安全安装Hyper-V的最佳实践
2010-4-23
【TechTarget中国原创】所有人都了解,在今天这个互联的世界里,服务器需要额外的安全保护措施。而在加入了Microsoft Hyper-V虚拟化之后,安全保护方面也随之需要更多的关注,因为现在我们有多个虚拟机运行于同一台物理主机操作系统之上。
可能遭受攻击的对象从多台物理主机延伸到运行了多个虚拟机的单台物理主机。因此用户不仅需要关注那些像单个主机一样运行着的虚拟机的安全标准,还需要考虑这些虚拟机所在的物理主机的安全设置。
可能很多人还在争论安装不同的虚拟化架构后,其安全特性的优缺点。而本文只针对在您选择了Hyper-V架构后,安装时需要注意的内容。
【TechTarget中国原创】所有人都了解,在今天这个互联的世界里,服务器需要额外的安全保护措施。而在加入了Microsoft Hyper-V虚拟化之后,安全保护方面也随之需要更多的关注,因为现在我们有多个虚拟机运行于同一台物理主机操作系统之上。
可能遭受攻击的对象从多台物理主机延伸到运行了多个虚拟机的单台物理主机。因此用户不仅需要关注那些像单个主机一样运行着的虚拟机的安全标准,还需要考虑这些虚拟机所在的物理主机的安全设置。
可能很多人还在争论安装不同的虚拟化架构后,其安全特性的优缺点。而本文只针对在您选择了Hyper-V架构后,安装时需要注意的内容。
网络保护
首先需要考虑的就是网络问题。Hyper-V虚拟机本质上运行在安装于主机系统的虚拟网络交换机架构上。而在所有的Hyper-V主机里都安装了三层虚拟网络架构:外部虚拟网络、内部虚拟网络和私有虚拟网络。这种从物理网络架构到Hyper-V主机设备上虚拟网络的延伸,使得用户不再可以把网络安全问题完全抛给网络管理员去考虑,而是需要综合考虑网络拓扑结构会对服务器造成的影响。
最佳实践: 您需要把所有和管理相关的功能安装到完全独立的网络上。在VMware主机的虚拟架构中,把管理网络安装到独立的物理网络中是常见的做法,而在Hyper-V主机中我们也应该这么处理。这种架构允许我们把所有管理相关的数据链路都运行于一个只有管理员才可以访问的vLAN上。
这非常重要,因为通过这种方式可以把对宿主机的管理放在一个单独的网络上,从而避免其曝露在虚拟机运行的网络中。
当我们在定义Hyper-V中服务器的角色时,可以保留一块网络适配器专用于管理操作系统。 而利用这块保留的网卡,我们可以实现对管理数据流的分离。通过运行于一个独有的VLAN上,可以指定具有访问权限的人员和系统,例如设定为只有System Center Virtual Machine Manager或其他的第三方虚拟机管理系统可以访问。
图1,Hyper-V Add Roles Wizard (点击看大图)
如果您的物理主机是通过VLAN的方式实现隔离的,那么我们也可以把这种方式扩展到虚拟服务器上。例如,您可以设置一个前端网络用于生产系统服务器运行,另外设置一个独立的网络用于开发服务器使用。通过完成在虚拟机中的相关设置可以实现对VLAN功能的支持。
图2,设置VLAN功能(点击看大图)
虚拟硬盘文件(VHD)
就像需要锁定对服务器硬盘的访问权限一样,我们也需要考虑对虚拟机硬盘文件的保护,VHD文件需要位于主机上受保护的区域内。默认情况下,VHD文件保存于%users%\Public\Documents\Hyper-V\Virtual Hard Disks目录下,而对该目录的访问权限也做了相对合理的设置。而问题是,很多管理员希望把某些VHD文件移动到不同分区的单独目录下,从而获得更好的性能,或者是需要获得超出操作系统主分区大小的额外空间的时候。
最佳实践:无论您为VHD文件选择了哪个目录,请确保同时为该目录指定了正确的访问权限。
- 管理员和系统需要获得对该文件夹、子文件和文件的完全控制权。
- Creator Owner(创建者)需要获得对子文件和文件的完全控制权。
- Interactive, Service以及 Batch需要设置特殊权限,包括创建文件/数据写入、创建文件夹/添加数据、删除、删除子文件夹和文件、读取属性、读取扩展属性、读权限、写属性以及写扩展属性。
对虚拟机配置文件的锁定和保护也非常的重要。这些文件通常被保存在%programdata%\Microsoft\Windows\Hyper-V目录中,对于这些都非常小的配置文件而言这是一个非常合适的地方。然而在您需要额外保存该文件的时候(例如用于简单备份使用),请一定要确保对新的文件夹指定了和如上描述的VHD文件相同的访问权限。
虚拟机所完成的功能?
我们在部署虚拟机时,一定要考虑虚拟机本质上所完成的功能。
考虑这个因素是为了避免把虚拟机暴露在不必要的风险之中,在同一主机上如果运行有低安全级别的虚拟机时,这种潜在风险就会存在。例如,没有人希望把后端数据服务器和最前端的防火墙服务器运行在同一台物理主机上。因为这样的话,一旦防火墙服务器被突破,整个宿主机都处于同等环境下,通过防火墙服务器上的网络可以直接连接到后端网络,甚至是物理上处于完全分离的子网络中的虚拟机,从而使整个系统都处于安全威胁中。
最佳实践:把相同风险级别或应用角色的虚拟机放到同一物理主机上,从而降低潜在的风险。
关于Server Core选项
安装Server Core对于Hyper-V专属环境而言是一个非常完美的选择。Server Core是一个为远程管理而设计的,完全运行于命令行界面下的Windows Server 2008版本。从理论上看,这是一个非常伟大的想法,因为该版本中去掉了大量的可能受到攻击的界面接口,仅仅保留了对核心服务的安装。
因此,我们有什么理由不选择这种服务器方式呢?在很多公司,是由于管理方式的变更和所需培训投入带来的影响。Server Core带来了一种全新的服务器管理方法,因此很多公司可能不愿意在时间和所需的培训上投入太多以支持这种新的模式。如果仅从安全角度决定,Server CoreHyper-V主机绝对是最佳选择,当然这种是否有价值的选择需要取决于每个IT架构的不同。
当我们在安装Hyper-V系统时,从安全角度出发,有一些最重要的事情是一定要考虑到的。当然,仍然还有更多和管理员安全职责相关的问题我没有在文章中涉及,但对于初学者而言,起码要确保如上的这些最佳实践在您的Hyper-V安装过程中都做到了。