7. XAVFSIZ VIRTUALIZASH UCHUN TAVSIYALAR VA ENG YAXSHI TAJRIBALAR
7.1 Administratorga kirish va vazifalarni ajratish
Server ma’murlariga faqat serverlarini yoqish/o’chirish huquqini bering.
Mavjud VM-larni tahrirlash o‘rniga, administratorlarga yangi VM-larni joylashtirishga ruxsat berishni xohlashingiz mumkin. Boshqa ma’murlar, o’z navbatida, yangilarini yaratish uchun emas, balki faqat mavjud VMlarni o’zgartirish huquqiga ega bo’ladi.
Ikki yoki undan ortiq mehmonlar bir xil hisobga olish ma’lumotlaridan foydalanishi uchun jiddiy sabab bo’lmasa, har bir mehmon OS uchun alohida autentifikatsiya mavjud bo’lishi kerak.
Bu qarama-qarshi bo’lib tuyulishi mumkin, ammo atrof-muhit qanchalik katta bo’lsa, huquqlarni funksiya bo’yicha ajratish osonroq bo’ladi. Bitta administrator bir vaqtning o’zida saqlash, domenlar va virtuallashtirilgan infratuzilma va tarmoqlarni boshqara olmaydi.
7.2 Ish stolini virtualizatsiya qilish va xavfsizlik
Quyidagi besh samarali chora atrof-muhitda ruxsatsiz va xavfsiz virtualizatsiya mavjud emasligini ta’minlashga yordam beradi:
Qabul qilinadigan foydalanish siyosatini yangilang.
Virtualizatsiya dasturiy ta’minotini o’rnatish mumkin bo’lgan aniq shartlarni va qanday tasdiqlar kerakligini ko’rsating. Qaysi dasturlarni ishga tushirish mumkinligini va ularni qanday himoya qilish kerakligini ko’rsating. Xodimlar qoidalarga rioya qilmasa, qanday oqibatlarga olib kelishini aniq ayting.
Virtual mashinalardan foydalanishni faqat ularga kerak bo’lgan foydalanuvchilarga cheklang
Aksariyat foydalanuvchilarning kompyuterlarida VM bo’lishi shart emas. Korporativ ish stollari va noutbuklar uchun bepul yuklab olish dasturlarini o’rnatishni taqiqlash. Virtual asboblar va VMlarni ishlab chiquvchilar va sinovchilarning kichik guruhiga huquqlarni cheklang va ularga hali ham korporativ xavfsizlik siyosatlariga rioya qilishlari kerakligini tushunishlariga yordam bering.
Har doim virtualizatsiya dasturingiz va antivirus dasturingiz yangilanganligiga ishonch hosil qiling
Barcha VMlar ish stoli va noutbuklar kabi bir xil xavfsizlik devori, antivirus va IDS/IPSga ega ekanligiga ishonch hosil qiling.
Virtualizatsiyani qo’llab-quvvatlaydigan xavfsizlik siyosatini tanlang
Mavjud virtualizatsiya platformalari bilan maʼlum xavfsizlik siyosati ziddiyati yoʻqligini tekshiring.
Xavfsiz VM qurilmalari kutubxonasini yarating va yangilang
Foydalanuvchilar oʻzlari foydalanishi uchun yuklab olishlari mumkin boʻlgan barcha konfiguratsiya sozlamalari, xavfsizlik dasturlari va yamoqlarni oʻz ichiga olgan VM qurish omborini yarating.
7.3 Tarmoq xavfsizligi
Foydalanilmayotgan NIC-larni uzing, shunda tarmoqqa kirishning oson yo’li yo’q.
Fayl ruxsatlarini o’rnatish, foydalanuvchilar va guruhlarni boshqarish, jurnallar va vaqt sinxronizatsiyasini sozlash orqali gipervisor va mehmonlarni jismoniy tarmoqqa bog’laydigan xost platformasi xavfsiz ekanligiga ishonch hosil qiling.
Mijozlar va xostlar o’rtasidagi, boshqaruv tizimlari va gipervisor o’rtasidagi, shuningdek, SSL yordamida gipervisor va xostlar o’rtasidagi barcha trafikni shifrlang.
Har bir IP-paketni shifrlash va autentifikatsiya qilish orqali ikkita xost o’rtasidagi IP-muloqotlarni xavfsiz qiling.
O’z-o’zidan imzolangan yoki standart sertifikatlardan foydalanmang – ular o’rtadagi odam hujumlariga qarshi himoyasiz.
