با توجه به اینکه اخیرا حملات از نوع باج افزار بر روی محیط های مجازی افزایش یافته است نیاز است تا مدیران نسبت به امن سازی محیط مجازی خود اقدامات لازم را انجام دهند. در این مقاله نحوه انجام این فرآیند توضیح داده شده است.
شرکت VMware راهکارهای متعددی برای امن سازی محیط مجازی ارائه داده است که تجمیع این موارد در فایلی به نام vSphere Security Guide وجود دارد. این راهکار از طراحی محیط های مجازی تا مدیریت این محیط ها را شامل می شود، اما آنچه که میخواهیم در این مقاله پوشش دهیم نحوه امن سازی محیط مجازی از منظر مدیریت این محیط می باشد.
همانطور که می دانید حملات از نوع باج افزار به منظور رمزنگاری اطلاعات موجود و دریافت باج به منظور رمزگشایی آنها انجام می شود. زمانیکه یک هکر با این نوع حمله محیط شما را در معرض ریسک از دست رفت اطلاعات قرار میدهد تمام تلاش خود را برای هرچه گسترده تر کردن این آسیب انجام میدهد، لذا در یک مقایسه ساده با رویکرد گستردگی میزان آسیب رسانی، بهترین روش برای یک هکر رمزنگاری اطلاعات خارج از دامنه سیستم عامل میباشد. بهترین نقطه برای انجام اینکار هاست هایی می باشند که محیط های مجازی شما را مدیریت می کنند. معنای این جمله این است که در صورتیکه هکر دسترسی خود به هاست یا هاست های محیط مجازی را در برقرار کند، امکان رمزنگاری تعداد زیادی ماشین مجازی بدون نیاز به ورود به سیستم عامل را خواهد داشت. لذا امن سازی این محیط به شما کمک بسیار شایانی میکند تا نسبت به ممانعت از ورود هکر به محیط خود اقدامات لازم را انجام دهید.
قبل از آغاز مباحث مربوط به موضوع امن سازی محیط مجازی سازی vSphere لازم است تا موارد زیر را فارغ از مبحث این مقاله مدنظر قرار دهید:
حال میخواهیم فرآیندهایی که امکان امن سازی محیط مجازی ما را فراهم میکنند بررسی نماییم. به صورت کلی 3 مورد زیر در ایفای این نقش بسیار مهم می باشند:
چیپ های TPM 2.0
چیپ TPM 2.0 یا Trusted Platform Module یک چیپ سخت افزاری می باشد که اغلب سرورهای موجود در بازار از این چیپ بهره می برند. این چیپ به ESXi های نسخه 6.7 به بعد این مجوز را میدهد تا انواع اطلاعات امنیتی شامل رمزعبورها، گواهینامه ها، کلیدهای رمزنگاری را به صورت امن درون آن ذخیره نمایند. در نسخه 7 محصول vSphere از این چیپ برای رمزنگاری فایل های پیکربندی هاست ESXi نیز استفاده می شود.
در کنار مزیت امنیتی بسیار مهم آن نقاط ضعف این چیپ به شرح زیر است:
برای اینکه بدانید هاست های شما از TPM 2.0 بهره میبرند، کافیست از طریق کنسول vCenter وارد بخش Monitor و سپس Security شوید. در این بخش میتوانید اطلاعات هر هاست را مشاهده نمایید.
به منظور فعالسازی ویژگی TPM 2.0 کافیست ابتدا در تنظیمات Bios سرور خود این ویژگی را فعال نمایید. توجه داشته باشید که الگوریتم Hashing مورد استفاده می بایست بر روی SHA-256 تنظیم شود. در صورتیکه از نسخه 6.7 آپدیت 1 به قبل استفاده میکنید ویژگی TXT نیز می بایست غیرفعال شود، در غیر اینصورت می توانید این ویژگی را نیز فعال نمایید.
نکته: ویژگی TXT یا Trusted Execution Technology یک ویژگی بر روی پردازنده های Intel می باشد. در صورت نیاز به اطلاعات بیشتر می توانید از طریق این لینک اقدام نمایید.
نکته: در صورتیکه هاست ESXi شما توسط vCenter مدیریت میشود و پس از اتصال هاست یا هاست های خود نسبت به فعالسازی TPM اقدام کرده اید، می بایست یکبار هاست های خود را از vCenter قطع و مجدد متصل نمایید. برای اینکار کافیست هاست خود را به حالت Maintenance برده و با راست کلیک کردن بر روی آن از منوی Connection گزینه Disconnect را انتخاب نمایید. سپس می توانید از همین مسیر گزینه Connect را انتخاب نمایید.
فعالسازی Secure Boot
امکان استفاده از ویژگی Secure Boot در بایوس های UEFI میسر می باشد. در واقع یکی از قدرت های UEFI Bios وجود ویژگی بوت سیستم عامل به صورت امن است. در صورتیکه این ویژگی را برای هاست خود فعال نمایید، در زمان بوت شدن ESXi هرگونه تغییرات احتمالی درون اطلاعات مرتبط با آن بررسی شده و در صورت شناسایی تغییراتی که قبلا Sign نشده است، از بوت شدن هاست ممانعت می شود. بدین شکل امکان دسترسی هاست Modify شده به Object هایی مانند Datastore وجود نخواهد داشت. لازم به ذکر است فعالسازی Secure Boot برای ESXi بر خلاف سیستم عامل های دیگر نیازی به نصب مجدد سیستم عامل ندارد.
