虚拟化部署的安全思考

CobiNet(宁波)推荐文章：

对服务器工作负载进行虚拟化已经成为越来越普遍的方法，能够帮助更有效地利用计算机硬件以及辅助设备。虚拟化为数据中心管理员提供了很多好处，虽然需要适当地改变创建和管理部署设备的方式。服务器应用程序虚拟化是更为艰巨的任务，因为在多个服务器工作负载间适当分配硬件存在复杂性。要将不能共存于同一台机器的应用程序在相同主机的多个子分区(Child partition)间进行结合，确实存在规格和安全方面挑战。同时，网络虚拟化和母分区(Parent partition)失效时导致多个同步服务器失效的问题也带来安全和可用性问题。

本文将围绕部署Microsoft ISA Server和硬件虚拟化的Microsoft forefront TMG提供具体的指导方案，同时，强烈推荐你们认真阅读“相关参考资料”中提供的资料。

支持虚拟环境

Microsoft ISA Server 和Forefront TMG只能在下列程序下得到硬件虚拟化的支持：

·Microsoft Support Lifecycle

·Microsoft ISA Server 系统要求

·Forefront TMG系统要求

·Microsoft Server Virtualization Validation Program (SVVP)

·Microsoft软件在非Microsoft硬件虚拟化软件上运行的支持政策

例如，如果硬件虚拟化平台被列为“通过SVVP验证”(不是“评估中”)，Microsoft ISA Server 和Forefront TMG将支持在该平台上进行生产用途，Microsoft Product Support Lifecycle、非Microsoft硬件虚拟化政策和相应产品版本的系统要求中有使用限制。

对于没有列为“通过SVVP验证”的硬件虚拟化平台，Microsoft ISA Server和Forefront TMG只能根据其他Microsoft支持政策得到支持，限制情况如下：

·Desktop virtualization，如Microsoft Virtual PC或者类似第三方产品：仅支持示范和教育用途

·Server Virtualization，如Microsoft Virtual Server 或者类似的第三方产品，支持生产用途，但不推荐

重要提示：

正如MSKB 897615中所指出的，微软支持工程师在继续检查问题前，可能会要求客户在真正硬件或者SVVP列表硬件虚拟化平台上重现报道的问题，如果问题不能在硬件上或者相同级别的SVVP列表服务器虚拟化产品上重现，那么问题可能会被转移给第三方厂商产品支持。

部署规划

任何外围保护部署的主要部署标准都是安全、稳定和性能，确定这三者的优先顺序都需要深入分析企业的LOB(业务线，line-of-business)应用需求，一般需求和网络安全需求以及所有法律规章等才能得出结论。虽然很难解决所有可能出现的问题，不过本文将概述最常见部署的关键问题。

这是个不变的事实，由于在虚拟机之间的资源共享，在专用硬件上运行的服务器应用程序将会比在类似虚拟环境(相同数量相同等级的CPU，相同的内存等)运行的相同应用程序效果更好。例如，流量处理负载可能会将基于硬件的ISA占到80%的CPU，可能会为同样配置的虚拟ISA服务器产生一个拒绝服务(DoS)，或者由于子分区工作量总量和其他子分区造成的资源停滞而使虚拟母分区工作量过度。

这对于那些负责虚拟化服务器应用程序的工程师而言，在很多情况下，为特定应用程序的资源分配可能需要扩展为虚拟机资源账户共享，而具体需要进行怎样的扩展只能通过对规划好的虚拟部署进行测试才能确定。

同样的，还应该对数据中心管理过程进行重新检测和重新定义，以解决因人为、软件或者硬件原因导致的母分区内多个子分区的损失问题。这种情况不仅会对重要的业务运作带来影响，还是一个潜在的安全问题，如果ISA Server 或者Forefront TMG代表某一个目前不可使用的子分区。

定义流量剖析

虽然为虚拟部署和硬件配置定义流量剖析并没有什么不同，不过定义流量剖析(traffic profile)是很重要的过程，因为一个子分区的资源需求可能会对在虚拟主机上运行的其他分区的资源需求造成影响，特别是母分区。

