|
Dydis: 12139
Komentaras:
|
Dydis: 12772
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 8: | Eilutė 8: |
| Virtualaus serverio administravimas ir konfiguravimas atliekamas programinės įrangos pagalba, kurios įdėgtos kompiute ryje su Windows Vista, Windows 7 arba Windows Server 2008 operacine sistema su papildomomis galimybėms administruoti Hyper-V. | . Virtualaus serverio administravimas ir konfiguravimas atliekamas programinės įrangos pagalba, kurios įdėgtos kompiute ryje su Windows Vista, Windows 7 arba Windows Server 2008 operacine sistema su papildomomis galimybėms administruoti Hyper-V. |
| Eilutė 16: | Eilutė 16: |
| Virtualizacijos skyriai ne turi priėjimo prie fizinio procesoriaus, negali valdyti realių petraukčių. Dėl to jie turi virtualų procesoriaus atvaizdo adresą, kuris priklauso nuo hypervizoro konfuguraciajos. Hypervizor gali nustatyti procesoriaus sudėtį kiekvienam skyriui. Hypervizor valdo procesoriaus pertrauktys ir siunčia jas į tam tikrus skyrius, naudodamasis dirbtiniu petraukčių valdikliu (Synthetic Interrupt Controller arba SynIC)'''. '''Hyper-V gali aparatiškai didinti adresų transliaciją''' '''tarp atskirų virtualių adresinių erdvių IOMMU (I/O Memory Management Unit-atminties įvedimo/išvedimo įtaisas) pagalba, kuris dirba atskirai ir nepriklauso nuo aparatinio atminties valdymo. ''' ''' | |
| Eilutė 17: | Eilutė 18: |
| Antriniai skyriai ne turi priėjimo prie aparatinių resursų, bet gauna virtualų resursų atvaizdą, kurie vadinasi virtualus įtaisai. Kiekviena užklausa skirta virtualiems įtaisams, nukreipiama per VMBus įtaisams pirminiame skyriuje, kurie ir apdoros duotą užklausą. ''' ''' | |
| Eilutė 18: | Eilutė 20: |
| '''Virtualizacijos skyriai ne turi priėjimo prie fizinio procesoriaus, negali valdyti realių petraukčių. Dėl to jie turi virtualų procesoriaus atvaizdo adresą, kuris priklauso nuo hypervizoro konfuguraciajos. Hypervizor gali nustatyti procesoriaus sudėtį kiekvienam skyriui. Hypervizor valdo procesoriaus pertrauktys ir siunčia jas į tam tikrus skyrius, naudodamasis ''dirbtiniu petraukčių valdikliu ('''''''Synthetic Interrupt Controller arba SynIC''''''').'''''''' Hyper-V gali aparatiškai didinti adresų transliaciją tarp atskirų virtualių adresinių erdvių '''[[http://ru.wikipedia.org/wiki/IOMMU|IOMMU]] (''I/O Memory Management Unit-atminties įvedimo/išvedimo įtaisas'') pagalba, kuris dirba atskirai ir nepriklauso nuo aparatinio atminties valdymo. | ''VMBus- loginis kanalas, kuris sąveikauja tarp skyrų. Atsakymas grįžta irgi per VMBus. Jeigu pirminio skyriaus įtaisai irgi virtualaus skyriaus, tai užklausa bus perduodama toliau, kol nepasieks pirminio skyriaus, kur turės prieiga prie fizinių įtaisų. Pirminiai skyriai įjungia ''Virtualization Service Provider'', kuris jungiasi su VMBus ir apdoroja įtaisų priėjimo užklausas nuo antrinių skyrių. Antriniai skyriai dirba su ''Virtualization Service Client (VSP), ''kuris persiunčia užklausas per VMBus į pirminio skiriaus VSC.'''''''''' ''''' |
| Eilutė 20: | Eilutė 22: |
| Antriniai skyriai ne turi priėjimo prie aparatinių resursų, bet gauna virtualų resursų atvaizdą, kurie vadinasi virtualus įtaisai. Kiekviena užklausa skirta virtualiems įtaisams, nukreipiama per ''VMBus ''įtaisams pirminiame skyriuje, kurie ir apdoros duotą užklausą. | ''Pagrindinės Hyper-V apsaugos problemos''' ''''' |
| Eilutė 22: | Eilutė 24: |
