Cấu hình bảo mật Hyper-V bằng Authorization Manager

Nếu muốn triển khai Hyper-V và các máy ảo, một trong những yêu cầu chính cần phải có đó là bảo đảm cho môi trường của bạn được an toàn. Bài viết này chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình bảo mật Hyper-V bằng cách sử dụng Authorization Manager. Bài viết cũng giới thiệu những cách thực hành tốt nhất để bảo mật của Hyper-V và cung cấp một số ví dụ về cách thực thi bảo mật Hyper-V bằng Authorization Manager. Các thuật ngữ Parent Partition: Windows Server 2008 đang chạy Hyper-V role được...
Nội dung trích xuất từ tài liệu:
Cấu hình bảo mật Hyper-V bằng Authorization ManagerCấu hình bảo mật Hyper-V bằng Authorization ManagerNếu muốn triển khai Hyper-V và các máy ảo, một trong những yêu cầu chínhcần phải có đó là bảo đảm cho môi trường của bạn được an toàn. Bài viết nàychúng tôi sẽ giới thiệu cho các bạn về cách cấu hình bảo mật Hyper-V bằngcách sử dụng Authorization Manager. Bài viết cũng giới thiệu những cáchthực hành tốt nhất để bảo mật của Hyper-V và cung cấp một số ví dụ về cáchthực thi bảo mật Hyper-V bằng Authorization Manager.Các thuật ngữParent Partition: Windows Server 2008 đang chạy Hyper-V role được gọi làParent Partition. Parent Partition có nhiệm vụ tạo Child Partition và kiểm soátsự truyền thông giữa các máy ảo.Child Partition: Một máy ảo chạy trên Hyper-V Server được gọi là ChildPartition. Parent Partition tạo ra các Child Partition.Authorization Manager: Authorization Manager bảo đảm an toàn cho tàinguyên. Hyper-V sử dụng Authorization Manager để bảo vệ an toàn cho cácmáy ảo.Nhiệm vụ đầu tiên mà các quản trị viên CNTT cần phải thực hiện là cung cấpsự an toàn cho cơ sở hạ tầng máy chủ trước khi được thực thi thực trong môitrường sản xuất. Hyper-V là một trong số đó. Có rất nhiều quản trị viênCNTT đều không biết cách thực thi một môi trường Hyper-V an toàn. Điềunày không phải do lỗi từ phía các quản trị viên mà chính là do Hyper-V vẫncòn rất mới trong thế giới ảo hóa. Hay nói một cách khác, so với Vmware thìHyper-V có tuổi đời ít hơn rất nhiều. Công nghệ mới này có chứa nhiều điểmkhác biệt so với đối thủ cạnh tranh của nó. Cho ví dụ, Vmware sử dụng kiếntrúc Monolithic VMM, trong khi đó Hyper-V sử dụng kiến trúcMicrokernelized VMM. Sự khác biệt cũng có thể nằm trong kiến trúc bảomật.Hyper-V không có công cụ đi kèm để sử dụng cho việc bảo vệ máy ảo màthay vào đó, nó sử dụng một thành phần của Windows có tên AuthorizationManager giúp bảo mật cho các máy ảo và Hyper-V. Authorization Managerlà một thành phần có trong Windows Server 2008 và được kích hoạt mặcđịnh. Vấn đề bảo mật ở đây có liên quan đến tất cả khía cạnh. Cho ví dụ, bảomật các hệ điều hành có liên quan đến bảo mật các file hệ điều hành (chẳnghạn như các file DLL và OCX). Tương tự như vậy, với Hyper-V, bạn cũngnên biết những gì cần bảo mật khi muốn bảo mật Hyper-V và các máy ảo củamình (ví như bạn muốn bảo mật các máy ảo hay toàn bộ môi trường Hyper-V?).Tuy nhiên việc bảo mật các máy ảo không liên quan nhiều đến việc quản trị.Bạn chỉ cần biết cách sử dụng Authorization Manager và thực hiện một sốnhiệm vụ bảo mật. Để bảo mật cho toàn bộ môi trường Hyper-V, bạn phảibiết mọi thứ về Hyper-V, cần phải biết được nơi Hyper-V copy tất cả các filecủa nó, tất cả các cổng được mở cho các dịch vụ đang chạy trên Hyper-V vàcấu hình mặc định của Hyper-V.Chúng tôi sẽ giới thiệu cho các bạn chi tiết về các chủ đề dưới đây trong loạtbài này: Cấu hình mặc định Hyper-V và việc bảo vệ file, thư mục  Máy ảo và các đặc quyền NTFS  Tổng quan và bảo mật các dịch vụ của Hyper-V  Các Rule và cấu hình tường lửa của Hyper-V  Bảo mật Hyper-V và các máy ảo bằng Authorization Manager  Ví dụ về bảo mật Hyper-V bằng Authorization Manager  Một số thực hành bảo mật tốt nhất Cấu hình mặc định của Hyper-V và việc bảo mật file, thư mụcCác quản trị viên cần phải biết được cấu hình mặc định của Hyper-V. Đầutiên, chúng tôi sẽ giới thiệu đến việc bảo mật các thư mục mà ở đó có chứacác máy ảo VHD và các file cấu hình (XML).Khi kích hoạt Hyper-V role trên Windows Server 2008 lần đầu, chương trìnhsẽ tạo một vài thư mục và copy nhiều file trong nó. Ở đây chúng ta cần phảibiết được location mặc định cho việc lưu các máy ảo và các file cấu hìnhtrước khi bắt tay vào thực hiện bảo mật cho Hyper-V.%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtualMachines%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual HardDisks%SystemRoot%ProgramDataMicrosoftWindowsHyper-VSnapshotsMặc định, Hyper-V sử dụng các thư mục ở trên để lưu các file cấu hình máyảo cũng như VHD và các snapshot có liên quan đến các máy ảo. Bạn phảithay đổi location mặc định trước khi chuyển Hyper-V sang môi trường sảnxuất. Cách tốt nhất là nên thay đổi location mặc định cho việc lưu VHD,XML và các file Snapshot vào SAN drive.Khi bạn cài đặt Hyper-V Role, một nhóm bảo mật đặc biệt mang tên VirtualMachines sẽ được tạo. Nhóm bảo mật này gồm có các GUID của tất cả máyảo đã được đăng ký với Hyper-V Server, và nó có quyền truy cập vào thưmục%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtualMachinesđây là thư mục lưu các file cấu hình (XML Files) của các máy ảo. Nếu nhómbảo mật (Security Group) bị xóa hoặc không có trong tab Security của thưmục máy ảo thì bạn không thể truy cập vào các máy ảo đang chạy trênHyper-V. Quá trình VMMS.EXE chịu trách nhiệm quản lý sự ...