Monitoring maqsadlarida virtual kalitlarni aralash rejimga joylashtiring va MAC aldashini oldini olish uchun MAC manzilini filtrlashni yoqing.
7.4 Saqlash tarmoqlari
iSCSI va NFS maxsus SAN yoki yo’naltirilmagan VLAN-larda joylashtirilishi kerak.
Snooping (snooping) oldini olish uchun iSCSI trafigini shifrlash uchun IPSec-dan foydalaning.
iSCSI qo’ng’iroqlarni qo’l siqish autentifikatsiya protokolini (CHAP) qo’llab-quvvatlaydi va undan ruxsat berishdan oldin autentifikatsiya qilish uchun foydalanish kerak.
iSCSI yoki NFS dan foydalanganda IP yoki MAC manzilini aniqlash va rad etish uchun jismoniy kalitlardan foydalaning.
NFSni sozlash oson, lekin saqlash uchun eng xavfsiz variant. Hipervisorlaringiz bilan bog’liq bo’lgan ma’lum IP-manzillarga kirishni cheklash uchun NFS serverini o’rnating yoki muayyan xostlarga trafikni cheklash uchun xavfsizlik devoridan foydalaning. Agar NFS serveri IPSec-ni qo’llab-quvvatlasa, NFS serveri va gipervisor o’rtasidagi trafikni himoya qilish uchun undan foydalaning.
Repozitariylarga boradigan va qaytib keladigan barcha trafik saqlash trafigidan ajratilishi kerak.
Ethernet (FCOE) orqali tolali trafikni yubormang, chunki u saqlash trafigini boshqa turdagi maʼlumotlar bilan birlashtiradi.
Kommutator darajasida kirishni samarali boshqarish va VLAN-ga o’xshash tolali aloqani rayonlashtirishdan foydalaning. Ko’p topologiyalarga qaramay, eng oddiy va xavfsiz shakl rayonlashtirishdir. HBA tashabbuskorlarning bir-biri bilan muloqot qilishiga yo’l qo’ymaslik uchun o’z zonasida joylashgan.
7.5 Baxtsiz hodisalardan keyin tiklanish
DR saytida xavfsizlik devori, xavfsizlik vositalari va IPS/IDS saqlang. DR saytida xavfsizlik devori o’chirilgan bo’lsa, favqulodda vaziyat yuzaga kelguncha yoki ushbu xavfsizlik devori qoidalari asosiylaridan farq qilmaguncha uni muntazam tekshirib turing.
Zaxira va birlamchi imkon qadar bir xil bo’lishini ta’minlash uchun tegishli o’zgartirish nazoratini amalga oshiring.
DR tugunida ro’yxatga olish va monitoring xuddi birlamchi tugunda bajarilgandek ko’rib chiqilishi kerak.
DR saytingizni asosiy saytingizdan alohida tekshirib ko’ring, lekin bir xil chastota va jarayon ahamiyatiga ega.
Zaxira tuguningizning har qanday aniq nusxasi shifrlangan bo’lishi kerak.
Favqulodda vaziyatni tiklash rejangizning nusxasini uzoqroq joyga joylashtiring.
Zaxira nusxalaringizni ko’chiring va ularni oflayn rejimda saqlang.
7.6 Audit va ro’yxatga olish
Mehmonlar oflayn rejimga o’tganligini aniqlash uchun markazlashtirilgan jurnallardan foydalaning. Bu mehmonlar yamoqlar va yangilanishlar tufayli sinxronlashtirilmasligi mumkin. VMdagi voqealarni (masalan, yoqish, oʻchirish, toʻxtatib turish, davom ettirish), apparat konfiguratsiyasidagi oʻzgarishlarni yoki yuqori imtiyozlar bilan bogʻliq har qanday loginni qayd qilish. Nusxalangan, ko’chirilgan yoki o’chirilgan barcha virtual mashinalarni kuzatishingiz va jurnalga kirishingiz kerak.
Audit fayllari faqat o’qish uchun mo’ljallangan bo’lishi kerak va axborotning yaxlitligini saqlash uchun faqat audit xodimlari tomonidan o’qilishi kerak. Audit fayllari va boshqa virtual resurslarga kirishga ruxsatsiz urinishlar ham qayd etilishi kerak.
Virtual tarmoqlar, saqlash tizimlari, gipervisor, VMlar va boshqaruv tizimlarini o’z ichiga olgan muntazam muhit tekshiruvlarini o’tkazing.
Jurnal fayllarini masofaviy serverga yuboring.
7.7 Virtual mashina xavfsizligi
Virtual mashinalar gipervisorga ulangan saqlash, zaxiralash va tarmoqni boshqarish tizimlariga joylashtirilmasligi kerak.