| VMBus- loginis kanalas, kuris sąveikauja tarp skyrų. Atsakymas grįžta irgi per VMBus. Jeigu pirminio skyriaus įtaisai irgi virtualaus skyriaus, tai užklausa bus perduodama toliau, kol nepasieks pirminio skyriaus, kur turės prieiga prie fizinių įtaisų. Pirminiai skyriai įjungia ''Virtualization Service Provider'', kuris jungiasi su VMBus ir apdoroja įtaisų priėjimo užklausas nuo antrinių skyrių. Antriniai skyriai dirba su ''Virtualization Service Client (VSP), ''kuris persiunčia užklausas per VMBus į pirminio skiriaus VSC.'''''' | '' ''' ''''' |
| Eilutė 24: | Eilutė 26: |
| '''Pagrindinės Hyper-V apsaugos problemos''' | ''1) ''''''Administravimo panelės nebūvimas administravimo užduotims paskirstyti.''' ''''' |
| Eilutė 26: | Eilutė 28: |
| ''' ''' | '''''· Pagal nutylėjimą valdyti virtualias mašinas gali Hyper-V administratorius ''''' |
| Eilutė 28: | Eilutė 30: |
| '''1) ''''''Administravimo panelės nebūvimas administravimo užduotims paskirstyti.''' | ''2) ''''''Paprastas virtualių sistemų pernešimas į kitas fizines platformas.''' ''''' |
| Eilutė 30: | Eilutė 32: |
| '''· ''''''Pagal nutylėjimą valdyti virtualias mašinas gali Hyper-V administratorius''' | '''''· Konfidicialūs duomenys gali būti pavogti, kopijuojant virtualias mašinas. ''''' |
| Eilutė 32: | Eilutė 34: |
| '''2) ''''''Paprastas virtualių sistemų pernešimas į kitas fizines platformas.''' | ''3) ''''''Virtualios mašinos naudojasi host serverio resursais.''' ''''' |
| Eilutė 34: | Eilutė 36: |
| '''· ''''''Konfidicialūs duomenys gali būti pavogti, kopijuojant virtualias mašinas.''' | '''''· Pagal nutylėjimą neapribotas virtualiųjų mašinų host sistemos naudojamasis. ''''' |
| Eilutė 36: | Eilutė 38: |
| '''3) ''''''Virtualios mašinos naudojasi host serverio resursais.''' | ''4) ''''''Tinklinė sąveika''' ''''' |
| Eilutė 38: | Eilutė 40: |
| '''· ''''''Pagal nutylėjimą neapribotas virtualiųjų mašinų host sistemos naudojamasis.''' | '''''· Virtualus serveris turi turėti pakankamai tinklo sąsajų teisingai virtualių mašinų tinklų segmentacijai. ''''' |
| Eilutė 40: | Eilutė 42: |
| '''4) ''''''Tinklinė sąveika''' | ''5) ''''''Serverio apsauga''' ''''' |
| Eilutė 42: | Eilutė 44: |
| '''· ''''''Virtualus serveris turi turėti pakankamai tinklo sąsajų teisingai virtualių mašinų tinklų segmentacijai.''' | '''''· Administratorius turi prieiga prie visų virtualių mašinų ''''' |
| Eilutė 44: | Eilutė 46: |
| '''5) ''''''Serverio apsauga''' | '''''· Kadangi visas tinklo pralaidumas antrinių operacinių sitemų praeina per host serverį sąsajas, tai viena sensorius Ids host serveryje galės kontroliuoti visą trafiką antrinių operacinių sistemų. ''''' |
| Eilutė 46: | Eilutė 48: |
| '''· ''''''Administratorius turi prieiga prie visų virtualių mašinų''' | ''6) ''''''Serverio apsauga nuo pačių virtualių mašinų''' ''''' |
| Eilutė 48: | Eilutė 50: |
| '''· ''''''Kadangi visas tinklo pralaidumas antrinių operacinių sitemų praeina per host serverį sąsajas, tai viena sensorius Ids host serveryje galės kontroliuoti visą trafiką antrinių operacinių sistemų.''' | '''''· Yra būtinybė izoliuoti host serverį, nuo virtualių mašinų. ''''' |
| Eilutė 50: | Eilutė 52: |
| '''6) ''''''Serverio apsauga nuo pačių virtualių mašinų''' | '' Hyper-V saugumas''' ''''' |
| Eilutė 52: | Eilutė 54: |
| '''· ''''''Yra būtinybė izoliuoti host serverį, nuo virtualių mašinų. ''' | 1) ''''''''''Pagrindinės OS saugumas''''''''' ''' ''''''''' '' |
| Eilutė 54: | Eilutė 56: |
