微软云计算介绍与实践(介绍之七)
2014-06-06 16:10
155 查看
本来“微软云计算介绍与实践”系列中的“介绍”这个版块差不多到了关闭阶段,昨天有网友要求介绍一下云计算平台的安全解决方案或思路,我今天就补充一些,很显然,这都是没结合具体项目在纸上谈兵,所以不可能有良好的逻辑或条理,自然也就不可能足够详细和可操作。
微软云计算平台方面的安全解决方案,主要围绕着云计算平台项目需求调研,设计,实施,运维管理,响应和终止几个阶段来展开的。今天只能介绍一下运维管理方面。而运维管理,主要又从帐号及权限管理,资源池安全管理,安全审计和漏洞管理这几个方面来着力。
一、帐号及权限管理
Active Directory最早在1996年出现,并在Windows 2000中首次问世,并历经Windows 2003/2008/2012的演化,目前AD已成为微软帝国产品和服务体系中一个基础且重要的部分,他对整个IT业界产生了深远影响。它提供了一套为分布式网络环境设计的目录服务,使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。此外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
基于Windows Server 2012构建的活动目录融合了全新的技术特点,具有以下的功能:
1.1、DNS 集成
活动目录使用域名系统( Domain Name System ,简称 DNS )。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS域和 Windows Server 2012 的域自然而有机的结合在一起,使得整个目录结构成树型分布,具有了 DNS 的层次感觉,也使得 Windows Serever 2012 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。
1.2、目录定位服务
通过 DNS 服务中的 Service Resource Record ( SRV RR )记录公布提供目录服务的服务器地址, SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中,随着目录复制而达到 DNS 复制的目的。
1.3、全局唯一的用户名
在域内一个用户对象只能有一个用户主名,而这个用户名是可以用username@domainname 表示的,就好比一个用户的 mail 地址一样。正是具有了这个特性,才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。
1.4、可扩展性
活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。
1.5、灵活的查询
用户和管理员可以使用 " 开始 " 菜单上的 " 查询 " 命令、桌面上的 " 我的网络 " 图标或者 " 活动目录用户和计算机连接 " 插件来根据对象的属性快速的查找网络上的对象。
1.6、身份联合
ADFS (活动目录身份联合)提供了基于 Web 的 extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务,从而提高了在涉及 B2C extranet、intracompany (多森林的) 联盟和 B2B internet 联盟的场景中、现有活动目录部署的价值。
1.7、基于策略的管理
组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象( Group Policy Object ,简称 GPO )中,它可以应用与活动目录站点、域或组织单元中。 GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。
1.8、提供单一身份验证
在利用企业网的目录管理服务提供单一的用户身份验证方面,总的来说,存在两方面的应用连接方式:
C/S 应用的连接方式
WEB 应用的连接方式