Virtual mashinalarda ekran pardasi mutlaqo keraksiz. Shuningdek, jismoniy serverlarda protsessor talab qiladigan ekran saqlovchilaridan foydalanmang, chunki ular VM tomonidan talab qilinadigan protsessor resurslarini bosib ketishi mumkin.
VMlar yadro yoki xost tomonidan foydalaniladigan resurslarga kira olmasligi yoki ularni ko’ra olmasligi kerak. Ushbu resurslarga virtual mashinalarni ko’chirish uchun mas’ul bo’lgan SAN va tarmoqlar kiradi.
Talab qilinganidan ko’proq virtual mashinalar yaratmang. Potentsial hujum nuqtalari uchun barcha ishlaydigan VMlaringizni kuzatib boring. VM-dan foydalanishni faqat muhim xodimlarga cheklang.
Barcha foydalanilmagan VMlarni o’chirib qo’ying.
VMdagi USB kabi foydalanilmagan jismoniy portlar o’chirib qo’yilishi kerak.
Xost va VM o’rtasida IPSec yoki boshqa shifrlash shakllaridan foydalaning.
Virtual mashinalaringizni rejalashtirish, joylashtirish, tuzatish va zaxiralash uchun kerak bo’lgan hamma narsani tayyorlang.
CD-ROM va floppi drayvlar kabi jismoniy qurilmalar bilvosita VM tomonidan yoki to’g’ridan-to’g’ri xost tomonidan boshqarilishi mumkin. Ushbu xususiyatni har bir VM va barcha virtual mashinalarda alohida sozlang, sukut bo’yicha xost bilan ulanishni o’chiring. Agar bu bajarilmasa, VM yuklash vaqtida xostga kirishni so’rashi mumkin va boshqa virtual mashinalar bloklanishi mumkin, bu esa yuklash jarayonini kechiktirishi mumkin.
Trafik segmentatsiyasi uchun bitta virtual kalitda VLAN-dan foydalanishni ko’rib chiqishingiz mumkin.
VMlar ko’chirilganda, faol xotira va holat tarmoq orqali yangi xostga oddiy matn shaklida uzatiladi. Tashkilot tarmog’idan kirish imkoni bo’lmagan va alohida vswitch yoki VLAN yordamida sozlangan alohida segmentga trafikning ushbu harakatini ajratib oling.
Har qanday to’xtatilgan VMlar sinov yoki laboratoriya muhitida ishlayotgan bo’lishi kerak, shunda konfiguratsiyadagi har qanday o’zgarishlar ishlab chiqarish muhitida buzilishlarning oldini olish uchun sinovdan o’tkazilishi mumkin.
VM VM ma’lumotlarni saqlash yoki omboriga to’g’ridan-to’g’ri kirish huquqiga ega bo’lmasligi kerak.
VMlaringiz uchun antivirus himoyasini ta’minlash uchun virtual qurilmalarni ko’rib chiqing. Bunday modellar agentsiz yondashuvni ta’minlaydi. Ishlash yaxshilanadi, chunki ishlov berish alohida virtual mashinada yotmaydi. Ushbu modellarning ba’zilarining kamchiliklari shundaki, ular an’anaviy modullarda joylashgan modullar, IDS/IPS, xavfsizlik devorlari va veb-filtrlarni qo’shimcha nazorat qilishdan ko’ra viruslardan himoya qiladi.
Shaxsiy virtual mashinalardan yangilanish jarayonlarini olib tashlaydigan kichik drayverni VMga ulash orqali virtual qurilmani xostga joylashtirishni o’ylab ko’ring. Markaziy imzo ma’lumotlar bazasi, agar VM ilgari oflayn bo’lsa ham, himoya doimo yangilanib turishini ta’minlaydi. Xavfsizlik, shuningdek, hostdan xostga o’tganda ish yukini kuzatib boradi. Ushbu yondashuv, shuningdek, muayyan VM guruhlari uchun himoyani qo’llashi yoki ba’zi tanlangan mashinalarda chuqur skanerlashni amalga oshirishi mumkin.
Xavfsizlik siyosati yangi VM ning VM guruhi yoki klasteriga qoʻshilishiga yoʻl qoʻyilmasligini taʼminlash uchun ishlatilishi mumkin, agar u maxsus sozlamalar yoki maʼlum yangilanishlar oʻrnatilmagan boʻlsa.
