維護(hù)hypervisor安全是每個(gè)數(shù)據(jù)中心的首要任務(wù)。因?yàn)橐慌_(tái)單主機(jī)服務(wù)器可能要處理幾十個(gè)虛擬化的工作負(fù)載。單主機(jī)上的安全漏洞可能導(dǎo)致斷電。不幸的是，目前還沒(méi)有一個(gè)獨(dú)立的、綜合的安全解決方案可以擔(dān)保數(shù)據(jù)中心的安全。要確保良好的hypervisor安全性，需要多管齊下。你需要做很多方面的工作才能保護(hù)你的虛擬化服務(wù)器環(huán)境。

減少主機(jī)的受攻擊面

確保虛擬數(shù)據(jù)中心安全的第一個(gè)步驟就是減少主機(jī)的受攻擊面。這在Hyper-V環(huán)境中尤其重要。因?yàn)镠yper-V通常作為角色安裝在Windows服務(wù)器上。如果你的虛擬主機(jī)能使用主機(jī)操作系統(tǒng)，那么該主機(jī)操作系統(tǒng)中不能包含任何多余的角色、功能或者應(yīng)用。主機(jī)操作系統(tǒng)只能運(yùn)行Hyper-V和重要的基礎(chǔ)組件如殺毒軟件或備份代理。

另外，避免將操作系統(tǒng)加入到生產(chǎn)環(huán)境，對(duì)hypervisor的安全也有利。相反，你可以在專用活動(dòng)目錄林中創(chuàng)建一個(gè)專門的管理域來(lái)管理虛擬主機(jī)。該類型的域允許使用用到域成員的管理產(chǎn)品。但是你不用擔(dān)心主機(jī)服務(wù)器被盜后會(huì)曝光你的生產(chǎn)域。順便說(shuō)一句，在虛擬主機(jī)管理域中可以使用物理域控制器。

如果能避免使用主機(jī)操作系統(tǒng)最好，不能避免的話，微軟推薦使用具有較少攻擊面的Server Core 部署。另外，建議為主機(jī)操作系統(tǒng)使用專用的物理網(wǎng)絡(luò)適配器，如此，流量管理就可以同虛擬機(jī)(VM)流量分離開來(lái)。

使用虛擬防火墻加強(qiáng)hypervisor安全

利用虛擬和軟件防火墻也可以幫助確保hypervisor的安全。大多數(shù)hypervisor中，VM不直接與物理網(wǎng)絡(luò)連接，相反，VM連接到一個(gè)虛擬交換機(jī)，該虛擬交換機(jī)與物理網(wǎng)絡(luò)適配器連接。在這種類型的架構(gòu)中，每個(gè)VM共享物理網(wǎng)絡(luò)適配器和虛擬交換機(jī)。這意味著，如果兩臺(tái)VM需要相互交流時(shí)，數(shù)據(jù)包不用穿過(guò)物理網(wǎng)絡(luò)。

如果兩臺(tái)VM共享一個(gè)虛擬交換機(jī)，這兩臺(tái)VM之間可以直接溝通，數(shù)據(jù)不需要穿過(guò)物理網(wǎng)絡(luò)，因此也不受硬件防火墻監(jiān)控?？朔@種缺陷的最好方法是創(chuàng)建虛擬防火墻(如果虛擬平臺(tái)允許的話)或者在所有的VM上安裝軟件防火墻。

控制資源預(yù)防拒絕服務(wù)攻擊

Hypervisor最大的安全威脅是拒絕服務(wù)攻擊。在虛擬服務(wù)器環(huán)境中，幾個(gè)VM共享主機(jī)服務(wù)器上有限的硬件資源池。如果其中的任何一臺(tái)VM過(guò)度消耗硬件資源，那么其他的VM就不能正常運(yùn)行。這中情況下，攻擊者對(duì)單個(gè)虛擬服務(wù)器發(fā)動(dòng)DoS攻擊是非常容易的事情。

防止虛擬環(huán)境遭受此類攻擊的方法就是控制任何一臺(tái)VM消耗過(guò)度的物理硬件資源。盡管管理員們通常會(huì)控制合理的內(nèi)存消耗，但他們通常會(huì)忽略對(duì)其他硬件資源的合理掌控。

管理員針對(duì)每一個(gè)hypervisor的實(shí)際掌控力大不相同。但是多數(shù)hypervisor都允許對(duì)一臺(tái)VM消耗的內(nèi)存和CPU時(shí)間進(jìn)行限制。

在很大程度上，確保虛擬數(shù)據(jù)中心安全就像確保物理數(shù)據(jù)中心安全。適用于物理環(huán)境的最佳安全實(shí)踐大多數(shù)在虛擬環(huán)境中也有效。但是，管理員們也應(yīng)該采取一些附加措施來(lái)維護(hù)Hypervisor安全，尤其是當(dāng)主機(jī)操作系統(tǒng)運(yùn)行在虛擬主機(jī)上時(shí)。