بهینه سازی محیط vSphere بخش امنیت

امنیت همیشه به عنوان یک بحث چالش برانگیز در تمام مباحث فناوری اطلاعات بوده است. در محیط مجازی vSphere نیز این بحث چالش های خاص خود را دارد که با پیروی از استانداردهای ارائه شده می توان این چالش ها را پاسخ داد.

اولین بخشی که برای بررسی مباحث امنیتی باید مدنظر قرار دهیم خود محیط vSphere می باشد. این محیط شامل هاست های فیزیکی و ماشین های مجازی می شود. در این خصوص موارد مختلفی توسط شرکت VMWare ارائه شده است که با مراجعه به بخش VMware Security Hardening Guides وب سایت VMWare می توانید یک فایل راهنما جهت بررسی این موارد دانلود نمایید. برخی از موارد اشاره شده در این فایل در سطح هاست ESXi به شرح زیر است:

  • فعالسازی Lockdown در حالت Normal
  • تنظیم بخش Syslog هاست ESXi
  • استفاده از نام منحصر بفرد مطابق با نام هاست خود جهت جمع آوری رخدادها

و در سطح ماشین مجازی برخی موارد بهینه در بحث امنیت به شرح زیر است:

  • عدم اتصال هر نوع مدیا به ماشین مجازی به صورت دائم
  • غیرفعال کردن بروزرسانی هوشمند VMTools توسط سرویس
  • غیرفعال کردن امکان انتقال فایل به داخل ماشین مجازی توسط هاست ESXi
  • ایجاد یک قالب از ماشین مجازی که تمام الزامات امنیتی روی آن اعمال شده است

در خصوص شبکه های مجازی نیز موارد متعددی ارائه شده است. این موارد درون فایل ارائه شده توسط سایت VMWare وجود دارد. برخی از آنها به شرح زیر است:

  • جلوگیری از امکان تغییر MAC Address شبکه مجازی در سطح سوئیچ های مجازی
  • مدیریت بخش Firewall هاست ESXi جهت تنظیمات ترافیک های شبکه

نکته: جهت کسب اطلاعات بیشتر در این خصوص می توانید مقاله vSphere Security شرکت VMWare را دانلود و مطالعه نمایید.

در بخش Certificate ها به صورت صریح نمی توان گفت که روش های بهینه ارائه شده است. وجود گواهینامه های دیجیتالی جهت تضمین ارتباط های امن جز الزامات امنیتی هر مجموعه ای می باشند اما فعالسازی و یا اعمال تغییرات در این سطح ممکن است منجر به از کار افتادن سرویس های وابسته به محیط مجازی vSphere شما شوند. جهت کسب اطلاعات بیشتر در زمینه گواهینامه های دیجیتالی می توانید مقاله vSphere Security Certificates را به دقت مطالعه نمایید.

به صورت کلی می توان گفت روش بهینه در زمینه گواهینامه های دیجیتال این است که اگر نیازی به تغییرات خاص و یا ایجاد گواهینامه های شخص ثالث ندارید، از تغییرات در این بخش خودداری نمایید.

یکی از بخش های مهم در زمینه رعایت الزامات امنیتی، بخش مربوط به احراز هویت کاربران می باشد. در محیط مجازی vSphere زمانیکه شما سرویس vCenter را راه اندازی میکنید، می بایست اقدام به ایجاد یک SSO داخلی برای این سرویس نمایید. این سرویس در بخش PSC یا همان Platform Services Controller قرار دارد. در صورتیکه شما از سرویس های احراز هویت تحت اکتیو دایرکتوری بهره نمی برید، می توانید با ایجاد حساب های کاربری در این سرویس و اعمال قوانین امنیتی برای آنها، از امنیت نسبتا بالایی در این سطح برخوردار شوید. قوانین مربوط به حساب های کاربری ایجاد شده در دو سطح قوانین مربوط به رمزعبور و قوانین مربوط به غیرفعال کردن حساب ها خلاصه می شوند. جهت دسترسی به این بخش می بایست به قسمت Configuration سرویس SSO در بخش Administration سرویس vCenter خود مراجعه نمایید.

نکته: یکی از الزامات امنیتی در زمینه استفاده از SSO مربوط به تنظیمات بخش NTP سرویس vCenter می شود. این بخش در زیرمجموعه پورت 5480 این سرویس قابل دستیابی و تغییر است.

یکی دیگر از الزامات امنیتی محیط vSphere استفاده از سطوح دسترسی مختلف به ازای هر کاربر است. تنظیمات این بخش در زیرمجموعه Administration سرویس vCenter در بخش Access Control قابل دسترسی است. باید بدانید که هر کاربری که به صورت مستقیم از امکانات محیط مجازی شما استفاده می کند چه نقشی را بر عهده دارد. کاربری که به عنوان مدیر این محیط مشخص می شود با کسی که صرفا فرآیند های تهیه نسخ پشتیبان را انجام می دهد در یک Role قرار نمی گیرند.

نکته: اعمال دسترسی ها برای هر Object در محیط vSphere صرفا برای Object انتخاب شده می باشد مگر اینکه گزینه Propagate to Children را انتخاب کرده باشید. در این صورت دسترسی تعریف شده به زیر مجموعه های آن Object نیز اعمال می شود.

به اشتراک گذاری مطلب

اشتراک گذاری در Facebookاشتراک گذاری در Google Plusاشتراک گذاری در Twitterاشتراک گذاری در LinkedIn

اطلاعات تماس

  • dummy09333954985

  • dummy info@vmwareworld.ir

عضویت در خبرنامه

پست الکترونیک خودت رو وارد کن تا از خبرهای سایت مطلع بشی!

تمام حقوق متعلق به سایت دنیای مجازی سازی می باشد

جستجو