Bir xil xavfsizlik domeniga yoki bir xil jismoniy serverga turli ishonch darajalariga ega ish yuklarini o’rnatmang. Foydalanuvchilar o’zlarining VM larini yaratishi va o’rnatishi mumkin bo’lganda, ishonch darajalari o’rtasida chalkashlik yuzaga kelishi mumkin.
Ba’zi tashkilotlar bitta jismoniy serverdagi virtual mashinalar sonini cheklaydi yoki izolyatsiyalash maqsadida har bir VMga jismoniy tarmoq adapterlarini tayinlaydi. Boshqa kompaniyalar VM-larning boshqa xostlarga o’tishiga ruxsat bermaydi. Xavfsizlik muhim bo’lsa-da, bunday strategiyalar yordamida virtualizatsiyaning to’liq afzalliklarini o’ldirmasligingizga ishonch hosil qiling.
Bitta VM yoki kichik VMlar guruhini qabul qilishda ehtiyot bo’ling va keyin ularni ajratish va izolyatsiya qilish uchun VLAN-ga tayinlang. Bu VLAN o’sishiga va qo’shimcha murakkablikka olib kelishi mumkin, administrator uchun qo’shimcha vazifalar yaratadi.
Bo’sh turgan virtual mashinalarga kirishni cheklash.
DMZ-ga joylashtirilgan har qanday VM Internetga kirish uchun ochiq va hujumga ochiq. DMZdagi VM-larning xotiraga yoki tarmoqlarga kirishini oldini oling.
Ikki yoki undan ortiq virtual mashinalar bir xil VLAN va virtual kalitda bo’lsa, VMlar orasidagi trafik xavfsiz emas. Xavfsizlik maqsadida ushbu virtual mashinalarda virtual xavfsizlik devorlarini yoqishni ko’rib chiqing.
Internetga kirishi mumkin bo’lgan har qanday virtual mashinalarda CPU chegarasini o’rnating. Shunday qilib, agar VM-lar buzilgan bo’lsa, hujum boshqa xostlarga o’tkazilmaydi.
Agar foydalanuvchilarga VM yaratishga ruxsat berilsa, ularga ruxsat berilgan shablondan VM yaratishga ruxsat bering.
Har bir virtual mashinada agentni o’ldirish uchun xavfsizlik VMni o’rnatishni o’ylab ko’ring. Bu, agar barcha xostlar va virtual mashinalar bir vaqtning o’zida zararli dasturlarni skanerlashni boshlasa, yuzaga keladigan virus bo’ronlari va boshqa to’siqlarni bartaraf etishi mumkin.
VMlar yangilanganligiga ishonch hosil qilish uchun skript va foydalanuvchi login yordamida VM dagi OSni tekshiring. Agar virtual mashina yangilanishlar bilan mos kelmasa, skript foydalanuvchini uzib qo’yishi va qo’llab-quvvatlash haqida xabar berishi mumkin. Yoki, mos kelmaydigan VMlar DMZ yoki sinov muhitida saqlanishi va to’g’ri yangilanmaguncha tarmoqqa kira olmasligi mumkin.
Ma’lumotlarning maxfiyligini va gipervisor va virtual mashinalarning yaxlitligini himoya qilish uchun har qanday nusxalash va joylashtirish funksiyalarini o’chirib qo’ying.
VM ga biriktirilgan virtual xavfsizlik devori har qanday harakatdan oldin, davomida va keyin xavfsizlik siyosati amalga oshirilishiga ishonch hosil qilish uchun doimo u bilan birga harakatlanadi.
Xavfsizlik shlyuzi (xavfsizlik devori va IDS/IPS) virtual mashinalar orasidagi trafikni tekshirish uchun ishlatilishi mumkin.
Maʼlumotlar boshqa maʼlumotlar bilan birlashtirilmasligi yoki boshqa VMʼlardan foydalanish imkoni boʻlmasligi uchun himoyalangan maʼlumotlarni qayta ishlaydigan har qanday VM boshqa VMʼlardan ajratilganligiga ishonch hosil qiling.
7.8 Boshqarish tizimlari
Ma’lumotlarning yo’qolishi, tinglash va o’rtadagi odam hujumi uchun har qanday imkoniyatni oldini olish uchun boshqaruv tizimlari va xostlar o’rtasidagi xavfsiz aloqa. Buning uchun bir yoki bir nechta mavjud SSH, IPSec va SSL protokollarini yoqing.
Jismoniy va virtual muhitni qamrab olish uchun yagona boshqaruv tizimi va xavfsizlik siyosatidan foydalaning. Agar siz ushbu yondashuvni qabul qilmasangiz, hisobotlarni yaratish va har qanday muammolarni tahlil qilish ishini ikki baravar oshirishingiz kerak bo’ladi.
