首页 首页 云计算 云服务 查看内容

虚拟机实时迁移 安全措施指南必备

木马童年 2018-12-7 22:45 17 0

企业网D1Net摘录信息要点: 1.选择认证协议,以确保虚拟机实时迁移的安全性。 2.只有当Hyper-V服务器被加入到域中之后才能进行实施迁移。 3.在任何可能的情况下都需要避免使用CredSSP。 实时迁移是Hyper-V管理中 ...

企业网D1Net摘录信息要点:

1.选择认证协议,以确保虚拟机实时迁移的安全性。

2.只有当Hyper-V服务器被加入到域中之后才能进行实施迁移。

3.在任何可能的情况下都需要避免使用CredSSP。

实时迁移是Hyper-V管理中的日常操作之一。作为Hyper-V管理员,对Hyper-V部署进行恰当地配置以确保为虚拟机实施迁移提供一个安全环境是十分重要的。

你需要做出的最重要的一个决定就是选择认证协议,以确保虚拟机实时迁移的安全性。微软提供了Kerberos和凭据安全支持提供程序(CredSSP)两种选择。微软推荐在所有可能的情况下尽量使用Kerberos(使用限制性的授权)。Kerberos比CredSSP更加安全,并且不受CredSSP认证的单跳限制。

因为CredSSP协议没有Kerberos安全性高,并且单跳限制会带来很多逻辑上的挑战。你可能会想知道为什么微软仍然将其作为一个选项。

只有当Hyper-V服务器被加入到域中之后才能进行实施迁移。在大多数情况下,需要支持实时迁移的Hyper-V服务器都是通用活动目录(AD)森林的成员。在这种情况下,你应该使用基于Kerberos的认证,Kerberos可以很好的用于通用域、甚至通用AD森林中的服务器认证。

如果Hyper-V服务器如果没有位于一个通用AD森林中,那么将毫无意义。微软设计的Windows Server 2012和Windows Server 2012 R2允许按照需求进行实时迁移。比如,你可以将一台虚拟机从一个单独Hyper-V服务器实时迁移到Hyper-V集群上。类似地,你也可以将一台虚拟机从一个主机集群实时迁移到另外一个集群上。

在这些情况中,Hyper-V服务器有可能不属于某个通用森林。比如,你可能需要将一台虚拟机从开发环境森林迁移到生产环境森林。这种情况下,需要尽可能的使用Kerberos认证。但是,只有在森林间存在信任关系时Kerberos才能发挥作用(外部信任不行)。如果不存在森林间的信任关系,则只能使用CredSSP。

在任何可能的情况下都需要避免使用CredSSP。CredSSP会将凭证传送到远程电脑上以完成认证过程。问题是如果这些远程电脑被挟持,那么这些凭证也会被挟持。根据微软的定义,这些凭证可以用来获取远程会话的控制权。

隔离和加强虚拟机实施迁移流量安全

另外一种可以提升实施迁移安全的方式是为实时迁移使用专用网络。这样做可以提供一系列好处。首先,使用专用网络可以改善实时迁移的性能 表现,因为实时迁移流量不会和其他类型的网络流量形成竞争。其次,实施迁移过程会更加安全,因为实施迁移不会暴露到非专用网段当中。

当你在运行Windows Server 2012或者2012 R2 Hyper-V的服务器上配置实施迁移时,你可以使用任何的可用网络或者任何IP地址进行实施迁移。

如果你选择使用专用网络进行实施迁移,那么网络应该拥有专用IP地址段。比如,以192.168.1.0/16格式输入的网络。

你能做的另外一件是输入特定Hyper-V主机的IP地址。当你输入一个地址后(不论是网络地址还是主机地址),都会赋予Hyper-V权限从某个特定源地址接受进入的实时迁移流量。显而易见的是,你不想有人将恶意虚拟机实时迁移到Hyper-V主机上。所以, 你应该划分出信任的Hyper-V服务器IP地址,来接受它们的实时迁移流量。

如你所见,当为Hyper-V部署虚拟机安全实时迁移时,有许多安全方面的最佳实践需要考虑。作为最佳实践,你需要尽可能的使用Kerberos认证,但是为了防止Kerberos认证被滥用,还需要使用受限制的授权。我还推荐为虚拟机实时迁移使用专用网络和指明被允许加入实时迁移流程的单独主机。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

安全性
0
为您推荐
机器人和云服务成为GE数字化的新战场

机器人和云服务成为GE数字化的新战场

智能时代、机器人及数字化的冲击下,制造业也在调整思维、改善流程、运用新技术并构建…...

打造环保云服务:微软宣布收购风能为数据中心供电

打造环保云服务:微软宣布收购风能为数据中

在化石能源供应紧张和公司云服务扩张需求的冲突下,微软不得不为数据中心寻求新的能源…...

云计算和虚拟化成为业务转型的重点

云计算和虚拟化成为业务转型的重点

北京,2010年5月18日 — CA Technologies (NASDAQ:CA) CEO Bill McCracken在正在美国…...

人工智能如何变现?亚马逊推出实时人脸识别云服务

人工智能如何变现?亚马逊推出实时人脸识别

亚马逊AWS云计算服务近日宣布对识别服务Rekognition进行一系列重大升级,向云计算用户…...

Password:互联网上最大的安全漏洞

Password:互联网上最大的安全漏洞

国内安防领域的巨无霸企业海康威视在上周出了个篓子。部署在江苏省公安系统内的海康监…...

Rackspace: 最大云风险遭到CIO严重忽视

Rackspace: 最大云风险遭到CIO严重忽视

很多CIO可能认为来自云计算领域的最大风险在于数据泄露或者停机事故——但这一切与真…...