افزایش امنیت سرور مجازی به کمک مدل های Lock Down

افزایش امنیت سرور مجازی به کمک مدل های Lock Down

ارسال شده در تاریخ : ۲ مهر, ۱۳۹۵

افزایش امنیت سرور مجازی به کمک مدل های Lock Down

 

به صورت کلی Lock Down به این معنی می باشد که تنها vCenter بتواند با Host ها ارتباط بر قرار کند و هیچ کسی قادر نباشد به صورت مستقیم به Host ها Client بزند. این پروسه امنیت سازمان را بسیار بالا می برد. Lock Down زمان بسیار زیادی جزء قابلیت های vSphere بوده است و در تمام این مدت مدل های بسیاری از آن را مشاهده کرده ایم. از ورژن ۵٫۱ تا ورژن ۶٫۰ تغییرات بسیاری داشته است که این مطلب باعث شده تا علاقه کارشناسان امنیت سازمان ها به این قابلیت دوچندان شود. یکی از مواردی که بنده به تمام کارشناسان مجازی سازی پیشنهاد می کنم ، روشن کردن Lock Down در حداقل سطح امنیت آن یعنی Normal می باشد.

ابتدا باید بدانید به صورت کلی در vSphere 6.0 سه تعریف برای Lock Down وجود دارد :

Normal Lockdown
Strict Lock Down
Exception Users
Lock Down
یکی از مشکلاتی که برای ادمین های مجازی در رابطه با Lock Down وجود داشت این بود که این قابلیت یا می توانست روشن یا خاموش باشد و قابلیت دیگری برای کنترل آن وجود نداشت. در ورژن ۵٫۱ تنها کاربر Root می توانست به این کنسول بعد از روشن کردن Lock Down دست یابد اما از ورژن ۵٫۵ شما می توانستید به لیست DCUI.Access کاربران مورد علاقه خود را اضافه کنید.این کاربران لازم نبود تا Administrator باشند تا به DCUI راه پیدا کنند. اما از ورژن ۶٫۰ به بعد شما دیگر می توانستید هم Normal Lock down و یا Strict Lock Down را بر اساس نیاز خود روشن کنید که این قابلیت در ورژن ۵٫x به سختی قابل پیاده سازی بود.

Normal Lock down
در این مدل از Lock Down سرویس (DCUI (Direct Console User Interface به هیچ وجه Stop نمی شود. اگر ارتباط بین vCenter و Host ها از بین برود، نمی توانید به صورت مستقیم به هیچ یک از Host ها متصل شوید. راه حل در این سناریو این است که کاربرانی که نام آنها در لیست DCUI.Access ( قابل پیاده سازی در قسمت Host Advanced Setting) می توانند به پشت کنسول هر سرور رفته و آن را Edit کنند. در نظر داشته باشید که کاربران موجود در DCUI.Access تنها برای موارد اورژانسی باید از قابلیت وارد شدن در DCUI استفاده کنند.

Strict Lock Down
این مدل از ورژن ۶٫۰ به مدل های مختلف Lock Down اضافه شده است و به صورت کلی سرویس DCUI را Stop می کند. در این سناریو اگر ارتباط vCenter با Host ها قطع شود ، کاربران نمی توانند از پشت کنسول نیز ارتباط را بر قرار کنند ، چون قادر به وارد شدن به کنسول نیز دیگر نمی باشند. تنها یک راه برای خارج کردن Host از Lock Down می باشد و آن روشن بودن SSH و یا Shell می باشد .پس در نظر داشته باشید اگر این مدل Lock Down را روشن کرده اید سعی کنید سرویس SSH را Start شده نگاه دارید تا در صورت قطعی ارتباط بین vCenter و Host ها بتوانید به هاست ها وصل شود.

نکته بسیار مهم این که در صورتی که ارتباط بین vCenter و Host ها قطع شود و شما نیز سرویس های SSH یا Shell را روشن نکرده باشید چه اتفاقی می افتد ؟ چگونه می توانیم ارتباطHost را برگردانیم ؟ هیچ راهی وجود ندارد و باید ESXi را دوباره نصب کنید.
نحوه روشن کردن Lock Down
برای پیاده سازی Lock Down مراحل زیر را مطابق شکل ها انجام دهید. این کار را از سه روش می توانید انجام دهید :

روش اول :

زمانی که می خواهید Host را در vCenter اضافه کنید در تب Lock Down Mode می توانید آن را روشن کرده و مدل آن را انتخاب کنید.

روش دوم :

بر روی هاست خود کلیک کرده و قسمت Manage بر روی Setting رفته و بر روی Security Profile کلیک کنید . صفحه را Scroll کنید تا به پایین قسمت Lock Down Mode برسید. بر روی آن کلیک کرده تا بتوانید آن را روشن و خاموش کرده و مدل آن را انتخاب کنید.

روش سوم :

با استفاده از DCUI می توانید این قابلیت را Edit کنید.smile icon

 

 

تماس با ما

هر سوالی داشتید با ما در میان بگذارید