Ma’muriy serverga barcha ish stantsiyalaridan kirishga ruxsat bermang. Ushbu serverni buzish virtual mashinalar va ma’lumotlar do’konlariga ta’sir qilishi mumkin. Buning oldini olish uchun boshqaruv serverini foydalanuvchi kompyuterlari quyi tarmog’idan alohida VLAN-ga o’rnating va keyin uni xavfsizlik devori orqasiga joylashtiring. Bu ikkita butunlay boshqa xavfsizlik zonalari. Tarmoq kalitlari uchun kirishni boshqarish ro’yxatini belgilang va tegishli xavfsizlik devori qoidalarini o’rnating. Administrator butun muhitga kirish imkoniga ega bo’lmasligi uchun ushbu serverlardagi standart ruxsatlarni o’zgartiring.
Ma’muriy serverlarni ma’lumotlar bazasi serverlaridan ajrating.
7.9 Gipervisor xavfsizligi
Gipervisor ishlab chiqaruvchisidan yamoq va yangilanishlar mavjud boʻlishi bilanoq ularni oʻrnating. Buni gipervisor zaifliklari xavfini kamaytirish uchun yamoqlarni boshqarish jarayoni bilan qo’llab-quvvatlang. Mehmon va xost kompyuterlariga eng so’nggi xizmat paketini o’rnating va zaiflik tarixi bo’lgan barcha ilovalarni o’chirib tashlang.
Gipervisorga ulanadigan foydalanilmagan virtual uskunani o’chiring.
Bufer yoki fayl almashish kabi keraksiz xizmatlarni o’chirib qo’ying.
Har qanday buzilish belgilari uchun gipervisoringizni muntazam tekshirib turing. Gipervisor jurnallarini doimiy ravishda kuzatib boring va tahlil qiling.
Mahalliy tarmog’ingizdagi gipervizor uchun boshqaruv interfeysini ko’rsatmang.
Gipervizorning barcha mahalliy boshqaruvini o’chirib qo’ying va markazlashtirilgan boshqaruv dasturidan foydalanishni talab qiling.
Gipervizorda har qanday administrator harakati uchun ikki faktorli autentifikatsiyani kiriting.
7.10 Suratlar va rasmlar
Hech bir OS mehmon tasviri yozish ruxsatiga ega bo’lmasligi kerak.
Virtual mashinalarni gipervisorning suratga olish funksiyasi bilan himoya qiling, chunki skrinshotlar VM ning joriy holatini yozib olishi mumkin. Skrinshot ma’lum bir vaqtda OS, konfiguratsiya sozlamalari, ma’lumotlar holati va VMda mavjud ilovalarni saqlaydi.
7.11 Синхронизация времени
Vaqtinchalik tarmoq protokoli (NTP) yoqilgan boʻlishi va tarmoq yaqinidagi umumiy vaqt serveri bilan sinxronlash uchun sozlanishi va NTP xostda ishlayotgan boʻlishi kerak. Mehmon virtual mashinalari xost bilan bir xil serverda ishlatilishi yoki xostning o’zini NTP serveri sifatida ishlatishi kerak. Agar VM qatlami mehmon OS ga to’g’ridan-to’g’ri serverdan vaqtni sinxronlashtirishga imkon bersa, undan foydalanish kerak, chunki bu amalga oshirishning eng oson yo’li.
Ruxsatsiz kirishni oldini olish uchun NTP tengdoshlari o’rtasida autentifikatsiya kalitini xeshlash mexanizmidan foydalanish kerak.
7.12 Masofaviy kirish
Ba’zi firmalar masofaviy boshqaruvni (VNC) platformalararo masofaviy ish stoli xususiyati sifatida ishlatadilar. Foydalanilganda xabarlar har doim ham shifrlanmaydi. Shifrlash sotuvchi sozlamalarida yoki uchinchi tomon plaginlari orqali ta’minlanishi mumkin. Ushbu VNC ulanishlari shifrlanganmi yoki yo’qmi, Internetga ulanishiga ruxsat bermang. Ushbu ulanishlarni VPN yoki SSH tunnel orqali boshqaring.
Masofadan kirishni boshqarish ushbu funktsiyalarga kirish huquqiga ega bo’lgan tizim IP manzillarining kichik to’plami bilan cheklanishi kerak.