به منظور فعالسازی این ویژگی نیاز است تا قبل از هرگونه اقدامی از دو دستور زیر استفاده نمایید.
/usr/lib/vmware/secureboot/bin/secureBoot.py -s
/usr/lib/vmware/secureboot/bin/secureBoot.py -c
دستور اول وضعیت فعلی Secure Boot را به شما گزارش میدهد تا مطمئن شوید که این ویژگی فعال یا غیرفعال است و دستور دوم که بسیار مهم است وضعیت هاست شما را نسبت به این ویژگی بررسی میکند و در صورت عدم تایید به شما پیغامی مبنی بر عدم وجود VIB های مورد نیاز را نمایش میدهد. در غیر اینصورت به شما اعلام میکند که ویژگی Secure Boot را می توانید فعال نمایید.
حال میتوانید هاست خود را ریبوت کرده و از طریق تنظیمات Bios سرور خود اقدام به فعالسازی Secure Boot نمایید.
نکته: یکی از ویژگی های vSphere 7 در خصوص Secure Boot امکان حفاظت از تنظیمات این ویژگی در مقابل هرگونه دستکاری می باشد. برای اینکار در صورتیکه از vSphere 7 در محیط خود استفاده میکنید کافیست دستورات زیر را در هاست های ESXi خود وارد نمایید:
esxcli system settings encryption set –require-secure-boot=TRUE
/sbin/auto-backup.sh
باید توجه داشته باشید که این دستور بر روی هاست هایی اعمال میشود که از TPM بهره میبرند. لذا برای اینکه نسبت به این موضوع اطمینان پیدا کنید قبل از استفاده از دستور بالا، دستور زیر را برای کسب اطلاعات بیشتر وارد نمایید:
esxcli system settings encryption get
جهت غیرفعال کردن این ویژگی نیز می توانید دستورات زیر را وارد نمایید:
esxcli system settings encryption set –require-secure-boot=F
/sbin/auto-backup.sh
ممانعت از اجرای کد در سطح ESXi
استفاده از این ویژگی مجوز اجرای هرگونه کدی که توسط یک بسته Signed VIB نصب نشده است را میگیرد. با توجه به اینکه هاست ESXi به ذات یک Hypervisor محسوب میشود و نه یک سیستم عامل، لذا نیازی نیست که امکان تزریق و اجرای کدهای مختلف درون آن وجود داشته باشد. بدین منظور این امکان توسط شرکت VMware فراهم شده است تا نسبت به انجام چنین کاری ممانعت شود. برای انجام اینکار کافیست در بخش Advanced Settings هاست ESXi خود مقدار VMkernel.Boot.execInstalledOnly را به True تغییر دهید. در صورتیکه از تعداد هاست های زیادی در محیط مجازی خود استفاده میکنید میتوانید از PowerCLI نسبت به اعمال تغییرات به صورت یکجا استفاده نمایید. در صورتیکه بخواهید این فرآیند را در محیط CLI انجام دهید میتوانید از دستورات زیر استفاده نمایید:
esxcli system settings kernel list -o execinstalledonly
این دستور وضعیت فعلی را به شما نمایش میدهد.
esxcli system settings kernel set -s execinstalledonly -v TRUE
این دستور مقدار را به True تغییر میدهد.
در صورتیکه میخواهید از PowerCLI برای تغییر مقدار این ویژگی استفاده کنید، کافیست از دستورات زیر در این خصوص استفاده نمایید:
Get-VMHost | Get-AdvancedSetting -Name VMkernel.Boot.execInstalledOnly
Get-VMHost | Get-AdvancedSetting -Name VMkernel.Boot.execInstalledOnly | Set-AdvancedSetting -Value True
نکته مهم در این خصوص این است که تغییر این تنظیم نیازمند ریبوت کردن هاست ESXi است. لذا پس از اعمال تغییرات و در فرصت مناسب نسبت به ریبوت کردن هاست خود اقدام نمایید.
همانند ویژگی Secure Boot این ویژگی نیز در نسخه vSphere 7 از امکان جلوگیری از تغییرات بهره میبرد. یعنی در صورتیکه از vSphere 7 در محیط خود استفاده میکنید میتوانید با استفاده از دستور زیر مانع اعمال هرگونه دستکاری در وضعیت عملکرد این ویژگی شوید:
esxcli system settings encryption set –require-exec-installed-only=TRUE
در پایان ذکر این نکته بسیار مهم لازم می باشد که قبل از اعمال هرگونه تغییرات نسبت به عملکرد محیط خود حصول اطمینان پیدا نمایید. روش هایی مانند اعمال تنظیمات در محیط آزمایشگاهی، اعمال بر روی یک هاست و بررسی نتایج و یا مواردی از این دست کمک شایانی به نتیجه نهایی شما خواهد کرد.
ببخشید، برای نوشتن دیدگاه باید وارد بشوید
تمام حقوق متعلق به وب سایت آموزش مجازی می باشد
