在本周的聚集在微软播客采访Mike Schutz他是微软Windows服务器部门的产品管理总监,我们讨论了确保运行Hyper-V的服务器安全的相关步骤。你会发现微软有很多有用的资源(链接在本文的最后),Mike的采访也是了解Hyper-V安全性的好地方。
微软保护Hyper-V的最有价值的工具之一是Hyper-V安全指南。Hyper-V SG分三个步骤进行布局:加强Hyper-V、委托虚拟机管理和保护虚拟机。除了文档提供的内容之外,这里还有一些补充的想法和评论。查看文档以获得完整的详细信息。
硬化hyper - v。正如任何优秀的hypervisor必须做的那样,Hyper-V必须是一个尽可能薄的软件层,从而减少被他人或某些东西利用的攻击面。事实上,在VMware和微软虚拟化团队之间发生了一场有趣的争论谁的hypervisor不够瘦以及VMware ESX如何比Windows Server 2008拥有更多的安全补丁。(泰坦们打斗的时候不是很有趣吗?)
可能与我们个人能够做的事情更相关的是主机虚拟化操作系统的附加表面。Hyper-V将运行在一个完整的Windows Server 2008安装下,但这意味着有更多的组件必须加固,可能会被利用。坦白地说,你最好把Hyper-V服务器角色安装在Windows server 2008的核心服务器上,或者安装在Hyper-V服务器上(本质上是一样的)。服务器需要远程管理,但是您不会有任何其他不必要的软件。
您还需要在服务器上安装至少两个网络接口,其中一个专门用于管理访问,从而将管理网络流量与访问运行的虚拟实例的网络流量分离开来。当然,还要建立虚拟网络,以保持虚拟实例之间的流量隔离。
Hyper-V安全指南还有其他一些配置建议:
- 确定在何处存储虚拟机文件和VHDs。
- 决定给虚拟机分配多少内存。
- 限制处理器的使用。
- 仅为虚拟机配置所需的存储设备。
- 启用时间同步支持。
- 将具有类似信任级别的虚拟机放置在相同的物理计算机上。
- 删除退役的高安全VHDs。
- 安全存储快照文件。
委托虚拟机管理。基本上有两种选择;Hyper-V管理器,是Windows Server 2008管理器或系统中心虚拟机管理器的一部分。Hyper-V管理器是伟大的,因为它已经准备好去那里的Windows Server 2008盒(假设它不是一个核心服务器)和Hyper-V管理器可以用来管理Hyper-V盒是你的域的一部分。您还可以使用授权管理器授予其他管理用户一些管理Hyper-V的权限,而无需给他们完全的管理权限。虽然虚拟机管理器是一种非常方便的选择,而且对于小型安装非常有效,但是对于大型安装和组织来说,它更适合。
随着Hyper-V管理器所做的一切,虚拟机管理器带来了更多的功能。我特别喜欢的一个是web界面,它允许个人仅对他们的虚拟机进行自助服务管理。VMM还有许多与大型安装相关的其他功能,包括管理第三方VM产品(VMware、Xen),但我还没有机会实践该产品的这些部分。
保护虚拟机。现在我们开始讨论安全问题,比如正确地防火墙虚拟机操作系统和虚拟实例,对虚拟机资源应用访问控制、组策略和加密,必要的审计跟踪和修补虚拟机。除了使用BitLocker加密虚拟机操作系统的想法之外,这里没有太多需要添加的内容。在加密运行我的虚拟化环境的服务器的操作系统之前,我希望有更多使用BitLocker的经验。使用BitLocker需要TMP,请记住,它只加密虚拟机操作系统,而不是运行在虚拟机上的虚拟映像。
资源:hyper - v安全指南虚拟世界中的安全Windows虚拟化团队博客
像这样的吗?以下是米切尔最近的一些帖子。
最近的播客: 米切尔的书建议:
- 微软诺基亚的SharePoint和Exchange交易不错
- SharePoint吸引了《纽约时报》的注意
- BestBuy.com协作管理器引导SharePoint用户走向成功
- 使用SharePoint而不是电子邮件发送Excel文件的5个原因
- 苹果的多点触控平板电脑会抢去Windows 7多点触控的风头吗?
还可以访问米切尔的其他博客和播客:
- 开始SharePoint 2007管理:Windows SharePoint Services 3.0和Microsoft Office SharePoint Server 2007
- 开始Ruby:从新手到专业,第二版
- 开始c# 3.0:面向对象编程入门
- 编程。net 3.5
访问微软子网获取更多的新闻,博客,观点从网络上。报名参加每两周微软简报。(点击新闻/微软新闻警报。)