Har qanday masofaviy kirish foydalanuvchi nomi va parolni so’rashi kerak, qo’shimcha ravishda kuchli parol siyosatini amalga oshiradi. Atrofingiz xavfsizligini ta’minlash uchun ikki bosqichli autentifikatsiya yoki bir martalik parollardan foydalaning.
Har qanday boshqaruv vositalari bilan masofaviy aloqa shifrlangan va autentifikatsiya qilingan bo’lishi kerak.
SSH-dan foydalanganda, protokolning 1-versiyasini o’chirib qo’ying, administrator yoki root SSH loginni o’chirib qo’ying va foydalanuvchilardan rolga asoslangan kirish boshqaruvidan foydalanishni yoki o’zlarining alohida hisoblaridan foydalanishni talab qiling. Sudo kabi buyruqdan foydalaning, chunki u barcha harakatlarni jurnalga yozib olish imkonini beradi (bu nima, qachon va kim tomonidan qilinganligini ko’rsatadi).
Server yoki gipervisorga masofadan kirishga ruxsat bermang.
7.13 Zaxiraga olish
Server tasviri o’g’irlangan taqdirda har qanday zaxira oqimlarini shifrlang. Saqlangan ma’lumotlar rasmlarni nusxalash yoki o’rnatish bo’yicha harakatlarni boshqarish uchun kirishni boshqarish ro’yxatiga ega bo’lishi kerak.
Zaxira ma’lumotlarni (saqlangan yoki tranzitda) himoya qilish uchun VLAN kabi tarmoq qatlamini himoya qilish, shuningdek kirishni boshqarish ro’yxatlari mavjud bo’lishi kerak.
Zaxiralash uchun ildiz hisoblaridan foydalanishga ruxsat bermang.
Tarmoq orqali DR saytiga yuborilgan har qanday zaxira nusxalari xavfsiz shifrlangan bo’lishi kerak.
OS va ma’lumotlaringizni muntazam ravishda zaxiralang va haftada bir marta to’liq zaxiralang. Zaxira nusxalaringizni saytdan tashqari saqlash va saytdan tashqari zahiraviy media saqlash yechimlari bilan to’ldiring.
Virtualizatsiya yordamida diskdagi zaxira nusxasi an’anaviy muhitda bo’lgani kabi muhimdir. Virtual xotira zaxiralari ham zaxira siyosatingizga kiritilishi kerak.
7.14 Настройка и Управление Изменениями
Jismoniy yoki virtual serverlarni joylashtirishni boshlashdan oldin ularning xavfsizligiga ishonch hosil qiling. Yangilanishlar yoki yamoqlarni o’rnatish tufayli ruxsatsiz o’zgarishlar yoki moslikdan chetlanishlarni aniqlash uchun konfiguratsiyadagi har qanday o’zgarishlarni kuzatib boring.
Jismoniy va virtual kalitlarni, shuningdek, virtual apparat va shlyuzlarni joylashtirishdan oldin ularni himoya qiling.
Ishlab chiqarishga imkon qadar yaqin bo’lgan laboratoriya muhitida hujjatsiz va sinovsiz infratuzilmani o’zgartirishga yo’l qo’ymang. Har qanday o’zgartirish kiritishdan oldin ushbu savollarga javob bering:
- O’zgarishlarning oqibatlari qanday?
- Kim va nima ta’sir qiladi?
- O’zgarishlarning potentsial xavfi qanchalik katta?
- Agar kerak bo’lsa, o’zgarishlar orqaga qaytarilishi mumkinmi?
- O’zgarishlarni orqaga qaytarish uchun qancha vaqt ketadi?
- Kerakli konfiguratsiyaga o’zgartirishlar kiritish kerak bo’lganda VM konfiguratsiyasi va ogohlantirishlarini kuzatib boring.
Mavjud yamoqlarni boshqarish mahsulotlari virtualizatsiya va platformalarni qo’llab-quvvatlashiga ishonch hosil qiling.
7.15 Server hovuzlari va virtual xizmat takliflari
Agar ularda umumiy veb-serverlar va shaxsiy ma’lumotlarni o’z ichiga olgan ma’lumotlar bazasi serverlari kabi turli darajadagi serverlar mavjud bo’lsa, server hovuzlarini segmentlarga ajrating. Serverlar Internetdan va o’zlaridan kirishdan himoyalangan bo’lishi uchun himoya vositalaridan foydalanganingizga ishonch hosil qiling. Server hovuzlarida segmentatsiyadan foydalanmaslik, agar bitta server buzilgan bo’lsa, butun server puliga salbiy ta’sir ko’rsatishi mumkin.