其中,WEB应用的连接方式 比较统一,解决方法也比较成熟,而 C/S 应用的连接方式就比较复杂,需要根据特定的应用具体分析,举例来说,Domino/Notes 系统就是典型的 C/S 应用。 在综合了所有解决方案之后,通过对安全性,用户使用的方便性,管理要求,实现技术的成熟性几方面的比较,最后推荐使用登录信息代理方式解决单一用户登录,统一认证(SSO)的问题。这种方式的实现原理如下:
应用的登录信息存储在目录数据库( AD )中,通过 AD 的用户认证得到保护。在应用系统登录时从 AD 中获得相关信息进行登录。这个过程通过 SSO 插件透明进行,从而实现 SSO 。
1.9、UNIX 身份管理
通过将 AD 域控制器作为主 NIS 服务器,并同步 Unix 和 Windows 环境中的用户密码,UNIX 集成有助于在操作系统间建立不间断的用户访问和有效的网络资源管理。
二、资源池安全管理
云平台的基础还是传统的IT环境,资源池与网络设备面临的风险和威胁和传统的IT环境没有什么太大不同,这里不多说。由于采用的云服务模式、运营模式和云计算一些新技术的引入,云计算会比传统的IT环境给企业带来更多的风险。对于企业而言,安全需求主要是从网络层安全、虚拟层安全、操作系统层安全、应用层安全和数据层安全五个层面提出。
其中,虚拟层安全要求涉及架构安全、身份鉴别、访问控制、安全审计、边界完整性检查、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面的新要求;操作系统层则涉及入侵防范、恶意代码防范、资源控制等方面的新要求。
企业云平台业务的核心部分是构建在Windows Server 2012之上的Hyper-V虚拟机。Hyper-V作为Windows Server 2012中的一个重要服务器角色,除了提供了虚拟机的运行平台之外,还在设计之初就考虑到了虚拟机以及虚拟化层的安全加固问题,通过遵循微软最佳实践来进行Hyper-V服务器角色的安装与配置(包括网络与存储)可以保证最大化程度的减少运行Hyper-V服务的主机的受攻击面。
除了作为虚拟化平台的Hyper-V的安全性,运行在其之上的虚拟机的安全也是必须要考虑的问题。通过一系列的虚拟机加固手段(包括虚拟机配置、操作系统更新、文件系统权限、加密、审核),也可以保证虚拟机的安全性。
另外,System Center Virtual Machine Manager(SCVMM)2012为虚拟机提供了集中式的全面管理。SCVMM 2012同样考虑到了如何保证在虚拟机管理过程中的不出现安全问题。除了最小化虚拟机管理权限外,VMM 2012可以为不同的管理人员非常细化的委派管理权限。使得每个人既可以顺利的使用、管理虚拟机,又可以最大程度的减少管理中出现的安全隐患。总的介绍如下:
2.1、最小化虚拟化平台被攻击面
在Windows Server 2012中安装Hyper-V服务器角色,会在云主机上进行下列操作:安装新的文件、安装新的服务以及修改当前的防火墙策略。
如下图是Windows Server 2012 Hyper-V架构:
在Windows Server 2012中的Hyper-V服务器角色后,所有的操作系统(宿主机、虚拟机)都将以虚拟机的形式运行。包括Windows Server 2012,这个操作系统将作为虚拟化平台的管理平台,之后被用来建立和配置虚拟机。
Hyper-V所提供的Hypervisor非常小,并且不允许任何第三方的代码在其上运行。Hypervisor作为Hyper-V平台中的核心组件,其实是一个位于硬件层与操作系统层之间的软件层。Hypervisor保证多个操作系统同时运行在一个单独的物理计算机之上。
由于任何被包含在Hyper-V中的未知安全隐患将导致运行在其平台之上的操作系统(包括宿主机和虚拟机)出现问题,微软已经全面、细致的测试过了Hyper-V的源代码保证风险的最小化。同时,Hypervisor组件在设计之初就按照最小化的需求进行设计,以降低复杂度,从而减少被攻击面。
2.2、宿主机操作系统安全
在安装宿主机操作系统时,可以做很多事情用以保证其安全。例如Windows Server 2012支持以内核模式安装,在这种模式安装后,用户将只会看到一个命令提示符,所有对操作系统的操作、配置均需要通过命令行完成。这使得被攻击面被大幅度降低。
