بازگشت
الزامات امنیتی
1398/8/1 چهارشنبه
جداسازی شبکه مدیریت ماشین‌های مجازی از شبکه سازمانی
الزام فنی امنیتی 
شناسه: TR98-007N

در راستای افزایش سطح امنیت از قرار دادن سامانه vCenter Server بر روی شبکه‌هایی به‌جز شبکه مدیریت اجتناب شود و اعمال محدودیت در مدیریت vSphere در یک شبکه خاص انجام شود. vCenter Server تنها نیاز به دسترسی به شبکه مدیریت دارد، بنابراین از قراردادن آن در شبکه سازمان، شبکه ذخیره‌سازی و هر نوع از شبکه‌هایی که به اینترنت دسترسی دارند اجتناب شود. لازم به ذکر است vCenter Server نیاز به دسترسی برروی شبکه‌هایی که مخصوص به عبور ترافیک vMotion هستند را ندارد.
vCenter Server نیازمند اتصال شبکه با سیستم‌های زیر است:
•    تمام ESXi Hostها
•    پایگاه‌داده vCenter Server
•    سایر vCenter Server‌ها (اگر vCenter Server بخشی از یک vCenter Single Sign-on Domain در راستای Replicate کردن Tag، Permission‌ها و امثال آن باشد)
•    سیستم‌هایی که مجاز به اجرای فرآیندهای مدیریتی هستند. به‌عنوان مثال، vSphere Client یک سیستم ویندوزی که در آن PowerCLI قرار گرفته است یا هر سیستم دیگری که بر پایه SDK کار می‌کند.
•    سیستم‌هایی که یک مؤلفه Add-on مانند VMware vSphere Update Manager اجرا می‌کند.
•    سرویس‌های زیرساختی نظیر DNS، Active Directory و NTP

برای سرویس‌های زیرساختی اعلام شده، باید سرور اختصاصی شبکه مدیریت vCenter راه‌اندازی شود. به‌عبارت دیگر علاوه‌بر AD سازمان، یک ماشین مجازی مستقل با نقش AD شبکه vCenter برای مدیریت کاربران/سرپرستان vCenter و تمام ESXi Hostها راه اندازی شود. ماشین مجازی vCenter و ماشین‌های ارائه‌دهنده سرویس‌های اختصاصی آن از قبیل DNS، Active Directory و NTP باید در یک کلاستر مجزا به نام management cluster قرار گیرند.
سیستم/ سیستم‌هایی که به‌عنوان vSphere Client برای دسترسی به vCenter و تمام ESXi Hostها مورد استفاده قرار می‌گیرد نیز باید تنها در شبکه مدیریت ماشین‌های مجازی قرار داشته باشد و به دیگر شبکه‌های سازمان متصل نباشد. همچنین باید از دیوار آتش محلی/ شبکه (برروی سیستم ویندوزی که vCenter Server در آن اجرا می‌شود) استفاده شود. محدودیت‌های دسترسی مبتنی بر آدرس IP مشخص شود تا فقط مؤلفه‌های لازم بتوانند با vCenter Server ارتباط برقرار کنند. 
افزونه‌های vSphere Client و vSphere Web Client با همان امتیاز کاربری که وارد می‌شوند اجرا شوند. یک افزونه مخرب می‌تواند به‌عنوان یک Plug-In مفید وارد شود و اقدامات مخربی نظیر سرقت اعتبارها یا تغییر پیکربندی سیستم را انجام دهد. جهت افزایش سطح امنیت باید افزونه‌های لازم فقط از منابع مورد اطمینان دریافت شود. به‌علاوه، استفاده از این افزونه‌ها گاهی اوقات منجر به امکان اجرای دستورات دلخواه با همان سطح مدیر شود که این اقدام نیز می‌تواند پر مخاطره باشد. برای محافظت بیشتر باید تمام افزونه‌ها به‌صورت دوره‌ایی بررسی شوند و اطمینان حاصل شود افزونه‌ها از منبع رسمی تهیه شده‌اند. 

باسپاس از آقای حاجی علیزاده از شرکت کهکشان نور در تهیه این گزارش
 

 
امتیاز دهی
 
 

آرشیو مطالب
نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 

پیوندها

پایگاه اطلاع رسانی دفتر مقام معظم رهبری

سایت ریاست جمهوری

پایگاه اطلاع رسانی دولت

مرکز ملی فضای مجازی


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.