DesignPatterns:mechanisms/cloud based security groups
گروه های امنیتی مبتنی بر ابر
مشابه ساختن سد (dykes and levees) که آب را از زمین جدا می کند، حفاظت از داده ها با قراردادن موانعی میان منابع IT افزایش یافته است. جداسازی منابع ابر فرایندی است که موجب جداسازی محیط های فیزیکی و مجازی IT می شود برای گروه ها و کاربران مختلف ایجاد می شود. برای مثال، WAN یک سازمان می تواند با توجه به نیازهای امنیتی شبکه ی فردی تقسیم بندی شود. یک شبکه می تواند با یک دیوار آتش قابل انعطاف برای دسترسی به اینترنت خارجی ایجاد شود، در حالی که شبکه ی دومی بدون دیوار آتش ایجاد شود در حالی که کاربران آن داخلی هستند و نمی توانند به اینترنت دسترسی داشته باشند.
تقسیم بندی منابع جهت ایجاد مجازی سازی برای تخصیص انواع منابع فیزیکی IT به ماشین های مجازی استفاده می شود. تقسیم بندی منابع نیاز به بهینه سازی برای محیط های ابر عمومی دارد، زیرا مرز های قابل اعتماد سازمانی برای مصرف کنندگان مختلف ابر زمانی که منابع فیزیکی IT زیرین یکسانی را به اشتراک می گذارند با هم همپوشانی دارد.
فرایند تقسیم بندی منابع مبتنی بر ابر، مکانیزم های گروه امنیتی مبتنی بر ابر ی ایجاد می کند که که از طریق سیاست های امنیتی تعیین می شود . شبکه ها به گروه های امنیتی منطقی مبتنی بر ابر تقسیم بندی می شوند که به صورت محیط های شبکه منطقی هستند. هر منبع IT مبتنی بر ابر حداقل به یک گروه منطقی امنیتی مبتنی بر ابر واگذار می شود. هر گروه امنیتی منطقی مبتنی بر ابر قوانین خاصی معین می کند که ارتباطات میان گروه های امنیتی را کنترل می کند.
چندین سرور مجازی که بر روی یک سرور فیزیکی در حال اجرا هستند می توانند عضو گروه های امنیتی منطقی مبتنی بر ابر مختلفی شوند (شکل 1). سرور های مجازی مجددا می توانند به گروه های عمومی-خصوصی ، گروه های توسعه تولید، یا هر طراحی دیگری که توسط مدیر منبع ابر پیکر بندی می شود تفکیک شوند.
گروه های امنیتی مبتنی بر ابر مناطقی را که اقدامات امنیتی مختلفی می توانند استفاده کنند را تعیین می کنند . گروه های امنیتی منطقی مبتنی بر ابری که به درستی پیاده سازی شده اند کمک می کنند دسترسی غیرمجاز به منابع IT زمانی که امنیت نقض می شود محدود گردد. این مکانیزم می تواند برای کمک به شمارش عدم پذیرش سرویس، اجازه های ناکافی، و تهدید های هم پوشانی مرزهای قابل اعتماد استفاده شود، و وابستگی نزدیکی به مکانیزم محیط شبکه منطقی است.
شکل1- گروه امنیتی منطقی مبتنی بر ابر A شامل سرور های مجازی A و D است و به مصرف کننده ابری A اختصاص داده شده است. گروه امنیتی منطقی مبتنی بر ابر B شامل سرور های مجازی B و C و E است که به مصرف کننده ابری B اختصاص داده شده است. اگر گواهینامه مصرف کننده سرویس ابری A در معرض خطر قرار گیرد، مهاجم تنها می تواند به سرور های مجازی در گروه امنیتی مبتنی بر ابر A دسترسی داشته باشد و به آن ها آسیب بزند، در نتیجه از سرور های B و C و E حفاظت می شود.
منبع: http://cloudpatterns.org/mechanisms/cloud_based_security_groups