安全是当今IT组织最关心的问题之一。在生产环境中实施任何新的技术之前,IT管理员必须考虑技术安全性,并确保将攻击面降到最低。
今天我们来看看国外serverwatch网站盘点的15个Hyper-V安全最佳实践,管理员可据此管理Hyper-V服务器和虚拟机以保证Hyper-V环境安全运行。
在Server Core上安装Hyper-V角色
作为安全最佳实践,记住,要在Server Core操作系统上安装Hyper-V角色,而不是使用完整版本的Windows操作系统。因为Server Coer没有GUI,因此将攻击面降到了最低;没有Hyper-V管理客户端文件,奸商了文件攻击面。在Hyper-V物理服务器上使用Server Core主要有下面三大安全优势:
- 最小化管理操作系统的攻击面。
- 减少电脑痕迹。
- 改善了系统运行时间,因为有更少的组件需要Windows更新。
Hyper-V服务的登录凭证
千万不要改变Hyper-V服务器的默认安全上下文。报警可能会导致Hyper-V停止运行。改变Hyper-V服务器的上下文还可能允许其他人控制整个hypervisor。
阻止不必要的端口
Hyper-V服务器上的其他角色/服务不需要实现。安装客户端/服务器应用将导致静态端口监听。时常检查Hyper-V服务器上的端口监听,并按需阻止。
Hyper-V默认配置
在生产环境中部署前,一定要检查Hyper-V的默认配置。默认情况下,Hyper-V将虚拟机文件存储在本地驱动器上。
在父分区上使用BitLocker加密
BitLocker是内置在Windows操作系统中的,建议对Hyper-V和虚拟机文件的存储卷启用BitLocker。即使在服务器关闭后,BitLocker保护仍有效。
即使磁盘被偷,上面的数据仍受保护。BitLocker还能防止攻击者使用不同的操作系统或运行软件黑客攻击来访问磁盘内容。
注意:只在Hyper-V管理操作系统中使用BitLocker驱动器加密。不要在虚拟机上运行BitLocker驱动器加密。BitLocker驱动器加密是不受虚拟机支持的。
不要使用内置管理员帐户
不应该使用默认的本地管理员账户来管理Hyper-V和虚拟机。相反,创建新的活动目录组,使用授权管理器管理虚拟机任务。
在Hyper-V服务器上安装反病毒软件
安装杀毒软件捕获Hyper-V服务器上的恶意活动。还必须配置防病毒工具定期接收更新。
安装最新的集成组件
集成组件提供VMBUS和VSP/VSC,确保虚拟机和hypervisor之间的通信安全。每次Hyper-V发布都会带来最新的集成组件。你需要做的是从微软网站上下载最新的集成组件并更新所有的虚拟机。
不要在Hyper-V父分区上安装应用
千万不要在Hyper-V服务器上安装应用程序。Hyper-V服务器只用来支持Hyper-V活动。在Hyper-V服务器上安装不必要的应用会影响Hyper-V进程,产生安全威胁。
保护Hyper-V和虚拟机文件
你必须保护Hyper-V和虚拟机文件。因为虚拟机内容存储在VHD文件中,任何访问该VHD文件的人都能挂载VHD文件并访问其内容。
断开没在使用的虚拟机
在部署虚拟机时,避免为其分配非真正的业务功能。如果你安装了这类虚拟机,并且其他虚拟机共同连到某个Hyper-V虚拟交换机上,你必须将其断开。任何访问非功能性虚拟机的人可以通过网络或其他方式对生产环境进行访问。
启用Windows防火墙,阻止不必要的防火墙规则
在Windows服务器上启用Hyper-V角色时,服务器管理器还将启用所需的Hyper-V防火墙规则来保护通信安全。你必须确保Hyper-V服务器上没有启用其他的防火墙规则。检查Hyper-V服务器上的Windows防火墙,阻止不必要的防火请规则。
保护快照/关卡文件安全
快照是某个“时间点”的虚拟机状态。建议将你所创建的所有快照/关卡文件与其相关的VHD文件存储在一个安全的位置。
加强虚拟机操作系统
你必须从基本操作系统映像模板部署虚拟机,这样你就可以确保所有虚拟机部署的安全基线。你还必须确保在操作系统中安装了防病毒产品,另外禁用任何不必要的组件。
启用审计
文件系统安全可防止对关键虚拟机VHD文件的非法访问。启用对象访问审计可以帮助检查潜在的危险活动。