只有完全明确了流量剖析对部署计划的影响，才能确定、评估并满足ISA Server 和Forefront的性能需求和安全需求。 MSKB 832017 已经为大部分基于windows系统的应用程序以及微软公司创建的应用程序(包括ISA Server本身)定义了流量剖析，但是它并没有为非微软产品定义流量剖析。 在很多情况下可以做某些假设，邮件服务器使用的是公共邮件协议，如 SMTP、POP3、 IMAP 或者甚至 HTTP(s)(如果能够提供网络邮件服务)。如果你想要使用 ISA Server 或者Forefront TMG来控制自定义应用程序流量，你可能需要向产品供应商寻求帮助。 在某些情况下，你可能需要对应用程序进行测试，使用网络分析工具来分析流量。

流量剖析确定后，下一步就是确定每种应用程序或者服务的流量负载。这个步骤也很关键，它能够精确预测其对ISA Server或者Forefront TMG性能以及整个网络容量的影响。你将需要对现有网络部署进行某种流量分析，从而熟悉现有流量负载并预测随着公司发展流量需求将如何变化等问题。

最佳方案：

1. 在可能的位置，让运行ISA Server或者Forefront TMG的子分区的流量通过。这样能够帮助你控制网络间的流量并检测来自本地主机和远程主机的攻击以及虚拟的和物理的攻击。

2. 避免使用 “allow all”规则。 如果应用程序供应商不能为你明确定义流量剖析，可以试试你喜欢的网络捕捉工具，有时候也能派上用场。

3. 将RPC和DCOM限定到特定端口。 在默认情况下，当相关服务器应用程序启动并请求连接和套接时，RPC和DCOM通常会暂时使用任何有效的端口。通过限制RPC和DCOM可用的端口范围，你同样可以限制可接受的流量剖析。

定义安全范围

这个步骤涉及很多方面，还有一些基本要求，你必须让所有安全、网络、应用程序等相关管理人员共同参与决议，这样就能更加全面地分析技术需求等问题，另外还应该考虑合规和审计问题。

应用程序安全

应该要避免混淆单个母分区内不同安全层面的虚拟应用程序或者服务器，特别是当这些应用程序或者服务器中涉及网络外围时。当相邻子分区或者母分区作为游戏服务器的主机时，应该避免让Exchange复杂化，这也是ISA和TMG能够为主机间提供保护的另一位置。因为位于单独母分区的子分区通常位于单独网络， 你可以使用ISA或者TMG来隔离这些应用程序(如果部署在专有硬件上)以实现更高的整体安全性。

最佳方案：

1. 在母分区安装Windows Server 2008 Core。这样就将攻击面和修复需求限制到最低限度，由于Windows 2008 Core并不支持那些依赖于 Windows UI机制的应用程序，这能够帮助避免在母分区安装不重要应用程序。

2. 特定母分区上的每个子分区应该获得同等安全保护。例如， 用户从互联网访问的Exchange和SharePoint 子分区应该尽量满足相同的安全和访问要求， 如果你将 Exchange和SharePoint 服务器以及游戏服务器作为子分区部署在相同的母分区上，就无法实现这一点。

3. 母分区必须及时进行漏洞修复。母分区上的漏洞可能会影响所有与其相关的区域。

4. 每个子分区必须及时进行漏洞修复。虽然未修复漏洞的子分区不会造成像母分区那么大的影响，但是如果受到漏洞攻击的子分区访问母分区，就有可能对母分区带来类似攻击，并对所有客户端造成威胁。

5. 不要将母分区作为工作站使用。 母分区安装和运行的应用程序越少，母分区面临的攻击威胁越小。 另外，如果你在母分区安装Windows Server 2008 Core，能够帮助控制威胁。

6. 限制对母分区的访问管理。 管理母分区访问权的账号拥有控制所有子分区的权限，下文中将详细探讨这个问题。

7. 使用基于TPM的母分区以及BitLocker。 对母分区访问控制力越强，子分区就能得到越好的保护。

网络安全

在虚拟环境大家最关注的问题就是如何管理子分区、母分区和物理网络的通信流量。如果某客户端有访问任何物理网络的直接权利，将会给相邻子分区和母分区带来很大的安全威胁，只有强行让客户端通过流量控制(如ISA Server 或者Forefront TMG)才能避免类似威胁。 在网络中施加类似流量控制是网络规划中很重要的部分，而管理控制则更为重要。

