Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети

• Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
• Соображения безопасности для облачных вычислений (часть 6) — измеряемые услуги

Введение

Во второй части нашей серии статей о безопасности частного облака мы говорили о том, как пять основных характеристик облачных вычислений влияют на соображения безопасности для сред частного облака. Мы также говорили о том, что безопасность в частном облаке похожа на решения по безопасности, которые вы принимаете в традиционном центре обработки данных. Основные различия связаны с уникальными проблемами безопасности, с которыми вы сталкиваетесь при рассмотрении пяти основных характеристик облачных вычислений, при этом основное внимание уделяется характеристике самообслуживания по запросу. Наконец, в этой статье мы говорили о том, как мы обсуждаем частные облачные вычисления в целом, а не конкретно о том, что можно считать частным облаком Microsoft. Мы подробно поговорим о частном облаке Microsoft в следующих статьях в этом году после выпуска Windows Server 8 и совместимого с Windows Server 8 набора продуктов System Center.

В этой, третьей части нашей серии, мы обсудим, как характеристика облачных вычислений «Доступ к широкой сети» создает проблемы безопасности, которые необходимо решить. Когда мы говорим о широком сетевом доступе в облачных вычислениях, мы имеем в виду, что ресурсы, размещенные в облаке, должны быть доступны для любого вычислительного устройства, независимо от форм-фактора, из любого места, подключенного к Интернету. Из пяти основных характеристик облачных вычислений широкий доступ к сети является наиболее обсуждаемым. Причина этого в том, что когда вы думаете о частном облаке, вы, скорее всего, развертываете частное облако, чтобы скрыть свою самую ценную информацию от большинства людей в Интернете. Многим кажется, что широкий доступ к сети больше подходит для развертывания в публичном облаке, чем в частном облаке.

Однако вы можете по-другому взглянуть на широкий доступ к сети. Если мы предположим, что гибридные облака, представляющие собой комбинацию общедоступных и частных облаков, будут распространенной моделью развертывания, то вы можете захотеть включить широкий доступ к сети с точки зрения того, что частное облако должно быть высокодоступным для лицевой стороны. конечные компоненты, размещенные в общедоступном облаке. Однако здесь не применяется возможность широкого спектра устройств подключаться к частному облаку, поскольку эти устройства будут подключаться к интерфейсным службам в общедоступном облаке.

Проблемы, связанные с широким доступом к сети и безопасностью частного облака

Ключевые проблемы, связанные с широким доступом к сети и безопасностью частного облака, включают следующее:

• Роль и расположение сети периметра
• Управление идентификацией и доступом (IdAM)
• Аутентификация
• Авторизация
• Управление доступом на основе ролей (RBAC)
• Федерация
• Ведение журнала и аудит
• Подключение к общедоступной сети
• Защита конечных точек Безопасность клиентов

Давайте кратко обсудим каждый из них.

Роль и расположение сети периметра

В частном облаке вам нужно подумать о том, как вы обрабатываете входящие подключения к ресурсам в сети частного облака. В некоторых случаях входящий доступ потребуется, чтобы интерфейсные службы могли подключаться к ресурсам частного облака, а в других случаях вы можете размещать ресурсы частного облака, к которым будут подключаться клиентские устройства. Поскольку требуется входящий доступ из Интернета, вам потребуется поддерживать демилитаризованную зону между службами частного облака и Интернетом.

Важным соображением является то, что вы можете захотеть разместить свою DMZ и брандмауэры в виртуализированной среде, как и остальные службы в вашем частном облаке. Однако, поскольку брандмауэры и другие шлюзы относятся к другой зоне безопасности, вам не следует размещать эти службы на тех же серверах, на которых размещаются рабочие нагрузки. Причина этого в том, что если каким-либо образом виртуальные машины шлюза будут скомпрометированы, есть вероятность, что злоумышленник уничтожит всю вашу частную облачную инфраструктуру.

Управление идентификацией и доступом (IdAM)

Управление идентификацией и доступом является критически важными областями при работе с безопасностью частного облака. Вам нужно будет иметь возможность аутентифицировать все входящие подключения к частному облаку, а затем, после аутентификации пользователя, вам потребуется механизм для авторизации использования ресурсов частного облака. То, как вы это сделаете, зависит от диапазона клиентов, которые вы предполагаете подключаться к вашим ресурсам частного облака, и характера ресурсов частного облака, к которым они подключаются.

Управление доступом должно учитывать не только пользователей частных облачных сервисов, но и менеджеров частной облачной инфраструктуры. Вы не хотите, чтобы менеджеры компонентов инфраструктуры частного облака имели полный контроль над всеми аспектами инфраструктуры; вы только хотите, чтобы они могли управлять частями, за которые они несут ответственность. Кроме того, вы не хотите, чтобы менеджеры рабочих нагрузок арендатора имели доступ к другим рабочим нагрузкам арендатора и инфраструктуре частного облака.

Управление доступом на основе ролей (RBAC)

Это приводит нас к концепции управления доступом на основе ролей. Доступ к различным компонентам частного облака должен основываться на роли, которую человек играет в частном облаке. Существуют различные компоненты частного облака, которым требуется поддержка нескольких ролей. Проблема заключается в том, что компоненты инфраструктуры, которые раньше размещались на разных физических компонентах распределенным образом в традиционном центре обработки данных, теперь объединены в центральную инфраструктуру в частном облаке.