Virtual xizmat takliflari (VSO) uchun har qanday foydalanuvchi maʼlumotlarini, tashkilot maʼlumotlarini, hujjatlarni, maʼlumotlar bazalarini, davlat maʼlumotlarini virtual serverlarga va har qanday Active Directory xizmati maʼlumotlarini standart zaxiralash strategiyasi va siyosati yordamida zaxiralang.
Xavfsizlik nuqtai nazaridan VSO’lardan backend hovuzlarini ajrating. VSO bilan o’zaro aloqada bo’lgan foydalanuvchilar ma’murlar tomonidan boshqariladigan jismoniy serverlarga kirish imkoniga ega bo’lmasligi kerak.
Yuqoridagi amaliy maslahatlar va fokuslar mavjud an’anaviy xavfsizlik boshqaruvlari bilan birgalikda foydalanilganda samarali bo’ladi va allaqachon o’rnatilgan xavfsizlik boshqaruvlarini almashtirmaydi. Biroq, virtualizatsiya butunlay boshqacha, chunki agar siz ushbu ko’rsatmalarga amal qilmasangiz, siz to’liq xavfsiz gibrid (jismoniy va virtual) muhitga ega bo’lmaysiz.
8. VIRTUALIZALANGAN BULUT UCHUN QO‘SHIMCHA SAVOLLAR, TAVSIYALAR VA MASLAHATLAR
Yuqoridagi tavsiyalar va maslahatlarning aksariyati ma’lumotlar markazi, korporativ va bulutli muhitlar uchun samaralidir, ammo bulutning o’zi yuqoridagi ikkita muhitdan farq qiladi va masshtab, ko’p ijaraga olish va VM har doim xavfsizlik tizimini yaratish uchun qulay jismoniy perimetrda qolmasligi sababli boshqa himoyalarga muhtoj. Quyida e’tiborga olish kerak bo’lgan muhim fikrlar mavjud:
Potensial xakerlik doirasi tufayli gipervisor xavfsizligi bulutda yanada muhimroq.
VMlar egalari tomonidan virtual mashinalarning butun hayot aylanishi davomida kuzatilishi kerak. Ular boshqa virtual mashinalarning joylashish talablariga javob beradigan serverlarda joylashtirilishi va kuzatuv maqsadlarida VM tegidan foydalanishi kerak.
Bir foydalanuvchi VM trafigini boshqa foydalanuvchi VM dan ajratish uchun siz VLAN dan foydalanishingiz kerak. Bu VLAN-ni kalitning asosiy infratuzilmasidan tashqariga kengaytirishni talab qiladi. Juda katta bulutlarni qoʻllab-quvvatlash uchun VLAN imkoniyatlarini masshtablashda muammo boʻlishi mumkin.
Avtomatlashtirish miqyosi tufayli bulutdagi xavfsizlik uchun zarurdir. Bulutdagi xavfsizlikni yaxshiroq rejalashtirish va yaxshiroq boshqarish kerak.
Agar foydalanuvchi boshqa mijozning ma’lumotlariga kira olsa, IP manzillari va identifikatorlarini yo’q qilish muammo bo’lishi mumkin. VM tayinlash va qayta tayinlashni qo’llash uchun mustahkam jarayon bo’lishi kerak.
Markaziy saqlash bulutdagi jozibali ob’ektdir. Ma’lumotlarni himoya qilish va shifrlash ma’lumotlar saqlanadigan, uzatilgan yoki qayta ishlangan joyda to’g’ri qo’llanilishi kerak.
Agar siz boshqa bulutli xizmat ko’rsatuvchi provayderga (CSP) o’tishni rejalashtirmoqchi bo’lsangiz, sizda standartlar bo’lishi kerak. Bunga ma’lumotlar, xavfsizlik devorlari, virtual mashinalar va tarmoq sozlamalari kiradi.
Bulutli foydalanuvchilar uchun ularning ma’lumotlari bitta bulutli xotirada boshqa foydalanuvchilarning ma’lumotlaridan alohida saqlanishi muhimdir.
Yangi joylashtirishlarni kuzatish uchun avtomatlashtirilgan hayot aylanishini boshqarish vositalaridan foydalaning. CSPlar, shuningdek, mijozlarga VMni xizmatga qo’yishi mumkin bo’lgan foydalanuvchilar sonini cheklashni aytishi kerak.
Atrof-muhitning yaxlitligini saqlash uchun standart VM tasvirlaridan foydalanish kerak.
Dedicated Scan VM-ni bulutda boshqa VM-larni himoya qilish uchun ishlatib bo’lmaydi, chunki ular gipervisorni nazorat qilmaydi. Ko’p foydalanuvchili muhitda agentga asoslangan yondashuvdan foydalanish kerak.