对ISA 或者TMG服务器流量的路由并不能简单地通过将错误流量从通信路径中移除而保证网络的安全性，虽然这与数据中心的错误路径网络电缆没什么区别，你必须考虑的是，在虚拟网络中对于错误路由的流量并没有明显的指示， 而能够很明显地看出网络电缆插入错误的物理路径配线架或者交换机。 从这一点来看，区分错误流量路径等相关问题其实是非常复杂和耗费时间的，避免这种状况发生的最佳做法就是定义并执行非常明确的数据中心转换控制政策和系统监控/报告系统。

最佳做法：

1. 避免在没有额外保护的情况下将母分区连接至互联网。 虽然相比于windows之前版本，Windows Server 2008 过滤平台(Filtering Platform)为我们提供了更加强大的主机防火墙，网络安全最佳做法表明，应该对网络安全进行分层，具体做法就是：在母分区连接与互联网之间使用外部 layer-3过滤设备。位于独立物理主机上的ISA Server或者Forefront TMG能够很好地帮助实现这一目的。

2. 避免将母分区连接到任何虚拟网络，除非是非常有必要的情况下。 因为母分区是保持子分区正常运行的关键，而母分区可能至少使用一个物理网络，向母分区提供的子分区接入点越少越好。例如， 母分区是无法看到Hyper-V “Local”虚拟网络的，因此可以把该网络作为只能由连接的子分区使用的隔离边界网络。

3. 避免在多个客户端间共享相同的互联网虚拟交换机连接。 如果你的游戏服务器子分区与ISA / TMG子分区共享互联网连接，就很难确保网络流量的安全性， 最好就是任何需要互联网访问的子分区必须通过 ISA / TMG子分区来访问网络。

4. 避免在同一个母分区整合周边网络和设备 在任何部署中，对周边网络的使用都是为了在不同信任级别间的网络创建安全分界。如果将所有这些机器和网络放在相同的母分区 ，就很可能无意中通过一个或者多个母分区虚拟网络连接或者将服务器分配给错误的虚拟网络等情况下，在这些安全分界中搭建连接。

5. 避免为了简化虚拟网络设计而破坏了周边网络设计。 创建周边网络设计的目的是为了满足多种资源的需求，如果硬件中的设计受到破坏虚拟网络的设计必然也将被破坏。

母分区

不管虚拟部署放置在边缘还是中心位置，母分区都是最重要最关键的机器，如果母分区被破坏或者失效，所有子分区都将受到威胁。

最佳做法：

1. 使用通过Windows Hardware Quality Labs 认证的硬件：

· Windows Server 2008. 如果你期望拥有服务器级别的功能和可靠性，是不可能通过使用家用电脑级别的系统硬件或者驱动来实现的。 在选择硬件设备和相关驱动程序时必须对服务器工作量进行测试，以确保所选硬件能够保证虚拟部署经得起重荷。 虽然为windows vista编写的驱动程序能够“适用于” Windows Server 2008，不过很难保证这些驱动能够承受服务器应用程序或虚拟带来的重荷。

· Hyper-V. 通过选择合适的硬件(硬件可以满足专门针对Microsoft Hypervisor的WHQL测试的要求)，可以保证虚拟部署的顺利进行。很多硬件供应商都会与所有服务器虚拟供应商紧密合作以确保他们的产品能够适用于一个或更多服务器虚拟化平台。

2. 保持系统驱动程序的正常运作。 服务器网络出现问题最常见的原因都是因为系统驱动本身，大多数是因为网络驱动。当这些驱动与虚拟化解决方案中的其他高性能驱动结合使用时，系统驱动的性能和可靠性显得尤为重要。 然而事实却总非如此，尤其是在测试环境中，你应该考虑将生产部署限制给签名驱动程序。

3. 在母分区使用 Windows Server 2008 Core 。 这样能够将任何Windows Server 部署面临的攻击率降到最低，同时会限制用户对安装状况的影响。

4. 禁用母分区的任何对外的NIC。 在创建供子分区使用的“外部”虚拟交换机后，应该禁用母分区的相关虚拟NIC，以防止互联网访问母分区。

5. 如果不能禁用母分区的“外部”虚拟交换机，解除所有L3+协议并为那些NIC启用WFP。 通过解除协议并在WFP设置强限制性政策，不能使用协议(攻击点)通信的主机就不会受到网络攻击，因为相关协议已经被解除和过滤，换句话说，“我听不到你，你别想吵到我”。