其它可以减少攻击面的操作还包括:
安装操作系统及针对Hyper-V的补丁。微软会持续的对产品进行更新,用户可以通过多种途径方便的获取这些补丁。
通过远程方式管理宿主机。微软提供了可以安装在终端计算机上面的Hyper-V管理控制台,这允许用户通过远程方式连接到服务器进行所有的管理。
2.3、宿主机网络安全
在安装Hyper-V时,可以选择任何一个或多个物理网卡来建立一个外部网络供虚拟机使用。该方案建议至少保留一个物理网卡,不使用其作为虚拟机的连接,而仅作为宿主机的管理。这样可以保证宿主机的网络数据与虚拟机网络数据物理隔离,保证网络数据的安全。同时,在虚拟机网络出现问题时,仍然可以使用该物理网卡连接到宿主机进行管理,这就提升了Hyper-V平台的可靠性。
除了外部网络外,Hyper-V还支持内部和私有网络。用户可以按照需要建立各种复杂的网络连接,灵活的网络配置使得构建出的网络架构可以符合安全性的要求。
2.4、宿主机连接的存储
默认情况下,Hyper-V会将虚拟机及虚拟机配置文件放置在本地硬盘上。但出于安全考虑,用户可以随时任意调整这个存储位置,将虚拟机或者虚拟机配置移动到安全的地方,例如其它分区或者存储上。
另外,对于存储虚拟机和配置文件的地方,也需要考虑分配给其适当的访问权限。这可以通过Windows自带的文件用户访问列表轻易实现。这样可以避免所有的用户都可以直接访问到这些虚拟机文件或者配置,甚至把他们移动、***。
2.5、虚拟机安全
虚拟机的安全主要指的是运行在Hyper-V之上的虚拟机,必须进行全面的配置和检查,对于具有较高安全的IT环境,不推荐使用默认的虚拟机配置。以下内容均和减少攻击面有关,且都可以通过Hyper-V的管理控制台实现:
虚拟机的存放位置,处理器使用数量,内存分配,和存储的对应关系,时间同步,销毁,快照文件的安全性。
企业可以通过Hyper-V或者VMM 2012在后台直接对虚拟机进行管理,包括连接虚拟机、修改虚拟机配置等。通常,在一个较大的、较复杂的IT环境中,要想获得最优化的IT资源管理方式,权限的下放与委派是必不可少的。逐级的管理可以减轻管理人员工作负担,使得管理架构符合业务架构,提升管理效率,优化管理流程。
2.6、虚拟机管理的权限委派
Hyper-V和SCVMM 2012都可以进行针对虚拟机管理的权限委派。可以为不同的管理人员分配不同的用于管理的虚拟机以及不同的管理权限。一般来说,为了云主机的安全,我们将管理员分为两类:Hyper-V管理员以及虚拟机管理员。
2.7、虚拟机服务的管理权限
Windows还提供了针对服务的用户权限限定。Hyper-V和SCVMM 2012后端均由一系列服务支撑,保证这些服务的正常稳定是保证虚拟化平台和云主机运行正常的前提。
虚拟机门户的权限管理。另外,企业还可以仅允许管理人员通过门户站点对Hyper-V平台上的云主机进行管理。在这个门户中,可以像在图形界面中一样,对管理人员进行虚拟机管理的权限分配,包括能否建立虚拟机、能否修改虚拟机配置、如何修改、可以建立的虚拟机数量、能否打开或者关闭虚拟机、能否为虚拟机进行快照等等。当使用门户站点后,原有的虚拟机管理的安全性又得到了提升。
2.8、保护虚拟机
除了保护虚拟化平台以及虚拟机管理外,针对虚拟机本身的保护也是非常重要的。这可以防止虚拟机被故意、无意的***、移动或者复制。
通过审核追踪虚拟机资源;
通过加密虚拟机文件保护虚拟机; 通过文件系统的用户访问列表保护虚拟机。
三、安全审计
从安全审计对象来讲,企业安全审计应该包括网络设备、安全设备、网络协议、数据库、操作系统、基础应用服务、虚拟层等,至于它们的什么登录帐号、时间、源IP、目的IP、修改、配置操作等参数,我不在这里抄写了,不想被累死,也不想让大家看得晕死。针对审计对象,审计事件的信息遵循W7原则:
Who:哪个用户或应用启动了该审计事件
What:审计事件包含的活动内容
When:审计事件发生的时间
Where:审计事件发生在哪个系统
On What:哪些对象(文件、数据库、打印机等)参与了该事件
Where from:审计事件发起的源系统
Where To:审计事件的目标系统
四、漏洞管理
