Microsoft Private Cloud — обзор безопасности гипервизора

Опубликовано: 9 Марта, 2023
Microsoft Private Cloud — обзор безопасности гипервизора

Введение

Безопасность по-прежнему остается главной проблемой для тех, кто рассматривает возможность перехода в облако, и то, что вы решили развернуть частное облако, а не «стать общедоступным», не означает, что вам не нужно беспокоиться о безопасности. По большей части безопасность частного облака имеет те же характеристики и требования, что и безопасность в традиционном центре обработки данных. То есть вам необходимо защитить объект, аппаратную инфраструктуру, сеть, приложения и данные в частном облаке так же, как вам нужно защитить данные в традиционном центре обработки данных. Однако между традиционным центром обработки данных и частным облаком есть несколько существенных различий, которые мы и рассмотрим в этой статье.

Одним из таких существенных отличий является то, что почти все частные облака используют виртуализацию. Важно отметить, что виртуализация не является обязательным требованием частного облака. Вы можете использовать блейд-серверы вместо виртуальных машин, чтобы реализовать почти все те же возможности, что и в частном облаке, основанном на виртуальных машинах. Однако стоимость блейд-серверов, вероятно, будет немного выше, поэтому для большинства компаний виртуализация является предпочтительной технологией, позволяющей использовать частное облако. А в магазине Microsoft это все чаще означает Hyper-V.

В частном облаке на основе Microsoft Hyper-V есть ряд моментов, которые необходимо учитывать, когда речь идет о безопасности. Некоторые основные передовые методы включают в себя:

  • Отключите виртуализацию на основе процессора, если вы ее не используете.
  • Используйте ядро сервера Windows, чтобы уменьшить поверхность атаки и обновления
  • Использовать шифрование тома Bitlocker
  • Не запускайте приложения и службы в операционной системе хоста.
  • Выделить сетевую карту для целей управления
  • Не смешивайте зоны безопасности
  • Убедитесь, что службы интеграции Hyper-V установлены.
  • Обновление образов виртуальных машин в автономном режиме
  • Используйте соответствующее делегирование полномочий

Отключите виртуализацию на основе процессора, если вы ее не используете.

Поддержка виртуализации на основе процессора, такая как Intel VT, позволяет виртуальным машинам работать оптимально, улучшая многие процессы управления памятью и изоляции. Вы определенно хотите, чтобы эти технологии были включены, когда вы используете сервер для размещения виртуальных машин на основе Hyper-V. Но если вы решите вывести сервер из эксплуатации и использовать его в роли не виртуального сервера, вам следует отключить эти расширения процессора, поскольку они потенциально могут увеличить поверхность атаки на этой машине. А поскольку на машине нет виртуальных машин, нет причин включать эти расширения. Выключите их, если вы ими не пользуетесь.

Используйте ядро сервера Windows, чтобы уменьшить поверхность атаки и обновления

Основные развертывания Windows Server представляют собой минимальную установку, которая включает только основные компоненты операционной системы Windows Server 2008 или Windows Server 2008 R2, необходимые для запуска операционной системы и обеспечения возможности установки приложений и служб. Поскольку количество двоичных файлов, включенных в установку ядра сервера, значительно сократилось, поверхность атаки уменьшается, и требуется меньше обновлений, поскольку компоненты, которые обычно нуждаются в обновлении (например, Internet Explorer), не включены в установку.

Настоятельно рекомендуется запускать виртуальные серверы Hyper-V поверх установки Server Core. После установки версии Windows Server Core вы можете включить роль Hyper-V, а также установить и настроить виртуальные машины в развертывании Server Core с помощью удаленной консоли Hyper-V или диспетчера виртуальных машин System Center (SCVMM).

Используйте шифрование тома BitLocker

BitLocker — это система шифрования дисков на основе томов, которая позволяет шифровать целые тома и целые жесткие диски. BitLocker работает вместе с чипами TPM (Trust Platform Modules) на материнской плате, чтобы повысить уровень безопасности и гарантировать, что загрузочная среда не будет скомпрометирована злоумышленником или вредоносным ПО.