| '''Hyper-V saugumas''' | '''Dėgimas.''' ''' ''''''''' '' |
| Eilutė 56: | Eilutė 58: |
| '''''1) ''''''''''Pagrindinės OS saugumas''''' | '''Instaliuojant serverį Hyper-V rekomenduojama padaryti kelius žingsnius, kurie padidina sistemos saugumą. Galima sumažinti potencialų atakos plotą, įdiegus Hyper-V į serverį Windows 2008 R2, kuris dirbs branduolio režime be grafinio režimo. Taip pat rekomenduojama naudoti papildomus tinklo adapterius, mažiausiai dviejus, vienas iš kurių bus naudojamas darbui su virtualia mašina, kitas adminitruojant serverį su įdėgtu Hyper-V paketu.''' ''' ''''''''' '' |
| Eilutė 58: | Eilutė 60: |
| '''Dėgimas.''' | . '''Rekomenduojama naudoti kaip pagrindinės operacinės sistemos įdėgimo variantą Server Core Windows Server 2008 R2 operacinei sistemai. Dėgimas Server Core užtrikrina minimalią atakos galimybę ir sumažina ištaisymų, atnaujinimų kiekį, kurie reikalingi aptarnavimui.''' ''' ''''''''' '' |
| Eilutė 60: | Eilutė 62: |
| '''Instaliuojant serverį Hyper-V rekomenduojama padaryti kelius žingsnius, kurie padidina sistemos saugumą. Galima sumažinti potencialų atakos plotą, įdiegus Hyper-V į serverį Windows 2008 R2, kuris dirbs branduolio režime be grafinio režimo. Taip pat rekomenduojama naudoti papildomus tinklo adapterius, mažiausiai dviejus, vienas iš kurių bus naudojamas darbui su virtualia mašina, kitas adminitruojant serverį su įdėgtu Hyper-V paketu.''' | Server Core privalumai: ''' ''''''''' '' |
| Eilutė 62: | Eilutė 64: |
| ''' Rekomenduojama naudoti kaip pagrindinės operacinės sistemos įdėgimo variantą Server Core Windows Server 2008 R2 operacinei sistemai. Dėgimas Server Core užtrikrina minimalią atakos galimybę ir sumažina ištaisymų, atnaujinimų kiekį, kurie reikalingi aptarnavimui.''' | '''· Minimali pagrindinės operacinės sistemos atakos galimybė. ''''''''' '' |
| Eilutė 64: | Eilutė 66: |
| Server Core privalumai: | '''· Naudojamas minimalus įtasų kiekis. ''''''''' '' |
| Eilutė 66: | Eilutė 68: |
| · Minimali pagrindinės operacinės sistemos atakos galimybė. | '''· Didesnis sistemos našumas, nes naudojama minimalus sistemos komponentų kiekis. ''''''''' '' |
| Eilutė 68: | Eilutė 70: |
| · Naudojamas minimalus įtasų kiekis. | '''· Minimalus atnaujinimų kiekis-sistema minimaliai perkraunama. ''''''''' '' |
| Eilutė 70: | Eilutė 72: |
| · Didesnis sistemos našumas, nes naudojama minimalus sistemos komponentų kiekis. | Server Core trukūmai: ''' ''''''''' '' |
| Eilutė 72: | Eilutė 74: |
| · Minimalus atnaujinimų kiekis-sistema minimaliai perkraunama. | '''· Serveryje nėra grafinio valdymo. ''''''''' '' |
| Eilutė 74: | Eilutė 76: |
| Server Core trukūmai: | '''· Kai kurie draiveriai ir programos ne palaikomos Server Core režime. ''''''''' '' |
| Eilutė 76: | Eilutė 78: |
| · Serveryje nėra grafinio valdymo. | '''· Serveryje galima naudoti tik tuos draiverius, kurie praėjo suderinamumo patikrinimą. ''''''''' '' |
| Eilutė 78: | Eilutė 80: |
| · Kai kurie draiveriai ir programos ne palaikomos Server Core režime. | Tinklo sąsajų konfuguracija'''''' ''' ''''''''' '' |
| Eilutė 80: | Eilutė 82: |