漏洞管理是一个重要的威胁管理内容,云服务引入漏洞管理的主要目的是帮助保护主机、网络设备,以及应用程序不受已知漏洞的攻击。需要建立漏洞管理流程以应对这些风险。漏洞管理模块管理的范围应包括:
IaaS使用者,便携终端员工和第三方合作者的个人电脑;
由第三方托管的系统、网络、主机、存储,以及应用程序;
企业拥有和运营的系统、网络、主机、存储,以及应用程序;
提供给客户的用于管理他们的虚拟基础设施的Web控制台或管理终端。
在这里,漏洞分为两种情况,一是指主机、网络设备、应用程序等存在的已知的问题;二是指人为导致的问题,例如安装了有潜在风险的应用或者进行了有潜在风险的配置。
(恭喜你,看文章到这里的IT宅男朋友,知道你辛苦了,也知道你坚持的不容易,为表感谢送你一点福利,请手工输入地址和密码
)
这些问题都会由于没有及时安装最新的补丁或者没有采用其它手段解决而成为整个系统中的潜在安全隐患。 而针对漏洞的管理则是指在最短的时间内发现漏洞并设法解决,并形成一套可重复的成熟流程,同时需要对该套流程的所有内容进行记录、生成最终报告。所以针对漏洞的管理可以分为两部分内容:漏洞的发现和漏洞的解决。以上两部分内容均可以通过微软的System Center Configuration Manager(SCCM)来实现:
4.1、漏洞的发现:
对于服务器的目前硬件配置现状的准确的收集以及展现,是服务器管理的重要方面,只有准确了解服务器的硬件配置状况,才能了解到主机现存的漏洞(包括有可能的配置失误、错误、应用性能瓶颈、应用功能缺失等),并根据运维采集的性能趋势数据,了解到潜在的问题及漏洞。
通过硬件配置的记录,再准确制定出硬件配置的维护、修复计划,可以清晰地帮助IT管理员掌握全面的服务器硬件资产信息及后续的行动计划。
此外,对于服务器目前的软件配置及漏洞状况,同样需要管理员通过自动化手段进行自动记录和统计。以便于管理员了解主机的具体应用部署及漏洞情况,清晰的了解软件目前的状态及其影响。
SCCM的软硬件资产管理功能是基于标准的硬件清单,即利用 Windows Management Instrumentation(WMI)来实现,SCCM提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据,其中也包括 BIOS 和机架外壳数据等。目前SCCM可以支持超过130种的WMI类型,可以获取丰富和准确地信息,而且SCCM可以提供灵活细致的清单。
尽管 SCCM 使企业能跟踪其服务器系统上几乎全部的软硬件资产,但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。通过使用通配符、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能,SCCM 使企业可以专注于他们所需的信息。通过跳过压缩和加密的文件,还可以减少系统资源的消耗。为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关。
4.2、漏洞的解决:
通过安装补丁:通过SCCM可以实现对系统中的宿主机、虚拟机、客户端计算机的操作系统自动的更新系统服务包(Service Pack)、补丁等。SCCM不光能够完成对操作系统的补丁管理,还可以实现对Office, IE浏览器,微软SQL Server, Exchange等应用软件的补丁,以及第三方杀毒应用、软件或者企业自开发的软件的补丁管理能力。
通过手动修复:SCCM还可以向所有计算机中分发并启动控制脚本,从而实现更多的内容的控制。包括修复计算机配置或者用户配置、***有潜在漏洞的文件、文档。
后续阶段,在SCCM控制台上,管理员可以看到每台计算机的补丁安装状况,也可以通过Web报表了解企业内部所有补丁安装状况。
本文出自 “星星落在我头上” 博客,请务必保留此出处http://staronmytop.blog.51cto.com/6366057/1423080
微软云计算平台方面的安全解决方案,主要围绕着云计算平台项目需求调研,设计,实施,运维管理,响应和终止几个阶段来展开的。今天只能介绍一下运维管理方面。而运维管理,主要又从帐号及权限管理,资源池安全管理,安全审计和漏洞管理这几个方面来着力。