BitLocker важен во всех сценариях развертывания. Однако это еще более важно, когда физическая безопасность сервера ниже оптимальной, например, в сценариях филиалов и многих малых и средних предприятий. BitLocker защищает вас от атак в автономном режиме, когда злоумышленник пытается загрузить другую операционную систему и напрямую получить доступ к диску, что позволяет злоумышленнику обойти элементы управления безопасностью, включенные в операционную систему Windows. Когда BitLocker шифрует диск, автономные атаки терпят неудачу, поскольку альтернативная ОС, используемая для доступа к диску, не может взломать шифрование BitLocker для доступа к информации на диске.

Вы можете использовать BitLocker для защиты загрузочной операционной системы, установленной на загрузочном диске, для защиты основных компонентов операционной системы. Вы также можете использовать BitLocker для защиты томов, на которых хранятся виртуальные машины. Кроме того, если у вас есть данные, к которым обращаются виртуальные машины на других дисках, вы также можете использовать BitLocker для защиты этих томов. Как правило, рекомендуется использовать BitLocker для защиты всех ресурсов Windows, размещенных в вашем центре обработки данных. Несмотря на то, что накладные расходы на обработку имеют место, современные мощные многоядерные процессоры на базе Nehalem носят номинальный характер.

Не запускайте приложения и службы в операционной системе хоста.

Цель основной операционной системы — предоставить среду для размещения гипервизора, которым в данном случае является Hyper-V. Вы не должны устанавливать какие-либо приложения или службы в операционной системе хоста, которые не связаны с поддержкой среды виртуализации. Это одно из преимуществ установки Server Core; например, вы не можете использовать веб-браузер на компьютере, и очень сложно или даже невозможно установить многие приложения и службы, которые могут работать в установках, отличных от Server Core.

Многие организации сегодня пытаются сделать больше с меньшими затратами, поэтому могут рассмотреть возможность установки служб с низкими издержками, таких как DNS, DHCP или службы сертификации, в операционной системе хоста Hyper-V. Не делай этого! Каждое приложение или служба, которые вы устанавливаете в операционной системе хоста, увеличивают поверхность атаки, а также требуют дополнительного обновления операционной системы хоста. Если вы хотите запустить дополнительные службы, запустите их на виртуальной машине, размещенной в операционной системе хоста.

Выделить сетевую карту для целей управления

Ваш виртуальный сервер Hyper-V будет иметь несколько физических сетевых интерфейсов. Вы, вероятно, выделите сетевой интерфейс, который подключается к производственной сети, в то время как другой сетевой интерфейс может подключать сервер к Интернету, другой может подключать машину к DMZ, а третий может подключаться к партнерской сети. Затем виртуальные машины можно привязать к этим физическим сетевым интерфейсам, чтобы они могли подключаться только к тем ресурсам, к которым им необходимо подключиться. Этим интерфейсам не должна назначаться информация об IP-адресации, и они не должны быть доступны для любого хоста в сети. Они должны быть выделены только для использования виртуальной машиной.

В дополнение к этим интерфейсам у вас должен быть выделенный интерфейс для целей управления. Этим интерфейсам может быть назначена информация об IP-адресации, и вы можете использовать брандмауэр Windows в режиме повышенной безопасности, чтобы контролировать, кто может подключаться к этому интерфейсу, возможно, контролируя доступ по IP-адресу. Кроме того, вы можете потребовать аутентификацию и шифрование на сетевом уровне при подключении к интерфейсу управления с использованием аутентификации и шифрования IPsec.