| · Serveryje galima naudoti tik tuos draiverius, kurie praėjo suderinamumo patikrinimą. | '''Tinkama tinklų sąsajų konfiguracija žymiai padidina bendrą apsaugos Hyper-V mazgų lygį. Microsoft rekomenduoja naudoti mažiausiai du tinklo adapterius Hyper-V mazge. Operainei virtualizacijos serverio sistemai naudojamas išskirtas tinklo adapteris. Pagal nutylėjimą pagrindinei virtualizacijos operacinei sistemai tinklas nekonfiguruojmas. Serverio valdymui, kur naudojamas Hyper-V, reikia naudoti išskirtą tinklo adapterį ir prijungtį jį prie patikimo potinklio, izoliuojant nuo kitų potinklių. Virtualių mašinų tinklo darbui naudojama vienas arba keli skirtingi tinklo adapateriai. Tai ledžia naudoti skirtingus tinklo saugumo lygius ir virtualių mašinų konfiguraciją. ''''''''' '' |
| Eilutė 82: | Eilutė 84: |
| '''Tinklo sąsajų konfuguracija''' | Pavyzdžiui galima nustatyti tinklą tikiu būdu, kad priėjimas prie tinklo virtualioms mašinoms, skirtusi nuo priėjimo prie tinklo pagrindinei operacinei sitemai, įskaitant virtualių lokalių tinklų naudojimą, IP saugumą (IPSec), prieigos prie tinklo saugumą (NAP). ''' ''''''''' '' |
| Eilutė 84: | Eilutė 86: |
| Tinkama tinklų sąsajų konfiguracija žymiai padidina bendrą apsaugos Hyper-V mazgų lygį. Microsoft rekomenduoja naudoti mažiausiai du tinklo adapterius Hyper-V mazge. Operainei virtualizacijos serverio sistemai naudojamas išskirtas tinklo adapteris. Pagal nutylėjimą pagrindinei virtualizacijos operacinei sistemai tinklas nekonfiguruojmas. Serverio valdymui, kur naudojamas Hyper-V, reikia naudoti išskirtą tinklo adapterį ir prijungtį jį prie patikimo potinklio, izoliuojant nuo kitų potinklių. Virtualių mašinų tinklo darbui naudojama vienas arba keli skirtingi tinklo adapateriai. Tai ledžia naudoti skirtingus tinklo saugumo lygius ir virtualių mašinų konfiguraciją. | Host serverio valdymas ir administravimas'''''' ''' ''''''''' '' |
| Eilutė 86: | Eilutė 88: |
| Pavyzdžiui galima nustatyti tinklą tikiu būdu, kad priėjimas prie tinklo virtualioms mašinoms, skirtusi nuo priėjimo prie tinklo pagrindinei operacinei sitemai, įskaitant virtualių lokalių tinklų naudojimą, IP saugumą (IPSec), prieigos prie tinklo saugumą (NAP). | '''Nerekomenduojama suteikinėti virtualių mašinų administratoriams prieigos teisių prie pagrindinės operacinės sistemos. Remiantis mažiausiu privilegijų principu, virtualių mašinų administratoriams suteikiamos minimalios būtinos teisės. Reikalingų teisių valdymas visuose objektuose, kurie susiję su virtualiomis mašinomis, gali būti sudėtinga užduotis. Prie netinkamo naudojimo, gali privesti prie saugumo problemų. ''''''''' '' |
| Eilutė 88: | Eilutė 90: |
| '''Host serverio valdymas ir administravimas''' | '''''2) '''Virtualių mašinų saugumas''' '''''''' ''''''''' '' |
| Eilutė 90: | Eilutė 92: |
| Nerekomenduojama suteikinėti virtualių mašinų administratoriams prieigos teisių prie pagrindinės operacinės sistemos. Remiantis mažiausiu privilegijų principu, virtualių mašinų administratoriams suteikiamos minimalios būtinos teisės. Reikalingų teisių valdymas visuose objektuose, kurie susiję su virtualiomis mašinomis, gali būti sudėtinga užduotis. Prie netinkamo naudojimo, gali privesti prie saugumo problemų. | '''''Virtualios mašinos saugumas iš pricnipo nieko nesisikyria nuo pagrindinės operacinės sistemos saugumo. Visi saugumo kriterijai, kurie priskiriami prie operacinės sistemos, pilnai atitinka virtualios mašinos saugumą. Rekomenduojama, kad kiekvienoje virtualioje mašinoje, būtų naudojama: '''''''' ''''''''' '' |
| Eilutė 92: | Eilutė 94: |
| '''''2) ''''''''''Virtualių mašinų saugumas''''''''''''''' | * '''''Antivirusinė programa '''''''' ''''''''' '' * '''''Kitos priemonės, kurios atitinka saugumo reikalavimus atitinkamai sistemai. '''''''' ''''''''' '' |
