安全安装Hyper-V的最佳实践

日期: 2010-04-22 作者:Eric Beehler翻译:李哲贤 来源:TechTarget中国 英文

所有人都了解,在今天这个互联的世界里,服务器需要额外的安全保护措施。而在加入了Microsoft Hyper-V虚拟化之后,安全保护方面也随之需要更多的关注,因为现在我们有多个虚拟机运行于同一台物理主机操作系统之上。   可能遭受攻击的对象从多台物理主机延伸到运行了多个虚拟机的单台物理主机。因此用户不仅需要关注那些像单个主机一样运行着的虚拟机的安全标准,还需要考虑这些虚拟机所在的物理主机的安全设置。

  可能很多人还在争论安装不同的虚拟化架构后,其安全特性的优缺点。而本文只针对在您选择了Hyper-V架构后,安装时需要注意的内容。   网络保护   首先需要考虑的就是网络问题。Hyper-V虚……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

所有人都了解,在今天这个互联的世界里,服务器需要额外的安全保护措施。而在加入了Microsoft Hyper-V虚拟化之后,安全保护方面也随之需要更多的关注,因为现在我们有多个虚拟机运行于同一台物理主机操作系统之上。

  可能遭受攻击的对象从多台物理主机延伸到运行了多个虚拟机的单台物理主机。因此用户不仅需要关注那些像单个主机一样运行着的虚拟机的安全标准,还需要考虑这些虚拟机所在的物理主机的安全设置。

  可能很多人还在争论安装不同的虚拟化架构后,其安全特性的优缺点。而本文只针对在您选择了Hyper-V架构后,安装时需要注意的内容。

  网络保护

  首先需要考虑的就是网络问题。Hyper-V虚拟机本质上运行在安装于主机系统的虚拟网络交换机架构上。而在所有的Hyper-V主机里都安装了三层虚拟网络架构:外部虚拟网络、内部虚拟网络和私有虚拟网络。这种从物理网络架构到Hyper-V主机设备上虚拟网络的延伸,使得用户不再可以把网络安全问题完全抛给网络管理员去考虑,而是需要综合考虑网络拓扑结构会对服务器造成的影响。

  最佳实践: 您需要把所有和管理相关的功能安装到完全独立的网络上。在VMware主机的虚拟架构中,把管理网络安装到独立的物理网络中是常见的做法,而在Hyper-V主机中我们也应该这么处理。这种架构允许我们把所有管理相关的数据链路都运行于一个只有管理员才可以访问的vLAN上。

  这非常重要,因为通过这种方式可以把对宿主机的管理放在一个单独的网络上,从而避免其曝露在虚拟机运行的网络中。

  当我们在定义Hyper-V中服务器的角色时,可以保留一块网络适配器专用于管理操作系统。 而利用这块保留的网卡,我们可以实现对管理数据流的分离。通过运行于一个独有的VLAN上,可以指定具有访问权限的人员和系统,例如设定为只有System Center Virtual Machine Manager或其他的第三方虚拟机管理系统可以访问。

Hyper-V

图1,Hyper-V Add Roles Wizard (点击看大图)

  如果您的物理主机是通过VLAN的方式实现隔离的,那么我们也可以把这种方式扩展到虚拟服务器上。例如,您可以设置一个前端网络用于生产系统服务器运行,另外设置一个独立的网络用于开发服务器使用。通过完成在虚拟机中的相关设置可以实现对VLAN功能的支持。

VLAN

图2,设置VLAN功能(点击看大图)

  虚拟硬盘文件(VHD)

  就像需要锁定对服务器硬盘的访问权限一样,我们也需要考虑对虚拟机硬盘文件的保护,VHD文件需要位于主机上受保护的区域内。默认情况下,VHD文件保存于%users%PublicDocumentsHyper-VVirtual Hard Disks目录下,而对该目录的访问权限也做了相对合理的设置。而问题是,很多管理员希望把某些VHD文件移动到不同分区的单独目录下,从而获得更好的性能,或者是需要获得超出操作系统主分区大小的额外空间的时候。

