全部博文(221)
2012年(221)
分类: 云计算
2012-08-02 09:55:12
微软私有云是基于Hyper-V的虚拟化技术,存在很多安全性的风险因素。这里初步列出了一些最基本的安全常识:
•
• 使用Windows Server内核来减少更新
• 使用Bitlocker加密技术
• 不要在主机操作系统上运行应用程序和服务
• 将NIC专用于管理方面
• 不要混合安全区域
• 确保安装了Hyper-V集成服务
• 离线更新虚拟机镜像文件
• 合理使用管理员的授权
本文重点讲解最后四点:
l 将NIC专用于管理方面
l 不要混合安全区域
l 确保安装了Hyper-V集成服务
l 离线更新虚拟机镜像文件
l 合理使用管理员的授权
1、不要混合安全区域
Hyper-V的集群中可以实现自动删除虚拟机的功能,从内存、处理器或者网络的角度无法实现单个服务器的加载。因此,你没办法弄清楚虚拟机在什么时间被部署在哪里。不同安全区域的虚拟机可以被重新安装在相同的主机虚拟服务器上。
在设计Hyper-V集群的时候,考虑下虚拟机上是否能运行这些负载。如果你的虚拟机可以提供远程服务,比如TMG防火墙、UAG SSL VPN服务器,或者基于RRAS的远程访问VPN服务器,你需要确保这些面向互联网设备的集群和那些不面向互联网的虚拟机能够兼容,比如SQL server 和SharePoint server。
2、确保安装了Hyper-V的集成服务
Hyper-V的集成服务可以用来处理很多事情,集成服务中最重要的职责之一是要确保虚拟机的时间要与主机操作系统保持同步。你可以在不同的时区里很方便地操作虚拟机,虚拟机的时间可以自动与主机操作系统保持同步,从而方便存储虚拟机的动态截图。
3、离线更新虚拟机的镜像文件
在私有云的部署环境中,您可以提供一个自服务的环境,方便用户配置自己的虚拟机。由于用户配置的是自己的资源,所以需要确保新虚拟机的镜像文件的安全性。
在非私有化的云环境中,在安装完操作系统后你需要立即运行Windows Update。你可以实现端到端的控制流程,以便于能够了解关键步骤的执行情况。在虚拟化环境中,那些缺乏安全意识的用户有可能会自己配置虚拟机,在更新虚拟机的时候可能操作不当。
你可以通过使用线下更新工具来更新虚拟机的模板,从而修复问题。虚拟机模板完成线下更新后,部署在模板上的虚拟机就可以及时修复安全漏洞。你可以使用Virtual Machine Servicing Tool (VMST)来完成。
4、合理使用管理员的授权
最后,确保合理使用管理员的授权。确保虚拟架构的管理员没有访问虚拟机操作系统的权限,运行在虚拟机上的操作系统管理员没有权限来访问虚拟架构。事实上,你可以考虑使用Role Based Access Control来执行更为精细的控制。您还可以使用Windows Server 2008 和 Windows Server 2008 R2的Authorization Manager用户来完成这个。
总结
总之,我们对微软私有云中管理程序安全性方面可能存在的一些主要问题进行了全面分析。大多数情况下,私有云的安全需求和传统数据中心很相似。由于大多数私有云的部署会将虚拟化技术当成一种有利的技术,安全需求和注意事项之间最明显的区别在于管理程序的安全。通过我们为大家分享的安全事项,您可以进一步提高微软私有云解决方案的整体安全性。