企業網D1Net摘錄信息要點:
1.選擇認證協議,以確保虛擬機實時遷移的安全性。
2.只有當Hyper-V服務器被加入到域中之后才能進行實施遷移。
3.在任何可能的情況下都需要避免使用CredSSP。
實時遷移是Hyper-V管理中的日常操作之一。作為Hyper-V管理員,對Hyper-V部署進行恰當地配置以確保為虛擬機實施遷移提供一個安全環境是十分重要的。
你需要做出的最重要的一個決定就是選擇認證協議,以確保虛擬機實時遷移的安全性。微軟提供了Kerberos和憑據安全支持提供程序(CredSSP)兩種選擇。微軟推薦在所有可能的情況下盡量使用Kerberos(使用限制性的授權)。Kerberos比CredSSP更加安全,并且不受CredSSP認證的單跳限制。
因為CredSSP協議沒有Kerberos安全性高,并且單跳限制會帶來很多邏輯上的挑戰。你可能會想知道為什么微軟仍然將其作為一個選項。
只有當Hyper-V服務器被加入到域中之后才能進行實施遷移。在大多數情況下,需要支持實時遷移的Hyper-V服務器都是通用活動目錄(AD)森林的成員。在這種情況下,你應該使用基于Kerberos的認證,Kerberos可以很好的用于通用域、甚至通用AD森林中的服務器認證。
如果Hyper-V服務器如果沒有位于一個通用AD森林中,那么將毫無意義。微軟設計的Windows Server 2012和Windows Server 2012 R2允許按照需求進行實時遷移。比如,你可以將一臺虛擬機從一個單獨Hyper-V服務器實時遷移到Hyper-V集群上。類似地,你也可以將一臺虛擬機從一個主機集群實時遷移到另外一個集群上。
在這些情況中,Hyper-V服務器有可能不屬于某個通用森林。比如,你可能需要將一臺虛擬機從開發環境森林遷移到生產環境森林。這種情況下,需要盡可能的使用Kerberos認證。但是,只有在森林間存在信任關系時Kerberos才能發揮作用(外部信任不行)。如果不存在森林間的信任關系,則只能使用CredSSP。
在任何可能的情況下都需要避免使用CredSSP。CredSSP會將憑證傳送到遠程電腦上以完成認證過程。問題是如果這些遠程電腦被挾持,那么這些憑證也會被挾持。根據微軟的定義,這些憑證可以用來獲取遠程會話的控制權。
隔離和加強虛擬機實施遷移流量安全
另外一種可以提升實施遷移安全的方式是為實時遷移使用專用網絡。這樣做可以提供一系列好處。首先,使用專用網絡可以改善實時遷移的性能 表現,因為實時遷移流量不會和其他類型的網絡流量形成競爭。其次,實施遷移過程會更加安全,因為實施遷移不會暴露到非專用網段當中。
當你在運行Windows Server 2012或者2012 R2 Hyper-V的服務器上配置實施遷移時,你可以使用任何的可用網絡或者任何IP地址進行實施遷移。
如果你選擇使用專用網絡進行實施遷移,那么網絡應該擁有專用IP地址段。比如,以192.168.1.0/16格式輸入的網絡。
你能做的另外一件是輸入特定Hyper-V主機的IP地址。當你輸入一個地址后(不論是網絡地址還是主機地址),都會賦予Hyper-V權限從某個特定源地址接受進入的實時遷移流量。顯而易見的是,你不想有人將惡意虛擬機實時遷移到Hyper-V主機上。所以, 你應該劃分出信任的Hyper-V服務器IP地址,來接受它們的實時遷移流量。
如你所見,當為Hyper-V部署虛擬機安全實時遷移時,有許多安全方面的最佳實踐需要考慮。作為最佳實踐,你需要盡可能的使用Kerberos認證,但是為了防止Kerberos認證被濫用,還需要使用受限制的授權。我還推薦為虛擬機實時遷移使用專用網絡和指明被允許加入實時遷移流程的單獨主機。
京公網安備 11010502049343號