Hyper-V虚拟化环境安全最佳实践

  【天极网服务器频道8月5日消息】现在企业在IT部署上已经大规模实施虚拟化技术，而微软的虚拟化平台Hyper-V凭借和Windows Server的捆绑，市场份额不断攀升。这里我们总结一下企业部署Hyper-V虚拟化的最佳时间，企业运维人员可据此管理Hyper-V服务器和虚拟机以保证Hyper-V环境安全运行。

  在Server Core上安装Hyper-V角色

  在Server Core操作系统上安装Hyper-V角色，而不是使用完整版本的Windows Server操作系统。因为Server Coer没有GUI图形界面，这样可以最小化管理操作系统的攻击面。在Hyper-V物理服务器上使用Server Core还可以提高系统运行时间，因为有更少的组件需要Windows更新。

  Hyper-V服务的登录凭证

  千万不要改变Hyper-V服务器的默认登陆安全设置。

  启用Windows防火墙

  在Windows服务器上启用Hyper-V角色时，服务器管理器还将启用所需的Hyper-V防火墙规则来保护通信安全。Hyper-V服务器安装客户端或者服务器应用需要防火墙开放相关端口，这将导致静态端口监听。通常可以通过修改默认监听端口来提高网络访问的安全性。

  Hyper-V存储默认配置

  在生产环境中部署前，一定要检查Hyper-V的存储默认配置。默认情况下，Hyper-V将虚拟机文件存储在本地驱动器上。通常企业会部署专用的存储服务设备如NAS或者SAN来提高存储性能，这个时候我们就需要修改Hyper-V虚拟机默认存储的路径。

  使用BitLocker加密保护Hyper-V和虚拟机文件

  你必须保护Hyper-V和虚拟机文件。因为虚拟机内容存储在VHD文件中，任何访问该VHD文件的人都能挂载VHD文件并访问其内容。BitLocker是内置在Windows操作系统中的，建议对Hyper-V物理服务器和虚拟机文件的存储卷启用BitLocker。即使在服务器关闭，BitLocker保护仍有效。即使磁盘被偷，上面的数据仍受保护。BitLocker还能防止攻击者使用不同的操作系统或运行软件黑客攻击来访问磁盘内容。

  注意：只在Hyper-V管理操作系统中使用BitLocker驱动器加密。不要在虚拟机上运行BitLocker驱动器加密。BitLocker驱动器加密是不受虚拟机支持的。

  不要使用内置管理员帐户

  不应该使用默认的本地管理员账户来管理Hyper-V和虚拟机。通常企业都会部署域服务器，通过域服务器创建新的活动目录组，使用授权管理器管理虚拟机任务。通过域控制器来实现账户的管理和权限分配。

  虚拟机安装最新的集成组件

  集成组件提供VMBUS和VSP/VSC，确保虚拟机和Hypervisor之间的通信安全和性能提升。每次Hyper-V发布都会带来最新的集成组件，你需要做的是从微软网站上下载最新的集成组件并更新所有的虚拟机。通过更新的集成组件会提供更高的虚拟机性能表现和更多的虚拟机操作系统支持。

  不要在Hyper-V服务器上安装应用

  千万不要在Hyper-V服务器上安装应用程序。Hyper-V服务器只用来支持Hyper-V活动。在Hyper-V服务器上安装不必要的应用会影响Hyper-V进程，产生安全威胁。

  基于业务性质隔离虚拟机

  在部署虚拟机时，避免为其分配非真正的业务功能。如果你安装了这类虚拟机，并且其他虚拟机共同连到某个Hyper-V虚拟交换机上，你必须将其断开。

  保护快照文件安全

  快照是某个时间点的虚拟机状态，也就是虚拟机的备份。建议将你所创建的所有快照文件与其相关的VHD文件存储在一个安全的位置。

  加强虚拟机操作系统

  你必须从基本操作系统映像模板部署虚拟机，这样你就可以确保所有虚拟机部署的安全基线。

  启用审计

  文件系统安全可防止对关键虚拟机VHD文件的非法访问。启用对象访问审计可以帮助检查潜在的危险活动。