所有人都了解,在今天这个互联的世界里,服务器需要额外的安全保护措施。 而在加入了 Microsoft Hyper-V 虚拟化之后,安全保护方面也随之需要更多的关 注,因为现在我们有多个虚拟机运行于同一台物理主机操作系统之上。
可能遭受攻击的对象从多台物理主机延伸到运行了多个虚拟机的单台物理主 机。因此用户不仅需要关注那些像单个主机一样运行着的虚拟机的安全标准,还需 要考虑这些虚拟机所在的物理主机的安全设置。
可能很多人还在争论安装不同的虚拟化架构后,其安全特性的优缺点。而本文 只针对在您选择了 Hyper-V 架构后,安装时需要注意的内容。
首先需要考虑的就是网络问题。Hyper-V 虚拟机本质上运行在安装于主机系统 的虚拟网络交换机架构上。而在所有的 Hyper-V 主机里都安装了三层虚拟网络架 构:外部虚拟网络、内部虚拟网络和私有虚拟网络。这种从物理网络架构到 Hyper-V 主机设备上虚拟网络的延伸,使得用户不再可以把网络安全问题完全抛给 网络管理员去考虑,而是需要综合考虑网络拓扑结构会对服务器造成的影响。
最佳实践: 您需要把所有和管理相关的功能安装到完全独立的网络上。在 VMware 主机的虚拟架构中,把管理网络安装到独立的物理网络中是常见的做法, 而在 Hyper-V 主机中我们也应该这么处理。这种架构允许我们把所有管理相关的数 据链路都运行于一个只有管理员才可以访问的 vLAN 上。
这非常重要,因为通过这种方式可以把对宿主机的管理放在一个单独的网络 上,从而避免其曝露在虚拟机运行的网络中。
当我们在定义 Hyper-V 中服务器的角色时,可以保留一块网络适配器专用于管 理操作系统。 而利用这块保留的网卡,我们可以实现对管理数据流的分离。通过 运行于一个独有的 VLAN 上,可以指定具有访问权限的人员和系统,例如设定为只 有 System Center Virtual Machine Manager 或其他的第三方虚拟机管理系统可以 访问。
Www.yunvn.com YunVN 运维网 运维管理专家
图 1,Hyper-V Add Roles Wizard (点击看大图)
如果您的物理主机是通过 VLAN 的方式实现隔离的,那么我们也可以把这种方 式扩展到虚拟服务器上。例如,您可以设置一个前端网络用于生产系统服务器运 行,另外设置一个独立的网络用于开发服务器使用。通过完成在虚拟机中的相关设 置可以实现对 VLAN 功能的支持。
Www.yunvn.com YunVN 运维网 运维管理专家
就像需要锁定对服务器硬盘的访问权限一样,我们也需要考虑对虚拟机硬盘文 件的保护,VHD 文件需要位于主机上受保护的区域内。默认情况下,VHD 文件保存 于%users%\Public\Documents\Hyper-V\Virtual Hard Disks 目录下,而对该目录 的访问权限也做了相对合理的设置。而问题是,很多管理员希望把某些 VHD 文件移 动到不同分区的单独目录下,从而获得更好的性能,或者是需要获得超出操作系统 主分区大小的额外空间的时候。
最佳实践:无论您为 VHD 文件选择了哪个目录,请确保同时为该目录指定了 正确的访问权限。
管理员和系统需要获得对该文件夹、子文件和文件的完全控制权。
Www.yunvn.com YunVN 运维网 运维管理专家
Creator Owner(创建者)需要获得对子文件和文件的完全控制权。 Interactive, Service 以及 Batch 需要设置特殊权限,包括创建文件/数据 写入、创建文件夹/添加数据、删除、删除子文件夹和文件、读取属性、读 取扩展属性、读权限、写属性以及写扩展属性。
对虚拟机配置文件的锁定和保护也非常的重要。这些文件通常被保存 在%programdata%\Microsoft\Windows\Hyper-V 目录中,对于这些都非常小的配置 文件而言这是一个非常合适的地方。然而在您需要额外保存该文件的时候(例如用 于简单备份使用),请一定要确保对新的文件夹指定了和如上描述的 VHD 文件相同 的访问权限。
我们在部署虚拟机时,一定要考虑虚拟机本质上所完成的功能。
考虑这个因素是为了避免把虚拟机暴露在不必要的风险之中,在同一主机上如 果运行有低安全级别的虚拟机时,这种潜在风险就会存在。例如,没有人希望把后 端数据服务器和最前端的防火墙服务器运行在同一台物理主机上。因为这样的话, 一旦防火墙服务器被突破,整个宿主机都处于同等环境下,通过防火墙服务器上的 网络可以直接连接到后端网络,甚至是物理上处于完全分离的子网络中的虚拟机, 从而使整个系统都处于安全威胁中。
最佳实践:把相同风险级别或应用角色的虚拟机放到同一物理主机上,从而 降低潜在的风险。
安装 Server Core 对于 Hyper-V 专属环境而言是一个非常完美的选择。Server Core 是一个为远程管理而设计的,完全运行于命令行界面下的 Windows Server 2008 版本。从理论上看,这是一个非常伟大的想法,因为该版本中去掉了大量的 可能受到攻击的界面接口,仅仅保留了对核心服务的安装。
因此,我们有什么理由不选择这种服务器方式呢?在很多公司,是由于管理方 式的变更和所需培训投入带来的影响。Server Core 带来了一种全新的服务器管理 方法,因此很多公司可能不愿意在时间和所需的培训上投入太多以支持这种新的模 式。如果仅从安全角度决定,Server CoreHyper-V 主机绝对是最佳选择,当然这 种是否有价值的选择需要取决于每个 IT 架构的不同。
Www.yunvn.com YunVN 运维网 运维管理专家
当我们在安装 Hyper-V 系统时,从安全角度出发,有一些最重要的事情是一定 要考虑到的。当然,仍然还有更多和管理员安全职责相关的问题我没有在文章中涉 及,但对于初学者而言,起码要确保如上的这些最佳实践在您的 Hyper-V 安装过程 中都做到了。
|