

این صفحه را در گوگل محبوب کنید

درباره انجمن دیتاسنتر ایران

انحمن دیتاسنتر ایران یک مرجع تخصصی برای بحث و تبادل نظر کارشناسان متخصص در زمینه طراحی مراکز داده و شبکه و قواعد امنیتی می باشد.

راه های ارتباط با انجمن

آدرس ایمیل انجمن : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید


آدرس سایت : www.datacenterdesign.ir