一、帐号及权限管理
Active Directory最早在1996年出现,并在Windows 2000中首次问世,并历经Windows 2003/2008/2012的演化,目前AD已成为微软帝国产品和服务体系中一个基础且重要的部分,他对整个IT业界产生了深远影响。它提供了一套为分布式网络环境设计的目录服务,使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。此外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。
基于Windows Server 2012构建的活动目录融合了全新的技术特点,具有以下的功能:
1.1、DNS 集成
活动目录使用域名系统( Domain Name System ,简称 DNS )。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS域和 Windows Server 2012 的域自然而有机的结合在一起,使得整个目录结构成树型分布,具有了 DNS 的层次感觉,也使得 Windows Serever 2012 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。
1.2、目录定位服务
通过 DNS 服务中的 Service Resource Record ( SRV RR )记录公布提供目录服务的服务器地址, SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中,随着目录复制而达到 DNS 复制的目的。
1.3、全局唯一的用户名
在域内一个用户对象只能有一个用户主名,而这个用户名是可以用username@domainname 表示的,就好比一个用户的 mail 地址一样。正是具有了这个特性,才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。
1.4、可扩展性
活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。
1.5、灵活的查询
用户和管理员可以使用 " 开始 " 菜单上的 " 查询 " 命令、桌面上的 " 我的网络 " 图标或者 " 活动目录用户和计算机连接 " 插件来根据对象的属性快速的查找网络上的对象。
1.6、身份联合
ADFS (活动目录身份联合)提供了基于 Web 的 extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务,从而提高了在涉及 B2C extranet、intracompany (多森林的) 联盟和 B2B internet 联盟的场景中、现有活动目录部署的价值。
1.7、基于策略的管理
组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象( Group Policy Object ,简称 GPO )中,它可以应用与活动目录站点、域或组织单元中。 GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。
1.8、提供单一身份验证
在利用企业网的目录管理服务提供单一的用户身份验证方面,总的来说,存在两方面的应用连接方式:
C/S 应用的连接方式
WEB 应用的连接方式
其中,WEB应用的连接方式 比较统一,解决方法也比较成熟,而 C/S 应用的连接方式就比较复杂,需要根据特定的应用具体分析,举例来说,Domino/Notes 系统就是典型的 C/S 应用。 在综合了所有解决方案之后,通过对安全性,用户使用的方便性,管理要求,实现技术的成熟性几方面的比较,最后推荐使用登录信息代理方式解决单一用户登录,统一认证(SSO)的问题。这种方式的实现原理如下:
应用的登录信息存储在目录数据库( AD )中,通过 AD 的用户认证得到保护。在应用系统登录时从 AD 中获得相关信息进行登录。这个过程通过 SSO 插件透明进行,从而实现 SSO 。
1.9、UNIX 身份管理