  最佳实践:无论您为VHD文件选择了哪个目录,请确保同时为该目录指定了正确的访问权限。

  • 管理员和系统需要获得对该文件夹、子文件和文件的完全控制权。
  • Creator Owner(创建者)需要获得对子文件和文件的完全控制权。
  • Interactive, Service以及 Batch需要设置特殊权限,包括创建文件/数据写入、创建文件夹/添加数据、删除、删除子文件夹和文件、读取属性、读取扩展属性、读权限、写属性以及写扩展属性。

  对虚拟机配置文件的锁定和保护也非常的重要。这些文件通常被保存在%programdata%MicrosoftWindowsHyper-V目录中,对于这些都非常小的配置文件而言这是一个非常合适的地方。然而在您需要额外保存该文件的时候(例如用于简单备份使用),请一定要确保对新的文件夹指定了和如上描述的VHD文件相同的访问权限。

  虚拟机所完成的功能?

  我们在部署虚拟机时,一定要考虑虚拟机本质上所完成的功能。

  考虑这个因素是为了避免把虚拟机暴露在不必要的风险之中,在同一主机上如果运行有低安全级别的虚拟机时,这种潜在风险就会存在。例如,没有人希望把后端数据服务器和最前端的防火墙服务器运行在同一台物理主机上。因为这样的话,一旦防火墙服务器被突破,整个宿主机都处于同等环境下,通过防火墙服务器上的网络可以直接连接到后端网络,甚至是物理上处于完全分离的子网络中的虚拟机,从而使整个系统都处于安全威胁中。

  最佳实践:把相同风险级别或应用角色的虚拟机放到同一物理主机上,从而降低潜在的风险。

  关于Server Core选项

  安装Server Core对于Hyper-V专属环境而言是一个非常完美的选择。Server Core是一个为远程管理而设计的,完全运行于命令行界面下的Windows Server 2008版本。从理论上看,这是一个非常伟大的想法,因为该版本中去掉了大量的可能受到攻击的界面接口,仅仅保留了对核心服务的安装。

  因此,我们有什么理由不选择这种服务器方式呢?在很多公司,是由于管理方式的变更和所需培训投入带来的影响。Server Core带来了一种全新的服务器管理方法,因此很多公司可能不愿意在时间和所需的培训上投入太多以支持这种新的模式。如果仅从安全角度决定,Server CoreHyper-V主机绝对是最佳选择,当然这种是否有价值的选择需要取决于每个IT架构的不同。

  当我们在安装Hyper-V系统时,从安全角度出发,有一些最重要的事情是一定要考虑到的。当然,仍然还有更多和管理员安全职责相关的问题我没有在文章中涉及,但对于初学者而言,起码要确保如上的这些最佳实践在您的Hyper-V安装过程中都做到了。

翻译

李哲贤
李哲贤

TT虚拟化特约作者

相关推荐

  • 云计算与虚拟化技术增加企业安全黑洞?

    虚拟化和云计算打破了目前的模式,你无法看到云计算中的基础设施,所以现有的针对网络和安全设备安全信息和事件监控/日志管理其实并没有实际意义。

  • 如何降低虚拟系统安全风险?

    虚拟化技术并非天生就不安全。然而,大多数虚拟化的工作负载其部署方式却是不安全的。MacDonald指出,由于……

  • 虚拟架构是如何影响安全的?

    数据中心的安全问题非常普遍又是一直存在的,偶尔引入的新元素往往需要管理员重新审视系统的安全策略。

  • 高级虚拟化之安全

    数据中心的安全问题非常普遍又是一直存在的,偶尔引入的新元素往往需要管理员重新审视系统的安全策略。虚拟基础架构仅仅通过变换现代数据中心的结构来做到这些。服务器虚拟化可以提供功能强大的操作模式以及其它很多优势。在运行虚拟基础架构时,物理服务器就变成可以归入到一个资源池中的计算资源。另外,服务器提供主体——终端用户交互方——就变成了虚拟机。资源池和虚拟服务提供主体之间的竞争改变了管理员看待数据中心安全的传统方式。