Ma’lumotlar markazlari uchun shifrlash kalitlari xavfsiz bo’lishi kerak. Agar kalitlar to’g’ri himoyalangan bo’lsa, ma’lumotlar markazlariga kiradigan noto’g’ri VMlar o’chirilmaydi va o’qilmaydi.
Jismoniy server, IP manzil yoki xostning jismoniy chegaralanishi (izolyatsiya yoki MAC manzillar uchun ishlatiladi) kabi jismoniy atributlarga bog’langan xavfsizlik siyosati bulutda ma’nosizdir. Xavfsizlik siyosati jismoniy xususiyatlarga emas, balki mantiqiy atributlarga bog’langan bo’lishi kerak. Ilova foydalanuvchilarining identifikatori, guruhi yoki roli va yuklanish sezgirligi muhim bo’ladi. Siyosat kontekstga sezgir va moslashuvchan bo’lishi kerak.
Bulutdagi barcha xavfsizlikni birlashtirish uchun standartlar kerak. Mijozlar va CSPlar xavfsizlik majburiyatlarini farqlashlari kerak.
Xizmat ko’rsatish muhiti kabi infratuzilmada mijoz har qanday tayinlangan VMlarning yamoq versiyalarini saqlash uchun mas’uldir va shuningdek, dastlabki o’rnatishdan keyin VPNni to’g’ri sozlash uchun javobgardir.
Eski kirishni boshqarish modeli mashinaga asoslangan va IP yo’naltirilgan. Bulutdagi model foydalanuvchiga asoslangan bo’lishi kerak. Tarmoqqa kirishni boshqarish (NAC) sizning kimligingizni va nimaga kirish huquqini belgilaydi. Kirish nazorati dinamik bo’lishi kerak, chunki foydalanuvchilar istalgan joydan, istalgan vaqtda, istalgan qurilmadan keladi va bir vaqtning o’zida bir nechta qurilmalardan kirishni so’rashi mumkin.
Ma’lumotlarni yo’qotishning oldini olish (DLP) juda muhim jarayonga aylanmoqda va DLP kuzatuv vositalari ma’lumotlarni taniy olishi uchun barmoq izlaridan foydalanish kerak. Siyosat buzilishi sodir bo’lganda, karantin va javob choralari qo’llanilishi kerak.
To’xtatilgan VMlarni himoya qilish va skanerlash CSP bo’lib qoladi.
Bulutli tizimni to’liq skanerlashdan foydalanmaslik kerak, chunki u samaradorlikni pasaytiradi.
Agar CSP tomonidan taklif qilinsa, foydalanuvchilar maxsus resurslardan foydalanishlari kerak, chunki ular xavfsizroq.
Bulut resurslar va foydalanuvchi ma’lumotlarini himoya qilishni ta’minlash uchun xavfsizlik vazifalari doirasini kengaytiradi. Hujum yuzasi o’zining miqyosi tufayli ancha kattaroqdir va har qanday buzilish turli mijozlarga va ular saqlash uchun bulutli xizmat ko’rsatuvchi provayderga ishonib topshirilgan barcha ma’lumotlarga ta’sir qilishi mumkin.
9. XULOSA
Virtualizatsiya firmalar uchun yangi xavfsizlik muammolarini keltirib chiqaradi. Virtual komponentlar va atrof-muhitni faqat mavjud xavfsizlik mexanizmlari va jarayonlari bilan himoya qilib bo’lmaydi. Virtualizatsiya yaratilgan jismoniy markazlashtirilgan tarmoq va yangi virtual yoki mantiqiy muhit o’rtasida gibrid bo’lgan boshqa tarmoqni yaratadi. Xavfsizlik to’g’ri darajada bo’lishini ta’minlash uchun qo’shimcha rejalashtirish va tayyorgarlik, shuningdek xodimlarni o’qitish bilan bir qatorda ko’plab omillar va qo’shimcha himoya darajalarini hisobga olish kerak. Virtualizatsiya xavfsizligi yangi virtual infratuzilma yaratilgandan va barcha komponentlar joyida bo’lgandan keyin o’ylaydigan narsa bo’lmasligi kerak. Virtualizatsiya texnologiyasi rivojlanishi bilan birga bu sohadagi xavfsizlik ham yaxshilanadi. Ushbu sohada standartlar qo’llanilishi kerak, shunda firmalar yangi sharoitda amal qiladigan qoidalarga ega bo’ladilar.
