ورود مشتریان
مقدمه در قسمت اول این مقاله، نگاهی به برخی از مسائل اصلی در رابطه با امنیت hypervisor در ابر خصوصی مایکروسافت انداختیم و سه مورد از مواردی که باید هنگام اعمال امنیت در ابر خصوصی بر مبنای Hyper-V مایکروسافت، در نظر گرفته شوند را به تفصیل توضیح دادیم. در این قسمت سایر موارد را به تفصیل شرح خواهیم داد. برنامه های کاربردی و سرویس ها را بر روی سیستم عامل میزبان اجرا نکنید هدف سیستم عامل میزبان، فراهم کردن محیطی برای میزبانی hypervisor می باشد که در این مورد میزبانی Hyper-V است. شما نباید هیچگونه برنامه کاربردی یا سرویسی را که در رابطه با پشتیبانی محیط مجازی سازی نمی باشد، بر روی سیستم عامل میزبان نصب نمایید. یکی از مزایای استفاده از نسخه هسته سرور نیز عدم نصب و اجرای اینگونه برنامه ها و سرویس ها است. به عنوان مثال، شما نمی توانید بر روی نسخه هسته سرور مرورگر وب را اجرا نمایید یا بسیاری از برنامه های کاربردی و سرویس هایی که ممکن است بر روی سایر نسخه های سرور قابل نصب باشد، بر روی نسخه هسته نیز غیرقابل نصب می باشند. امروزه بسیاری از سازمان ها سعی می کنند با کمترین امکانات، کارهای بیشتری را انجام دهند در نتیجه ممکن است سرویس ها و خدماتی مانند DNS، DHCP و یا خدمات گواهینامه را بر روی سیستم عامل میزبان Hyper-V نصب نمایند. اما شدیدا به شما توصیه می کنیم که این کار را انجام ندهید! هر برنامه کاربردی یا سرویسی که بر روی سیستم عامل میزبان نصب می کنید، باعث افزایش میزان حملات می شود و هم چنین با درخواست های بیشتری برای به روز رسانی سیستم عامل میزبان مواجه می شوید. اگر می خواهید سرویس های اضافی را اجرا نمایید، آن ها را بر روی یک ماشین مجازی که توسط سیستم عامل میزبان، میزبانی می شود اجرا کنید. یک NIC را برای مقاصد مدیریتی اختصاص دهید سرور مجازی Hyper-V شما دارای چندین واسط شبکه فیزیکی می باشد. احتمالا شما می خواهید یک واسط شبکه را برای اتصال به شبکه تولید اختصاص دهید در حالی که واسط دیگری ممکن است سرور را به اینترنت متصل کرده باشد و واسط دیگر ماشین را به یک DMZ متصل کند. ماشین های مجازی می توانند به این واسط های شبکه محدود شوند بدین گونه که آن ها تنها می توانند به منابعی که نیاز دارند متصل شوند. این واسط ها نباید توسط میزبان های شبکه قابل دسترسی باشند. آن ها باید تنها برای استفاده ماشین مجازی اختصاص داده شوند. علاوه بر این واسط ها، شما باید یک واسط را برای مقاصد مدیریتی اختصاص دهید. شما می توانید برای کنترل کردن کسانی که به این واسط متصل می شوند، از فایروال ویندوز با امنیت پیشرفته استفاده کنید. علاوه بر این شما می توانید هنگام اتصال به واسط مدیریتی با استفاده از رمزگذاری و احراز هویت IPsec، از رمزگذاری و احراز هویت در سطح شبکه استفاده نمایید. ناحیه های امنیتی را از هم جدا نگه دارید در آرایه های Hyper-V، این امکان برای ماشین های مجازی وجود دارد که به طور خودکار جا به جا شوند در نتیجه هیچ سرور واحدی در آرایه برای حافظه، پردازشگر یا شبکه سربار نخواهد داشت. به همین دلیل، شما در موقعیتی قرار می گیرید که نمی دانید در یک زمان مشخص یک ماشین مجازی در کجا قرا گرفته است. در این سناریو، ماشین های مجازی که متعلق به ناحیه های امنیتی مختلف می