全部博文(221)
2012年(221)
分类: 云计算
2012-08-02 09:54:26
大多数情况下,私有云和传统的数据中心在安全性方面拥有很多相同的特性和要求。本文紧承上篇,进一步讲解微软私有云的安全问题。
使用BitLocker卷加密
BitLocker是通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用主板上TPM芯片提高了安全级别,能够确保计算机在无人参与、丢失或被盗的情况下也不会被篡改。
在所有的部署方案中,BitLocker都扮演着举足轻重的作用。特别是服务器在安全方面没有太多的保障的时候,比如服务器放置在中小型企业或者一些分支机构,BitLocker就显得更加重要。在入侵者试图加载另一个操作系统来直接访问硬盘,想要绕过Windows操作系统的安全控制, BitLocker可以帮助你避免离线攻击,它对硬盘进行了加密,由于替代访问硬盘的OS没办法破解硬盘的加密信息,所以离线攻击失败。
你可以使用BitLocker来加强操作系统核心组件的安全性,你也可以使用BitLocker来确保存储虚拟机硬盘的安全性。总之,使用BitLocker来保证数据中心所有Windows 托管资产的安全性是一个不错的方法。
不要在主机操作系统上运行应用程序和服务
主机操作系统可以提供托管应用程序的环境,这里指的是Hyper-V。在主机操作系统不建议安装与虚拟化环境不相关的应用程序或者服务。这是使用Server Core安装的优势之一,机器上不支持使用Web浏览器,也不可能安装一些不支持运行在Server Core中的应用程序和服务。
现在很多企业都试图花少钱,办更多的事。它们可能会考虑在Hyper-V主机操作系统上安装一些低成本的服务比如DNS、DHCP或者认证服务。千万不要这么做,在主机操作系统上每安装一个应用程序或者服务,意味着遭受攻击的风险更高,主机操作系统也需要更多的更新。如果你确实需要运行一些额外的服务,可以在主机操作系统托管的虚拟机中运行它们。
专用于管理的NIC
您的Hyper-V虚拟服务器将会提供多个物理网络接口。其中有的网络接口连接到业务网络,有的网络接口连接到服务器,有的网络接口可能会连接到DMZ,还有的网络接口可能会连接到合作伙伴的网络。物理网络接口可以绑定这些虚拟机来实现资源的按需连接,这些接口不该被安排相应的IP地址信息,网络上的任何主机都不能访问这些接口。它们专用于虚拟机。
除了这些接口外,你需要一个管理接口,这些管理接口拥有对应的IP地址信息,使用具有高安全级别的Windows 防火墙来连接接口,IP地址可以控制访问权限。此外,在使用IPsec认证和加密来连接管理接口的时候,你需要网络级别的认证和加密。