通过将 AD 域控制器作为主 NIS 服务器,并同步 Unix 和 Windows 环境中的用户密码,UNIX 集成有助于在操作系统间建立不间断的用户访问和有效的网络资源管理。
二、资源池安全管理
云平台的基础还是传统的IT环境,资源池与网络设备面临的风险和威胁和传统的IT环境没有什么太大不同,这里不多说。由于采用的云服务模式、运营模式和云计算一些新技术的引入,云计算会比传统的IT环境给企业带来更多的风险。对于企业而言,安全需求主要是从网络层安全、虚拟层安全、操作系统层安全、应用层安全和数据层安全五个层面提出。
其中,虚拟层安全要求涉及架构安全、身份鉴别、访问控制、安全审计、边界完整性检查、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面的新要求;操作系统层则涉及入侵防范、恶意代码防范、资源控制等方面的新要求。
企业云平台业务的核心部分是构建在Windows Server 2012之上的Hyper-V虚拟机。Hyper-V作为Windows Server 2012中的一个重要服务器角色,除了提供了虚拟机的运行平台之外,还在设计之初就考虑到了虚拟机以及虚拟化层的安全加固问题,通过遵循微软最佳实践来进行Hyper-V服务器角色的安装与配置(包括网络与存储)可以保证最大化程度的减少运行Hyper-V服务的主机的受攻击面。
除了作为虚拟化平台的Hyper-V的安全性,运行在其之上的虚拟机的安全也是必须要考虑的问题。通过一系列的虚拟机加固手段(包括虚拟机配置、操作系统更新、文件系统权限、加密、审核),也可以保证虚拟机的安全性。
另外,System Center Virtual Machine Manager(SCVMM)2012为虚拟机提供了集中式的全面管理。SCVMM 2012同样考虑到了如何保证在虚拟机管理过程中的不出现安全问题。除了最小化虚拟机管理权限外,VMM 2012可以为不同的管理人员非常细化的委派管理权限。使得每个人既可以顺利的使用、管理虚拟机,又可以最大程度的减少管理中出现的安全隐患。总的介绍如下:
2.1、最小化虚拟化平台被攻击面
在Windows Server 2012中安装Hyper-V服务器角色,会在云主机上进行下列操作:安装新的文件、安装新的服务以及修改当前的防火墙策略。
如下图是Windows Server 2012 Hyper-V架构:
在Windows Server 2012中的Hyper-V服务器角色后,所有的操作系统(宿主机、虚拟机)都将以虚拟机的形式运行。包括Windows Server 2012,这个操作系统将作为虚拟化平台的管理平台,之后被用来建立和配置虚拟机。
Hyper-V所提供的Hypervisor非常小,并且不允许任何第三方的代码在其上运行。Hypervisor作为Hyper-V平台中的核心组件,其实是一个位于硬件层与操作系统层之间的软件层。Hypervisor保证多个操作系统同时运行在一个单独的物理计算机之上。
由于任何被包含在Hyper-V中的未知安全隐患将导致运行在其平台之上的操作系统(包括宿主机和虚拟机)出现问题,微软已经全面、细致的测试过了Hyper-V的源代码保证风险的最小化。同时,Hypervisor组件在设计之初就按照最小化的需求进行设计,以降低复杂度,从而减少被攻击面。
2.2、宿主机操作系统安全
在安装宿主机操作系统时,可以做很多事情用以保证其安全。例如Windows Server 2012支持以内核模式安装,在这种模式安装后,用户将只会看到一个命令提示符,所有对操作系统的操作、配置均需要通过命令行完成。这使得被攻击面被大幅度降低。
其它可以减少攻击面的操作还包括:
安装操作系统及针对Hyper-V的补丁。微软会持续的对产品进行更新,用户可以通过多种途径方便的获取这些补丁。
通过远程方式管理宿主机。微软提供了可以安装在终端计算机上面的Hyper-V管理控制台,这允许用户通过远程方式连接到服务器进行所有的管理。
2.3、宿主机网络安全