باشند می توانند بر روی یک سرور مجازی قرار بگیرند. امنیت ماشین های مجازی در این حالت کمتر از حد مطلوب می باشد زیرا در این حالت ماشین های مجازی که در ناحیه با امنیت بالا قرار دارند می توانند به طور بالقوه تحت تاثیر ماشین های مجازی قرار بگیرند که در ناحیه با امنیت پایین قرار دارند. شما باید هنگام طراحی آرایه های Hyper-V درمورد حجم کاری که بر روی ماشین های مجازی اجرا می شود، فکر کنید. اگر ماشین های مجازی دارید که سرویس های دسترسی از راه دور مانند فایروال TMG، یا سرور UAG SSL VPN را ارئه می دهندباید اطمینان حاصل کنید که یک آرایه را به طور جداگانه به این ماشین های مجازی و دستگاه های مرتبط با اینترنت اختصاص داده اید و ناحیه آن ها از ناحیه ماشین های مجازی که به اینترنت متصل نیستند مانند سرور SQL یا سرور sharepoint جدا می باشند. اطمینان حاصل کنید که سرویس های یکپارچه سازی Hyper-V نصب شده باشند سرویس های یکپارچه سازی Hyper-V کارهای زیادی را انجام می دهند و یکی از مهم ترین وظایف این سرویس آن است که زمان را بر روی ماشین های مجازی با زمان سیستم عامل میزبان هماهنگ نماید. این سرویس به شما این امکان را می دهد که ماشین های مجازی را جا به جا کنید حتی در ناحیه هایی که زمان متفاوتی دارند. در این حالت زمان ماشین های مجازی به طور خودکار با زمان سیستم عامل میزبان هماهنگ می شود. تصاویر ماشین های مجازی را به روز رسانی کنید در یک محیط ابر غیر خصوصی، شما سیستم عامل را نصب می کنید و بلافاصله به روز رسانی ویندوز را اجرا می کنید. شما این فرآیند را از ابتدا تا انتها کنترل می کنید بنابراین می دانید که این مرحله حیاتی باید اجرا شود. اما در یک محیط مجازی این امکان وجود دارد که کاربرانی که آگاهی کمی از مسائل امنیتی دارند، ماشین های مجازی را ایجاد نمایند ولی به درستی آن ها را به روز رسانی نکنند. شما می توانید این مشکل را با استفاده از ابزارهای به روز رسانی آفلاین برای نصب به روز رسانی ها بر روی قالب های ماشین مجازی برطرف نمایید. هنگامی که قالب های ماشین مجازی به صورت آفلاین به روز رسانی می شوند، ماشین های مجازی که بر اساس این قالب ها ایجاد می شوند همیشه به روز خواهند بود. شما می توانید برای انجام این کار از ابزار VMST استفاده نمایید. برای مدیریت از نماینده های مناسب استفاده کنید در نهایت، مطمئن شوید که به درستی وظایف مدیریتی را محول کرده اید. اطمینان حاصل کنید که مدیران زیر ساخت های حیاتی یا ابر خصوصی اجازه دسترسی به سیستم عامل ماشین مجازی را ندارند و مدیران سیستم عامل هایی که بر روی ماشین های مجازی اجرا می شوند اجازه دسترسی به زیرساخت مجازی یا ابر خصوصی را ندارند. در واقع شما باید با استفاده از کنسول Role Based Access Control، کنترل های بیشتری را بر روی زیرساخت مجازی و ابر خصوصی اعمال نمایید. شما می توانید این کار را از طریق کاربر عضو گروه Authorization Manager در ویندوز سرور 2008 و ویندوز سرور 2008 R2 انجام دهید. خلاصه در این مقاله، سایر مواردی که باید هنگام اعمال امنیت در ابر خصوصی بر مبنای Hyper-V مایکروسافت، در نظر گرفته شوند را به تفصیل توضیح دادیم. با دانستن ملاحظات امنیتی و افزایش امنیت ابر خصوصی، می توانید به طور موثرتری از ابر خصوصی استفاده نمایید.
