افزایش امنیت ماشین مجازی در محیط های ابر
طاهره مصطفویدر۱۴۰۳/۲/۱۸
(سیارک) ابرهای زیرساخت بعنوان سرویس (IaaS) و رایانش شبکه های مجازی بر مبنای این نظر هستند که کاربران ماشین های مجازی اختصاصی را بعنوان محیط های اجرا برای کارهایشان ایجاد کنند( با اجازه دادن به اینکه آنها پشته ی نرم افزاری مورد نیاز را بدون سر و کار داشتن با مدیران سایت شبکه (متعدد) یا ابر تهیه نمایند).
حین اینکه استفاده از ماشین های مجازی برای ارائه دهنده های زیر ساخت و سرویس سود ده است(کاربران و ارائه دهنده ها در مجموعه اصطلاحات ابر) (با کاهش هزینه ها برای اولی و بهبود قابلیت های استفاده و مدیریت برای دومی)، اشکلاتی نیز وجود دارد. بعلت اینکه ایجاد ماشین های مجازی ارزان و آسان است، کاربران به ایجاد ماشین های مجازی متفاوت برای کارهای مختلف گرایش پیدا میکنند. کاربران میتوانند ماشین های مجازی جدید را بر اساس قدیمی ها بوجود آورند(ماشین های عکس فوری یا حتی ماشین های عقب گرد به وضعیت قبلی). در حالیکه این ویژگیها انعطاف پذیری بالایی برای کاربران فرآهم میآورند، خطر امنیتی بزرگی نیز برای ارائه دهنده ها دارند. یک عقب گرد ماشین، برای مثال، میتوانست یک آسیب پذیری امنیتیِ از قبل معین را آشکار نماید. چیزیکه کارِ نگه داشتن پشته ی نرم افزاری را (حتی) زمانبر تر آپ تو دیت میکند شمارِ فزاینده ی ماشین های مجازی است(پدیده ای بنام گسترش ماشین مجازی).
مشکلات بیشتر به این علت بوجود میآیند که برخی ماشین های مجازی محتملا در چند نقطه از زمان قابل اجرا نیستند. این ماشین های مجازی براحتی نمیتوانند آپ تو دیت نگه داشته شوند، چونکه در این صورت نیاز است که ماشین های مجازی دوباره شروع شده، آپ دیت شده و بسته شوند، که نه تنها زمانبر است بلکه همچنین میتواند فرآیندی کسل کننده باشد. راه حل های متفاوت ایجاد شده اند تا مسئله ی تعمیر و نگهداری ماشین های مجازی(اجرا نشونده) را حل نمایند. در حالیکه این راه حل ها میتوانند برای آپ دیت نمودن ماشین های اجرا نشونده استفاده شوند، از یک مشکل سازگاری بالقوه رنج میبرند. آنها "به اجبار" آپ دیت ها را نصب مینمایند(و یا با تغییر یک لایه ی عمده و یا با جایگزینی فایل ها) و هیچ تضمینی برای اینکه آپ دیت ها بدرستی بتوانند استفاده شوند و اینکه با پشته ی نرم افزاری و پیکربندی همه ی ماشین های متاثر سازگار باشند وجود ندارد.
بعلاوه، تمامی این راه حل ها فاقد قابلیت تشخیص درست اینکه کدام اپلیکیشن نیاز به آپ دیت دارد میباشند. بعلت اینکه این اطلاعات پیش نیازی برای فرایند آپ دیت واقعی است، قدمی تعیین کننده در فرآیند آپ تو دیت نگهداشتن ماشین های مجازی (اجرا نشونده) در یک ابر یا یک محیط رایانش شبکه ی مجازی میباشد. در حالیکه انجام چک کردنی چنین برای ماشین های مجازی در حال اجرا آسان است، بعلت سیستم های مدیریتی بسته ای متداولاً مورد استفاده بر پایگاه های لینوکس و تسهیلات آپ دیت اتوماتیک بر پایگاههای ویندوز، برای ماشین های مجازی اجرا نشونده دوباره به مشکل بر می خوریم.
حتی اگر ماشین های مجازی آپ تو دیت نگهداری شوند، احتمالاً نرم افزار نصب شده هنوز شامل نواقصی در طرح یا آسیب پذیری های نرم افزاری(تعمیر نشده با آخرین آپ دیت) میباشند. بنابراین، چک کردن فقط برای آپ دیت ها کافی نیست. بعلاوه، ماشین های مورد استفاده در یک محیط IaaS عمومی در معرض حملات خارجی میباشند، برای نمونه، آنها ممکن است بعنوان هدفی تصادفی یا منتخب توسط اسکریپت ها برگزیده شوند. در نتیجه، ضرورت دارد که بطور مداوم ماشین های مجازی مورد استفاده را پویش نماییم و اقدامات متقابل پیشگیرانه ای چون ترمیم ایرادات مشهود انجام دهیم.