Не смешивайте зоны безопасности

В массивах (или кластерах) Hyper-V виртуальные машины могут перемещаться автоматически, чтобы ни один сервер в массиве не был перегружен с точки зрения памяти, процессора или сети. Из-за этого вы можете оказаться в ситуации, когда вы не знаете в конкретный момент времени, где будет находиться данная виртуальная машина. Это создает сценарий, в котором виртуальные машины, принадлежащие к разным зонам безопасности, могут быть размещены на одном и том же виртуальном сервере. Это менее чем оптимальная схема безопасности, поскольку она делает виртуальную машину в зоне с высоким уровнем безопасности потенциально уязвимой для компрометации виртуальной машиной в зоне с низким уровнем безопасности.

При проектировании массивов Hyper-V подумайте о рабочих нагрузках, которые будут выполняться на виртуальных машинах. Если у вас есть виртуальные машины, которые будут предоставлять услуги удаленного доступа, такие как брандмауэр TMG, или сервер UAG SSL VPN, или обычный VPN-сервер удаленного доступа на основе RRAS, вам необходимо убедиться, что вы выделили массив для этих Интернет-серверов. устройства и не смешивайте их с виртуальными машинами, не подключенными к Интернету, такими как SQL-сервер или сервер SharePoint, которые выполняют только обязанности в интрасети.

Убедитесь, что службы интеграции Hyper-V установлены.

Службы интеграции Hyper-V делают множество вещей, и одна из важнейших обязанностей служб интеграции — убедиться, что время на виртуальных машинах синхронизировано с операционной системой хоста. Это позволяет вам перемещать виртуальные машины даже в разные часовые пояса, а время на виртуальных машинах будет автоматически синхронизироваться с операционной системой хоста. Это также помогает при восстановлении моментальных снимков виртуальной машины.

Обновление образов виртуальных машин в автономном режиме

При развертывании в частном облаке вы будете предоставлять среду самообслуживания, в которой ваши пользователи смогут предоставлять свои собственные виртуальные машины без необходимости вашего участия в цепочке запросов. Поскольку пользователи будут предоставлять свои собственные ресурсы, вам необходимо убедиться, что образы виртуальных дисков, которые используются для запуска этих новых виртуальных машин, безопасны.

В нечастной облачной среде вы должны установить операционную систему, а затем запустить Центр обновления Windows сразу после установки операционной системы. Вы контролируете этот процесс от начала до конца, поэтому знаете, что этот жизненно важный шаг будет выполнен. Но в виртуальной среде возможно, что пользователи, которые менее осведомлены о проблемах безопасности, будут выделять виртуальные машины, а затем не обновлять их должным образом.

Это можно исправить, используя автономные инструменты обновления для установки обновлений шаблонов виртуальных машин. Когда шаблоны виртуальных машин обновляются в автономном режиме, виртуальные машины, развернутые на основе этих шаблонов, всегда будут иметь последние исправления и обновления безопасности. Для этого можно использовать средство обслуживания виртуальных машин (VMST).

Используйте соответствующее делегирование полномочий

Наконец, убедитесь, что вы правильно делегируете администрирование. Убедитесь, что администраторы виртуальной инфраструктуры или структуры частного облака не имеют разрешений на доступ к операционным системам виртуальных машин, а администраторы операционных систем, работающих на виртуальных машинах, не имеют доступа к виртуальной инфраструктуре или структуре. На самом деле вам следует рассмотреть возможность более детального контроля над виртуальной инфраструктурой или структурой с помощью управления доступом на основе ролей. Вы можете сделать это через пользователя диспетчера авторизации в Windows Server 2008 и Windows Server 2008 R2.

Резюме

В этой статье мы рассмотрели некоторые основные проблемы, связанные с безопасностью гипервизора в частном облаке Microsoft. По большей части требования к безопасности в частном облаке такие же, как и в традиционном центре обработки данных. Одним из наиболее очевидных примеров различий в требованиях и соображениях безопасности является безопасность гипервизора, поскольку в большинстве развертываний частного облака в качестве вспомогательной технологии используется виртуализация. Принимая во внимание этот список соображений безопасности, вы можете перейти к повышению общей безопасности вашего решения Microsoft для частного облака.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023