6. 如果上述步骤还不能保护母分区，可以使用外部 layer-2+ 防火墙。没有理由让母分区受到互联网攻击，如果正在考虑采取这种部署，应该重新评估整个计划。

7. 使用专用的OOB(Out-of-Band)网络连接来管理母分区的连接。

· 专用连接：提供与任何虚拟网络不相关的网络连接，即使虚拟网络机制出错，母分区也能继续正常运作。

· OOB连接： 通过将母分区管理从客户端网络隔离出来，可以让母分区免受来自互联网的应用程序攻击。

8. 在Windows Server 2008上使用支持TPM的硬件和Bitlocker来控制对母分区的访问，以保护子分区磁盘和定义文件免受未经授权的访问。服务器盗窃事故是任何部署都必须考虑的问题， 而在单个服务器能够获取多个服务器信息更是让黑客们垂涎三尺。通过将所有客户端放在 Bitlocker保护磁盘，能够有效抵御那些黑客的攻击。

母分区和客户端连接

必须根据整个环境的安全需求来平衡虚拟网络的需求。例如，每个分区连接(与一个NIC相连)的单个虚拟网络与通过虚拟交换机由多个分区共享的物理连接相比，前者能够提供更好的主机脱离(off-host)网络性能。如果子分区占用相对较少的网络资源，可以考虑让其与其他子分区共享虚拟网络。

ISA/TMG子分区性能考虑

在确定ISA / TMG虚拟机资源前需要先对性能进行评估。要实现这一目的，必须参考ISA Server Performance Best Practices性能监测建议(针对你的ISA版本的建议)或者TMG性能监测参考建议收集一段时间内(至少两周)的性能数据，以便获取所使用的机器资源的统计模型。这样一来，你就知道支持虚拟ISA / TMG服务器所需要的最小机器资源量了。

确定ISA / TMG虚拟机需求后，下一步就是建立测试环境，以便在测试环境中部署和测试生产环境中将使用的工作量以及流量负载组合。只有通过预先测试才能确定如何在子分区间的最佳资源分配方式。

CPU和RAM

任何在特定配置的硬件上运行某种级别功能的服务器工作量，性能上都比不上共享多种工作量的机器资源(在相同配置的硬件上运行)。不管工作量合并在单一的操作系统还是工作量在多个虚拟机间共享，这个理论都成立。事实上，当工作量与单个操作系统结合时，管理多个工作量的资源需求会相应增加。出于这个原因，你最好熟悉一下你所部署的虚拟技术的性能最佳做法建议。虽然每个供应商所提供的虚拟化功能都是类似的(从虚拟类型来看，包括桌面、服务器和数据中心)，不过这些不同供应商的虚拟功能对于指定的服务器工作量或者工作量组合将会产生不同的结果。

最佳做法：

1. 避免在相同母分区结合高资源子分区。ISA / TMG可能会耗费很多资源，这将取决于可能使用的流量性质和第三方插件。如果有多个高耗能服务器工作量争夺相同的资源，所有工作量的性能都会降低，也可能出现拒绝服务。

2. 尽量多地向ISA / TMG提供CPU和内存。因为ISA/TMG必须与其他子分区共享资源，向ISA/TMG提供越多的内存和CPU，在虚拟机中ISA/TMG的性能也将越好。

注意：在ISA服务器中，不管是ISA服务器本身，抑或是第三方插件，都不会从4个以上的CPU或者大于4GB的内存中受益，TMG并没有这种限制。

3. 使用虚拟化技术(能够承受最大的工作量任务)。如果你的流量性质要求每秒1Gb或以上的网络性能，那么使用提供最高每秒100Mb性能的硬件虚拟化产品可能会导致服务器超负荷或者性能表现不佳。

 

文章编辑：CobiNet(宁波)，本公司专注于电讯配件,铜缆综合布线系列领域产品研发生产七类,六类,超五类屏蔽网线双绞屏蔽线及相关模块配件,欢迎来电咨询0574 88168918；

我们是万兆网络模块，万兆屏蔽模块，10G网络模块，10G屏蔽模块，keystone jack生产厂家。