在安装Hyper-V时,可以选择任何一个或多个物理网卡来建立一个外部网络供虚拟机使用。该方案建议至少保留一个物理网卡,不使用其作为虚拟机的连接,而仅作为宿主机的管理。这样可以保证宿主机的网络数据与虚拟机网络数据物理隔离,保证网络数据的安全。同时,在虚拟机网络出现问题时,仍然可以使用该物理网卡连接到宿主机进行管理,这就提升了Hyper-V平台的可靠性。
除了外部网络外,Hyper-V还支持内部和私有网络。用户可以按照需要建立各种复杂的网络连接,灵活的网络配置使得构建出的网络架构可以符合安全性的要求。
2.4、宿主机连接的存储
默认情况下,Hyper-V会将虚拟机及虚拟机配置文件放置在本地硬盘上。但出于安全考虑,用户可以随时任意调整这个存储位置,将虚拟机或者虚拟机配置移动到安全的地方,例如其它分区或者存储上。
另外,对于存储虚拟机和配置文件的地方,也需要考虑分配给其适当的访问权限。这可以通过Windows自带的文件用户访问列表轻易实现。这样可以避免所有的用户都可以直接访问到这些虚拟机文件或者配置,甚至把他们移动、***。
2.5、虚拟机安全
虚拟机的安全主要指的是运行在Hyper-V之上的虚拟机,必须进行全面的配置和检查,对于具有较高安全的IT环境,不推荐使用默认的虚拟机配置。以下内容均和减少攻击面有关,且都可以通过Hyper-V的管理控制台实现:
虚拟机的存放位置,处理器使用数量,内存分配,和存储的对应关系,时间同步,销毁,快照文件的安全性。
企业可以通过Hyper-V或者VMM 2012在后台直接对虚拟机进行管理,包括连接虚拟机、修改虚拟机配置等。通常,在一个较大的、较复杂的IT环境中,要想获得最优化的IT资源管理方式,权限的下放与委派是必不可少的。逐级的管理可以减轻管理人员工作负担,使得管理架构符合业务架构,提升管理效率,优化管理流程。
2.6、虚拟机管理的权限委派
Hyper-V和SCVMM 2012都可以进行针对虚拟机管理的权限委派。可以为不同的管理人员分配不同的用于管理的虚拟机以及不同的管理权限。一般来说,为了云主机的安全,我们将管理员分为两类:Hyper-V管理员以及虚拟机管理员。
2.7、虚拟机服务的管理权限
Windows还提供了针对服务的用户权限限定。Hyper-V和SCVMM 2012后端均由一系列服务支撑,保证这些服务的正常稳定是保证虚拟化平台和云主机运行正常的前提。
虚拟机门户的权限管理。另外,企业还可以仅允许管理人员通过门户站点对Hyper-V平台上的云主机进行管理。在这个门户中,可以像在图形界面中一样,对管理人员进行虚拟机管理的权限分配,包括能否建立虚拟机、能否修改虚拟机配置、如何修改、可以建立的虚拟机数量、能否打开或者关闭虚拟机、能否为虚拟机进行快照等等。当使用门户站点后,原有的虚拟机管理的安全性又得到了提升。
2.8、保护虚拟机
除了保护虚拟化平台以及虚拟机管理外,针对虚拟机本身的保护也是非常重要的。这可以防止虚拟机被故意、无意的***、移动或者复制。
通过审核追踪虚拟机资源;
通过加密虚拟机文件保护虚拟机; 通过文件系统的用户访问列表保护虚拟机。
三、安全审计
从安全审计对象来讲,企业安全审计应该包括网络设备、安全设备、网络协议、数据库、操作系统、基础应用服务、虚拟层等,至于它们的什么登录帐号、时间、源IP、目的IP、修改、配置操作等参数,我不在这里抄写了,不想被累死,也不想让大家看得晕死。针对审计对象,审计事件的信息遵循W7原则:
Who:哪个用户或应用启动了该审计事件
What:审计事件包含的活动内容
When:审计事件发生的时间
Where:审计事件发生在哪个系统
On What:哪些对象(文件、数据库、打印机等)参与了该事件
Where from:审计事件发起的源系统
Where To:审计事件的目标系统
四、漏洞管理
漏洞管理是一个重要的威胁管理内容,云服务引入漏洞管理的主要目的是帮助保护主机、网络设备,以及应用程序不受已知漏洞的攻击。需要建立漏洞管理流程以应对这些风险。漏洞管理模块管理的范围应包括:
IaaS使用者,便携终端员工和第三方合作者的个人电脑;
由第三方托管的系统、网络、主机、存储,以及应用程序;
企业拥有和运营的系统、网络、主机、存储,以及应用程序;
提供给客户的用于管理他们的虚拟基础设施的Web控制台或管理终端。
在这里,漏洞分为两种情况,一是指主机、网络设备、应用程序等存在的已知的问题;二是指人为导致的问题,例如安装了有潜在风险的应用或者进行了有潜在风险的配置。
