現在企業在IT部署上已經大規模實施虛擬化技術,而微軟的虛擬化平臺Hyper-V憑借和Windows Server的捆綁,市場份額不斷攀升。這里我們總結一下企業部署Hyper-V虛擬化的最佳時間,企業運維人員可據此管理Hyper-V服務器和虛擬機以保證Hyper-V環境安全運行。
在Server Core上安裝Hyper-V角色
在Server Core操作系統上安裝Hyper-V角色,而不是使用完整版本的Windows Server操作系統。因為Server Coer沒有GUI圖形界面,這樣可以最小化管理操作系統的攻擊面。在Hyper-V物理服務器上使用Server Core還可以提高系統運行時間,因為有更少的組件需要Windows更新。
Hyper-V服務的登錄憑證
千萬不要改變Hyper-V服務器的默認登陸安全設置。
啟用Windows防火墻
在Windows服務器上啟用Hyper-V角色時,服務器管理器還將啟用所需的Hyper-V防火墻規則來保護通信安全。Hyper-V服務器安裝客戶端或者服務器應用需要防火墻開放相關端口,這將導致靜態端口監聽。通常可以通過修改默認監聽端口來提高網絡訪問的安全性。
Hyper-V存儲默認配置
在生產環境中部署前,一定要檢查Hyper-V的存儲默認配置。默認情況下,Hyper-V將虛擬機文件存儲在本地驅動器上。通常企業會部署專用的存儲服務設備如NAS或者SAN來提高存儲性能,這個時候我們就需要修改Hyper-V虛擬機默認存儲的路徑。
使用BitLocker加密保護Hyper-V和虛擬機文件
你必須保護Hyper-V和虛擬機文件。因為虛擬機內容存儲在VHD文件中,任何訪問該VHD文件的人都能掛載VHD文件并訪問其內容。BitLocker是內置在Windows操作系統中的,建議對Hyper-V物理服務器和虛擬機文件的存儲卷啟用BitLocker。即使在服務器關閉,BitLocker保護仍有效。即使磁盤被偷,上面的數據仍受保護。BitLocker還能防止攻擊者使用不同的操作系統或運行軟件黑客攻擊來訪問磁盤內容。
注意:只在Hyper-V管理操作系統中使用BitLocker驅動器加密。不要在虛擬機上運行BitLocker驅動器加密。BitLocker驅動器加密是不受虛擬機支持的。
不要使用內置管理員帳戶
不應該使用默認的本地管理員賬戶來管理Hyper-V和虛擬機。通常企業都會部署域服務器,通過域服務器創建新的活動目錄組,使用授權管理器管理虛擬機任務。通過域控制器來實現賬戶的管理和權限分配。
虛擬機安裝最新的集成組件
集成組件提供VMBUS和VSP/VSC,確保虛擬機和Hypervisor之間的通信安全和性能提升。每次Hyper-V發布都會帶來最新的集成組件,你需要做的是從微軟網站上下載最新的集成組件并更新所有的虛擬機。通過更新的集成組件會提供更高的虛擬機性能表現和更多的虛擬機操作系統支持。
不要在Hyper-V服務器上安裝應用
千萬不要在Hyper-V服務器上安裝應用程序。Hyper-V服務器只用來支持Hyper-V活動。在Hyper-V服務器上安裝不必要的應用會影響Hyper-V進程,產生安全威脅。
基于業務性質隔離虛擬機
在部署虛擬機時,避免為其分配非真正的業務功能。如果你安裝了這類虛擬機,并且其他虛擬機共同連到某個Hyper-V虛擬交換機上,你必須將其斷開。
保護快照文件安全
快照是某個時間點的虛擬機狀態,也就是虛擬機的備份。建議將你所創建的所有快照文件與其相關的VHD文件存儲在一個安全的位置。
加強虛擬機操作系統
你必須從基本操作系統映像模板部署虛擬機,這樣你就可以確保所有虛擬機部署的安全基線。
啟用審計
文件系統安全可防止對關鍵虛擬機VHD文件的非法訪問。啟用對象訪問審計可以幫助檢查潛在的危險活動。
京公網安備 11010502049343號