Роли сети, вычислений и хранения необходимо делегировать людям, отвечающим за эти компоненты. Ваше решение для управления облаком, скорее всего, предоставит центральную консоль для управления всеми этими компонентами. Поэтому вам необходимо подтвердить, что ваш интерфейс управления частным облаком позволяет вам предоставлять администраторам различных компонентов доступ к требуемым им интерфейсам конфигурации, но не дает доступа к каким-либо другим параметрам конфигурации.

Конечные пользователи облака — будь то потребители частных облачных служб или администраторы арендаторов — должны иметь ограниченный доступ к компонентам необходимых им служб. Конечным пользователям необходим доступ к элементам управления службами, к которым они подключаются, чтобы приложение предоставляло им нужные службы, а администраторам арендаторов нужен доступ к элементам управления, влияющим на функциональность и производительность их рабочих нагрузок.

Федерация

Объединение вашей инфраструктуры аутентификации и авторизации имеет решающее значение из-за количества систем, с которыми будет работать частное облако. Большинство частных облачных сред будут иметь компоненты, расположенные в общедоступном облаке или у партнеров, которые используют свои собственные частные облачные среды. Из-за этого это не централизованный репозиторий аутентификации. Это также верно, когда вы думаете о клиентских подключениях к частному облаку. Вы можете знать или не знать об этих клиентских системах заранее, и поэтому вам нужно будет поддерживать децентрализованный подход, когда речь идет о репозиториях аутентификации. Федерация позволяет вам сделать это, разрешив вашему частному облаку использовать утверждения, созданные доверенными репозиториями проверки подлинности.

Ведение журнала и аудит

Аудит в частном облаке должен быть надежным и всеобъемлющим. Поскольку существует так много рабочих нагрузок арендаторов и так много пользователей и устройств, которые из разных мест подключаются к вашему частному облаку, вам необходимо всесторонне регистрировать и создавать отчеты обо всех действиях, происходящих в частном облаке. Эта ситуация становится все более сложной из-за того, что самообслуживание позволяет администраторам арендаторов автоматически развертывать службы и разрешать пользователям подключаться к этим ресурсам — и все это происходит без явного знания или в режиме реального времени или личного общения с облаком. администраторы инфраструктуры.

Ведение журнала и аудит также имеют решающее значение для предсказуемости. Вам необходимо знать тенденции и закономерности из-за широкого доступа к сети. Существует ли шаблон подключения пользователей? Подключается ли больше пользователей в определенное время дня? Есть ли еще атаки из определенного географического местоположения? Есть ли тенденция к определенному типу атак или атак с определенных устройств? Широко распространенные журналы и отчеты могут предоставить вам эту важную информацию, чтобы вы могли автоматически реагировать на эти проблемы.

Подключение к общедоступной сети

Поскольку для широкого доступа к сети требуется подключение к Интернету, необходимо убедиться, что ваше подключение к Интернету является производительным и высокодоступным. Вам нужно будет работать с вашим интернет-провайдером, чтобы обеспечить SLA для подключения к Интернету. Вам также необходимо убедиться, что пропускной способности всегда достаточно, чтобы пользователи и администраторы могли подключаться к необходимым им ресурсам. Возможно, вам потребуется использовать службы QoS, чтобы каждая из рабочих нагрузок арендатора имела необходимую пропускную способность. Кроме того, качество QoSi важно, потому что мошенническая рабочая нагрузка арендатора может затопить Интернет-соединение и негативно повлиять на других арендаторов в инфраструктуре частного облака.

Защита конечных точек и клиентская безопасность

Возможно, самым важным вопросом с точки зрения широкого доступа к сети является защита конечных точек и безопасность клиентов. В связи с тем, что широкий доступ к сети требует от вас поддержки множества устройств из любой точки мира, а также того факта, что многие пользователи тенантных сервисов будут вам неизвестны, вам необходимо продумать, как можно включить безопасный поведение тех устройств, которые подключаются к рабочим нагрузкам арендатора.

В большинстве случаев вы, скорее всего, не сможете контролировать настройку этих устройств. Вам нужно будет подумать о последствиях для безопасности незащищенных устройств, подключающихся к службам, размещенным в частном облаке. В зависимости от рабочей нагрузки вам потребуется рассмотреть возможность использования устройств шлюза, которые могут оценивать конфигурацию безопасности устройств, подключающихся к рабочей нагрузке, и предоставлять уровень доступа к каждому устройству на основе его текущего состояния безопасности. Защищенные устройства могут иметь доступ к большему количеству служб, чем незащищенные устройства, или защищенные устройства будут иметь доступ к большему количеству компонентов приложения, чем незащищенные устройства.

Резюме

В этой статье мы рассмотрели последствия для безопасности характеристики «широкого сетевого доступа» облачных вычислений. Хотя в некоторых кругах широкий доступ к сети является спорной характеристикой частного облака, есть аргументы в пользу того, что он по-прежнему применим к частному облаку. Основная проблема заключается в том, что существует вероятность того, что как известные, так и неизвестные пользователи, использующие управляемые и неуправляемые устройства, будут подключаться к службам арендаторов, работающим в вашем частном облаке.

• Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
• Соображения безопасности для облачных вычислений (часть 6) — измеряемые услуги