微软虚拟化安全实施十步走

　　有句话叫做“压力越大，动力也就越大”。这句话用在企业信息化上非常合适。CIO和IT管理员都在绞尽脑汁地试图化解业务增长对IT部门的压力，虚拟化技术的出现帮了他们大忙。然而，虚拟化也带来了新的安全问题。本文将主要探讨实施微软服务器虚拟化技术所需要注意的十个安全要点。

　　值得一提的是，微软虚拟化服务器环境的受攻击范围包括但不仅仅限于操作系统、虚拟机管理程序(Hypervisor)以及分区等组件。

　　1 保护主机

　　这里所讲的主机包括了位于虚拟机管理程序底层的硬件和操作系统。要减小主机受攻击的可能性，较为常见的是给安全漏洞打上补丁。当然，简单的办法就是不要安装有漏洞的组件。要做到这一点，部署Windows Server Core是最好的办法。

　　Server Core是Windows Server的最小化安装版本。微软TechNet网站上对Server Core是这样描述的：

　　“不包含除必须功能外的任何不必要服务及其他功能。比如说，出于安全考虑，用户不可能通过域名系统(DNS)服务器来浏览互联网。因此DNS服务器其实不需要安装Windows IE浏览器。DNS服务器甚至也不需要图形用户界面(GUI)，因为通过Dnscmd.exe命令行，用户就能管理DNS的几乎所有方面。用户也可以远程使用DNS微软管理控制台(MMC)管理单元来管理服务器。”

　　但是Server Core也不是那么完美。由于缺少某些组件，一些第三方驱动程序和服务可能会无法正常运行。因此，如果用户面临这样的问题，最好还是部署完整版本。

　　2 加固MOS

　　除了主机外，用户还需要加固管理操作系统(Management Operating System，MOS)。MOS是Windows Server的另一个实例，其被管理员用来管理整个虚拟化环境。需要注意的是，MOS的安全加固程度总是与虚拟机上的信息敏感度密切相关。

　　除了MOS外，每个虚拟机操作系统也都需要用户保持同样的关注度，并采取针对服务器操作系统和服务器应用的相应安全措施。用户需要像对待物理服务器那样对待每台虚拟机。

　　此外，安装和配置反病毒软件时，要注意避免扫描下列文件：

　　● 虚拟机文件

　　● c：WindowsSystem32下的两个程序文件vmms.exe和vmwp.exe

　　如果没有将上述文件排除在反病毒软件的扫描过程之外，那么为虚拟机创建实例时可能会面临问题。

　　最后需要注意的是，MOS实例并不是生产服务器，千万不要在其上运行业务应用程序，或者用它来浏览互联网。用户只能将其用做虚拟机管理。

　　3 划分权限

　　出于安全和合规的考虑，企业的信息化管理要确保职责分离。比如说，Hyper-V管理员不应该有权管理虚拟机。微软提供了三种预定义的角色，帮助实现职责的分离：

　　Hyper-V管理员 有权对主机上所有虚拟机进行全局变更，并可以配置网络和存储方面。

　　委派的管理员 限制了管理员只能管理归其管理的主机或主机群，从而为管理员访问提供了更细化的机制。使用微软的System Center虚拟机管理器(VMM)，委派的管理员就能管理分配给自己的虚拟机，但是无权访问其他主机。

　　自助服务用户 可以按虚拟机或按虚拟机组来设定访问控制权。其不同于“委派的管理员”这个角色，因为“自助服务用户”允许在虚拟机层面分配权限，其控制权并不仅仅限于主机层面。

　　4 隔离权限

　　一般而言，企业CIO需要考虑将主机物理安全的管理与Hyper-V的管理隔离开来。换句话说，工程师可以维护主机硬件和操作系统，但不一定有权访问MOS。

　　在默认情况下，MOS本地管理员可以通过Hyper-V微软管理控制台(MMC)的管理单元访问MOS的管理功能。此外，MMC管理单元还提供了细化控制管理任务的功能。微软对此给出了操作列表(参见表1~表3)，你在隔离管理责任时可能会考虑采取这些操作。

　　5 文件安全

　　在默认情况下，虚拟机文件位于这两个文件夹中：

　　● %programdata%MicrosoftWindowsHyper-V

　　● %users%PublicDocumentsHyper-VVirtual Hard Disks

　　尤其值得关注的是以vhd、vhdd、vud和vsv为扩展名的文件。对于用户而言，无论是将这些文件留在默认位置，还是将其迁移到细化的文件夹结构中，都需要考虑用下列控制措施保护这些文件：

　　● 使用访问控制列表，确保服务和管理员的权限最小化，以阻止其他所有访问。

　　● 对上面所列的文件夹或者含有这些文件夹的卷进行加密。

　　● 确保拥有最新的备份。

　　● 启用审计机制。

　　实施访问控制措施时，要确保虚拟机管理员没有权限访问所有虚拟机。对每个管理员来说，他们只能访问自己所管理的虚拟机中的文件。

　　6 审计机制

　　审计内容包括文件访问和系统监控。与虚拟机、根分区配置和数据存储有关的所有文件都是审计对象。除了文件访问审计外，还可以使用微软System Center操作管理器或类似的监控工具，报告多余或高风险的行为。

　　7 打好补丁

　　物理服务器和虚拟服务器需要同样的管理、逻辑和物理控制措施，包括积极打补丁。为运行中的虚拟机打补丁很简单，在自动打补丁软件看来，它们与其他任何服务器没什么两样，但还没有运行起来的虚拟机又该如何打补丁呢？

　　将没有打上补丁的服务器添加到生产环境并不是好主意。然而，如果某个虚拟机被长期用于归档，那么其就有可能缺少关键的安全补丁。为此，微软TechNet提出了一个解决方案。

　　使用微软的虚拟机检修工具(VMST)3.0，就可以为任何存档的虚拟机进行更新、打补丁。使用这款工具需要下列其中一款产品：System Center虚拟机管理器2008 R2、System Center配置管理器2007 SP2或者Windows Server更新服务3.0 SP2。

　　需要注意的是，在更新这一服务器的过程中，请将其放置在安全的网段中，以保证其所存储的数据不被泄露。

　　8 物理隔离

　　对虚拟环境中的设备隔离需要将其从生产网络中分离出来。在虚拟化环境下，我们有两种隔离方法：物理方法和虚拟方法。

　　配置主机的最后一步是将主机及虚拟机连接到网络。为确保只有授权访问才能对敏感区域进行读写，网络隔离必不可少。这就需要在主机上至少安装两块网卡。

　　从最基本的层面来说，应通过连接到其中一块网卡的专用管理网段来访问MOS。如果使用虚拟局域网(VLAN)的话，这一步很简单，并且其已经为未授权的访问提供了第一道安全防线。而对于生产应用，则可以用额外的VLAN通过剩余的网卡连接到虚拟机。

　　配置Hyper-V服务器时，用户需要为虚拟机或MOS分配一块网卡。

　　9 隔离虚拟机

　　如图2所示，用户可以为虚拟网卡分配虚拟交换机。此外，用户还可以配置自己的虚拟交换机。

　　虚拟交换机可帮助Hyper-V保护和控制进出虚拟机的网络数据包。用户可以限制虚拟机和VLAN之间的通信。设置网络适配器时，你可以将某个虚拟交换机与该适配器绑定起来。

　　Hyper-V管理员可以为每个虚拟机创建一块或多块虚拟网卡，并将它们连接到虚拟交换机端口。虚拟交换机的功能类似物理交换机，包括允许创建VLAN以控制流量传输。用户可以建立三种类型的虚拟网络：内部网络、外部网络和专有网络。

　　内部虚拟网络无法访问外网，其主要用于虚拟机之间的通信。内部虚拟网络并不绑定到物理网卡，通常用于测试。

　　外部虚拟网络允许虚拟机和MOS通过物理网络与物理服务器进行通信。

　　专有虚拟网络提供了细化的网络隔离，允许管理员控制同一主机上虚拟机之间的通信流量。很多虚拟机并非总是有必要访问其他虚拟机终端。在这种情况下，就要对它们进行隔离。

　　10 控制增长

　　如果没有被滥用的话，虚拟化一定是一种优秀的生产力工具。然而，操作是如此方便，使得人们会忍不住利用虚拟化技术自由创建虚拟服务器，而不遵守既定的变更管理流程。这种随意的行为使得安全监管付之东流。久而久之，失控的虚拟化会带来很大风险。

　　想要虚拟化实施的风险更低？用户需要做到以下方面：确保出现在网络上的任何服务器都能被识别，并确认已获得授权；制定一套政策，包括确保创建的所有虚拟服务器都遵守严格的变更管理流程。这里还是要强调，如果有合理的流程、控制措施和态度，就能有效控制虚拟机激增的风险。

　　沈建苗 编译