Hypervisor安全是虚拟数据中心安全的首要条件

日期: 2013-01-07 作者:Brien Posey翻译:杨旭 来源:TechTarget中国 英文

维护hypervisor安全是每个数据中心的首要任务。因为一台单主机服务器可能要处理几十个虚拟化的工作负载。单主机上的安全漏洞可能导致断电。不幸的是,目前还没有一个独立的、综合的安全解决方案可以担保数据中心的安全。

要确保良好的hypervisor安全性,需要多管齐下。你需要做很多方面的工作才能保护你的虚拟化服务器环境。   减少主机的受攻击面   确保虚拟数据中心安全的第一个步骤就是减少主机的受攻击面。这在Hyper-V环境中尤其重要。

因为Hyper-V通常作为角色安装在Windows服务器上。如果你的虚拟主机能使用主机操作系统,那么该主机操作系统中不能包含任何多余的角色、功能或者应用。主机操……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

维护hypervisor安全是每个数据中心的首要任务。因为一台单主机服务器可能要处理几十个虚拟化的工作负载。单主机上的安全漏洞可能导致断电。不幸的是,目前还没有一个独立的、综合的安全解决方案可以担保数据中心的安全。要确保良好的hypervisor安全性,需要多管齐下。你需要做很多方面的工作才能保护你的虚拟化服务器环境。

  减少主机的受攻击面

  确保虚拟数据中心安全的第一个步骤就是减少主机的受攻击面。这在Hyper-V环境中尤其重要。因为Hyper-V通常作为角色安装在Windows服务器上。如果你的虚拟主机能使用主机操作系统,那么该主机操作系统中不能包含任何多余的角色、功能或者应用。主机操作系统只能运行Hyper-V和重要的基础组件如杀毒软件或备份代理。

  另外,避免将操作系统加入到生产环境,对hypervisor的安全也有利。相反,你可以在专用活动目录林中创建一个专门的管理域来管理虚拟主机。该类型的域允许使用用到域成员的管理产品。但是你不用担心主机服务器被盗后会曝光你的生产域。顺便说一句,在虚拟主机管理域中可以使用物理域控制器。

  如果能避免使用主机操作系统最好,不能避免的话,微软推荐使用具有较少攻击面的Server Core 部署。另外,建议为主机操作系统使用专用的物理网络适配器,如此,流量管理就可以同虚拟机(VM)流量分离开来。

  使用虚拟防火墙加强hypervisor安全

  利用虚拟和软件防火墙也可以帮助确保hypervisor的安全。大多数hypervisor中,VM不直接与物理网络连接,相反,VM连接到一个虚拟交换机,该虚拟交换机与物理网络适配器连接。在这种类型的架构中,每个VM共享物理网络适配器和虚拟交换机。这意味着,如果两台VM需要相互交流时,数据包不用穿过物理网络。

  如果两台VM共享一个虚拟交换机,这两台VM之间可以直接沟通,数据不需要穿过物理网络,因此也不受硬件防火墙监控。克服这种缺陷的最好方法是创建虚拟防火墙(如果虚拟平台允许的话)或者在所有的VM上安装软件防火墙。

  控制资源预防拒绝服务攻击

  Hypervisor最大的安全威胁是拒绝服务攻击。在虚拟服务器环境中,几个VM共享主机服务器上有限的硬件资源池。如果其中的任何一台VM过度消耗硬件资源,那么其他的VM就不能正常运行。这中情况下,攻击者对单个虚拟服务器发动DoS攻击是非常容易的事情。

  防止虚拟环境遭受此类攻击的方法就是控制任何一台VM消耗过度的物理硬件资源。尽管管理员们通常会控制合理的内存消耗,但他们通常会忽略对其他硬件资源的合理掌控。

  管理员针对每一个hypervisor的实际掌控力大不相同。但是多数hypervisor都允许对一台VM消耗的内存和CPU时间进行限制。

  在很大程度上,确保虚拟数据中心安全就像确保物理数据中心安全。适用于物理环境的最佳安全实践大多数在虚拟环境中也有效。但是,管理员们也应该采取一些附加措施来维护Hypervisor安全,尤其是当主机操作系统运行在虚拟主机上时。

相关推荐