(恭喜你,看文章到这里的IT宅男朋友,知道你辛苦了,也知道你坚持的不容易,为表感谢送你一点福利,请手工输入地址和密码
)
这些问题都会由于没有及时安装最新的补丁或者没有采用其它手段解决而成为整个系统中的潜在安全隐患。 而针对漏洞的管理则是指在最短的时间内发现漏洞并设法解决,并形成一套可重复的成熟流程,同时需要对该套流程的所有内容进行记录、生成最终报告。所以针对漏洞的管理可以分为两部分内容:漏洞的发现和漏洞的解决。以上两部分内容均可以通过微软的System Center Configuration Manager(SCCM)来实现:
4.1、漏洞的发现:
对于服务器的目前硬件配置现状的准确的收集以及展现,是服务器管理的重要方面,只有准确了解服务器的硬件配置状况,才能了解到主机现存的漏洞(包括有可能的配置失误、错误、应用性能瓶颈、应用功能缺失等),并根据运维采集的性能趋势数据,了解到潜在的问题及漏洞。
通过硬件配置的记录,再准确制定出硬件配置的维护、修复计划,可以清晰地帮助IT管理员掌握全面的服务器硬件资产信息及后续的行动计划。
此外,对于服务器目前的软件配置及漏洞状况,同样需要管理员通过自动化手段进行自动记录和统计。以便于管理员了解主机的具体应用部署及漏洞情况,清晰的了解软件目前的状态及其影响。
SCCM的软硬件资产管理功能是基于标准的硬件清单,即利用 Windows Management Instrumentation(WMI)来实现,SCCM提高了清单扫描过程中客户端的性能并提供了一组更丰富的清单数据,其中也包括 BIOS 和机架外壳数据等。目前SCCM可以支持超过130种的WMI类型,可以获取丰富和准确地信息,而且SCCM可以提供灵活细致的清单。
尽管 SCCM 使企业能跟踪其服务器系统上几乎全部的软硬件资产,但通常企业会有特别重要或感兴趣的一组核心应用程序和文件。通过使用通配符、环境变量和文件属性之类的功能来提供实施智能清单搜索的功能,SCCM 使企业可以专注于他们所需的信息。通过跳过压缩和加密的文件,还可以减少系统资源的消耗。为确保丰富的清单和使用情况跟踪信息易于访问且与业务相关。
4.2、漏洞的解决:
通过安装补丁:通过SCCM可以实现对系统中的宿主机、虚拟机、客户端计算机的操作系统自动的更新系统服务包(Service Pack)、补丁等。SCCM不光能够完成对操作系统的补丁管理,还可以实现对Office, IE浏览器,微软SQL Server, Exchange等应用软件的补丁,以及第三方杀毒应用、软件或者企业自开发的软件的补丁管理能力。
通过手动修复:SCCM还可以向所有计算机中分发并启动控制脚本,从而实现更多的内容的控制。包括修复计算机配置或者用户配置、***有潜在漏洞的文件、文档。
后续阶段,在SCCM控制台上,管理员可以看到每台计算机的补丁安装状况,也可以通过Web报表了解企业内部所有补丁安装状况。
本文出自 “星星落在我头上” 博客,请务必保留此出处http://staronmytop.blog.51cto.com/6366057/1423080
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 微软云计算介绍与实践(实践之三十六)
- 微软云计算介绍与实践(实践之二十九)
- 微软云计算介绍与实践(介绍之三)
- 微软云计算介绍与实践(实践之四)
- 微软云计算介绍与实践(实践之十)
- 微软云计算介绍与实践(实践之三十四)
- 微软云计算介绍与实践(实践之十四)
- 微软云计算介绍与实践(实践之二十八)
- 微软云计算介绍与实践(实践之三十三)
- 微软云计算介绍与实践(实践之二)
- 微软云计算介绍与实践(实践之五)
- 微软云计算介绍与实践(实践之二十)
- 微软云计算介绍与实践(实践之二十六)
- 微软云计算介绍与实践(实践之二十二)
- 微软云计算介绍与实践(实践之三十九)
- 微软云计算介绍与实践(实践之一)
- 微软云计算介绍与实践(实践之九)
- 微软云计算介绍与实践(实践之二十一)
- 微软云计算介绍与实践(实践之二十三)
- 微软云计算介绍与实践(实践之三十七)