در این مقاله رهیافتی ترکیبی(که چک کننده ی آپ دیت های نرم افزاری است و ماشین های مجازی را جهت آسیب پذیری های امنیتی شناخته شده پویش مینماید) ارائه میگردد. اولین جزء با نام چک کننده ی آپ دیت ارائه میشود تا نیاز به آپ دیت های ماشین های مجازی مبتنی بر لینوکس(که بالقوه تعداد زیادی دارند) را چک کند. بعلت اینکه چک کننده ی آپ دیت اطلاعات بسته های نصب شده را در یک پایگاه داده ی مرکزی کپی میکند، چک کردن میتواند در نمونه ی مرکزی بدون (ابتداً) راه اندازی ماشین مجازی و سپس بستن آن(که زمانبر ترین قسمت چک کردن برای آپ دیت های یک ماشین مجازی است) انجام پذیرد. بنابراین، چک کردن مستقل از وضعیت ماشین مجازی (در حال اجرا یا اجرا نشونده) میباشد. هر دو apt/dpkg و yum/rpm و بنابراین همه ی توزیع های لینوکس پشتیبانی میشوند. این راه حل اجازه ی چک کردن آسان همه ی ماشین های مجازی ثبت شده را میدهد و تعداد آپ دیت های در دسترس یا جزییات هر یک از آپ دیت های در دسترس را میدهد. دومین جزء با نام مجموعه برنامه ی نفوذ آنلاین جهت اجرای پویش آنلاین دوره ای یا پیش-اجرایی ماشین های مجازی ارائه شده است. در حالیکه پویش های دوره ای در زمان های غیر فعالی میتوانند انجام پذیرند، پویش های پیش-اجرایی قبل از اجرای ماشین انجام میپذیرند(با تاخیر آغاز به کار ماشین ولی با استفاده از آخرین نسخه پویشگرها برای نتایج آپ تو دیت). ماشین های مجازی برای آسیب پذیری های نرم افزاری و با استفاده از ترکیبی از محصولات امنیتی کاملاً شناخته شده پویش میشوند.
بعلاوه، راه حل های پیشنهادی میتوانند یافته های جدید مرتبط را با ایمیل به مالک ها اطلاع دهند. با استفاده از یک API ، وسیله های مدیریتی دیگر میتوانند نتایج را بکار برند. برای نرم افزار موجود اهرم بندی، پیشنهاد ما مبتنی بر موتور شبکه Xen (XGE) و ایستگاه ایجاد تصویر (معرفی شده در انتشار های قبلی) میباشد. XGE یک وسیله نرم افزاری است که یا محیط های شبکه ای مجازی ایجاد میکند و یا بعنوان یک میان افزار IaaS ابر عمل میکند. ICS راهی آسان برای کاربران پیشنهاد مینماید تا ماشین های مجازی را (در محیط های که قبلا ذکر شد) ایجاد، نگهداری و استفاده نمایند. یک مجتمع سازی به ICS (شایان تقلید)، با علامت گذاری ماشین های مجازی( که شامل بسته های منسوخ در لیست های ماشین های مجازی هستند) و ارائه جزییاتی درباره ی آپ دیت های در دسترس در نمایش جزییات میباشد و به XGE ، که نمیگذارد ماشین های مجازی دارای بسته های منسوخ شروع به کار کنند. فرآیند پویش OPS یا با ICS تحت عنوان یک اجرای تعمیر و نگهداری دوره ای یا (در صورت مورد قبول بودن بالاسری اضافی) با XGE بعنوان یک چک کردن پیش-اجرایی که احتمالا نمیگذارد یک ماشین مجازی شروع بکار نماید. به عنوان یک آلترناتیو برای جلوگیری از شروع بکار ماشین های مجازی، این ماشین های مجازی میتوانند بطور معمول شروع بکار نمایند و به مالک اطلاع داده میشود که ماشین در حال اجرایش بطور بالقوه غیر امن است. و این به اجرا کننده ها با ارائه یک بررسی کلی از ماشین های مجازی اجرا نشونده شان کمک میکند وهمچنین با اطلاع دادن مشکل به کاربران بدون تجربه در زمینه ی نگهداری و تعمیر سیستم (مثلا دانشمندانی که ماشین های مجازی متداول را برای اجرای کارهایشان میسازند) کمکشان مینماید. این مقاله ادامه دارد...........ترجمه itrans.ir
در سیارک بخوانیم: