2、基于主机和硬件的安全设置
(1).将主机与其来宾隔离
当构建一个虚拟服务器的时候,我们应该慎重配置网络组件。虚拟服务器应该有足够多的网卡,把虚拟机的网络适当分段,但是不应该把拥有多种网络安全性区域的不同虚拟机放置在同一台主机上。最好的解决方法是把具有相似角色和相似安全需求的虚拟来宾放到同一台主机上。
我们应该把主机的网络从它的来宾中隔离出来,这样只有授权用户能够通过可信赖的网络访问主机。要这样做,最好的方法是有一块网卡,连接到一个隔离的、专门用于管理的网络上。但是,如果不可能做到的话,应该使用一些技术,例如VLAN、IPsec、VPN、SSL以及包过滤,来限制哪些用户能通过网络连接到主机。
当涉及到加固虚拟来宾操作系统的情况时,我们可用与加固物理计算机的相同方法。虚拟机的一个优势是:因为它们处于一个固定的硬件环境中(虚拟化硬件驱动程序总是相同的),所以我们可以针对使用的不同服务器角色,轻松地构造经过加固的基线模板。。但是一定要小心地保护这些模板,以防它们遭到破坏,而且要使用类似Offline Vitual Machine Servicing Tool这样的工具给它们打上最新的补丁,使之达到最新状态。系统加固是一项耗费时间因而经常被忽略的任务。通过使用预先加固过的操作系统模板,可以确保每个新虚拟机都满足预先确定的基准要求。
正如大家所知,与虚拟机有关的最大风险是任何能够访问到虚拟硬盘的用户可以安装它们并绕过来宾操作系统的安全机制。防止这一风险的一种方法是在来宾操作系统上实施磁盘加密,至少对敏感数据加密。微软的加密文件系统(EFS)是保护数据的一个不错的解决方案。假如虚拟来宾系统上的数据是高度敏感的话,一些全盘加密技术,如Bitlocker也是可以采用的。
(2).与硬件相关的安全设置
我们可以对虚拟机轻松地增加或删除硬件设备。因此,好的做法是只在必要的时候连接设备,且在用于生产时删除它们。这一策略对于映射到主机的光驱这样的设备尤其重要,因为来宾虚拟机也能够访问插入到主机光驱中的光盘。
另外,当我们配置虚拟机的硬件时,还应该限制处理器的使用。默认情况下,一台虚拟机能够使用100%的物理主机的处理器,这就意味着某人有可能对一台虚拟机实施拒绝服务DoS)攻击,而对该系统上的所有其它虚拟来宾都有影响。限制CPU的使用可以确保留下够的CPU周期来保证主机和其它虚拟机继续运行。最后,因为在Hyper-V Management Console中访问一台虚拟机就相当于物理地使用来宾操作系统的控制台,所以有必要严格遵循所有的安全性方面的最佳策略,例如设置带密码保护的屏幕保护以及在计算机不使用时注销。