| Eilutė 94: | Eilutė 97: |
| Virtualios mašinos saugumas iš pricnipo nieko nesisikyria nuo pagrindinės operacinės sistemos saugumo. Visi saugumo kriterijai, kurie priskiriami prie operacinės sistemos, pilnai atitinka virtualios mašinos saugumą. Rekomenduojama, kad kiekvienoje virtualioje mašinoje, būtų naudojama: | ''Duomenų sistemų sauga''' '''''''' ''''''''' '' |
| Eilutė 96: | Eilutė 99: |
| * Antivirusinė programa * Kitos priemonės, kurios atitinka saugumo reikalavimus atitinkamai sistemai. |
'''Duomenų sistemų apsaugai reikia naudoti standartinius šaltinius- access control lists (ACLs)- virtualių mašinų prisijungmimo prie duomenų nustatymai. Toks požiūris užkirs kelią, kai įsilaužėjas bandys gauti neteisėtą prisijungimą prie virtualios mašinos duomenų tam, kad nukopijuoti juos arba pakeisti juos – variantų labai daug. ''''''''' '' |
| Eilutė 99: | Eilutė 101: |
| '''Duomenų sistemų sauga''' | '''Vis dėlto, ACLs naudojamasis ne užtikrins pačios virualios mašinos nuo netesėto prisijungimo. ''''''''' '' |
| Eilutė 101: | Eilutė 103: |
| Duomenų sistemų apsaugai reikia naudoti standartinius šaltinius- access control lists (ACLs)- virtualių mašinų prisijungmimo prie duomenų nustatymai. Toks požiūris užkirs kelią, kai įsilaužėjas bandys gauti neteisėtą prisijungimą prie virtualios mašinos duomenų tam, kad nukopijuoti juos arba pakeisti juos – variantų labai daug. | '''Hyper-V serveryje kiekviena virtuali mašina dirba vmwp.exe saugumo proceso kontekste, kuris atliekamas NETWORK SERVICE vardu ir kuris turi prieiga prie virtualios mašinos duomenų. Tai būtina tam, kad naudotis Hyper-V konsole virtualios mašinos valdymui iš naudotojo pusės, kuris be abejo turi priegos teisės prie sistemos. ''''''''' '' |
| Eilutė 103: | Eilutė 105: |
| Vis dėlto, ACLs naudojamasis ne užtikrins pačios virualios mašinos nuo netesėto prisijungimo. | '''Hyper-V saugomo žingsniai įtraukia ne tik ACLs naudojimą, bet ir saugumo užtikrinimo,valdymo instrumentus, tokius kaip System Center Virtual Machine manager 2008, Authorization Manager, kurie naudojami teisėms prie virtualių mašinų apriboti.''''''''' '' |
| Eilutė 105: | Eilutė 107: |
| Hyper-V serveryje kiekviena virtuali mašina dirba vmwp.exe saugumo proceso kontekste, kuris atliekamas NETWORK SERVICE vardu ir kuris turi prieiga prie virtualios mašinos duomenų. Tai būtina tam, kad naudotis Hyper-V konsole virtualios mašinos valdymui iš naudotojo pusės, kuris be abejo turi priegos teisės prie sistemos. | BitLocker šifravimas''' ''''''''' '' |
| Eilutė 107: | Eilutė 109: |
| Hyper-V saugomo žingsniai įtraukia ne tik ACLs naudojimą, bet ir saugumo užtikrinimo,valdymo instrumentus, tokius kaip System Center Virtual Machine manager 2008, Authorization Manager, kurie naudojami teisėms prie virtualių mašinų apriboti. | '''Rekomenduojama'''''''' ''naudoti BiLocker šifravimo mechanizmą Hyper-V resursų apsaugai. BitLocker ''BitLocker'' šifravimas naudoja serverio įrangos komponentus ir mikroprogramas operacinės sitemos užkrovimo metu bei disko šifravimui, netgi jei serveryje nėra maitinimo įtampos. Tai leidžia apsaugoti duomenys, jei diskas bus pavogtas arba nukopijuotas į kitą kompiuterį.Bilocker šifravimas padeda apsaugoti duomenys netgi jei įsilaužėjas naudoja kitą operacinę sistemą arba bando neteisėtai prisijungti prie duomenų disko. ''''''''' '' |
| Eilutė 109: | Eilutė 111: |
| '''BitLocker šifravimas''' | Prisijungimo prie objekto įvykių auditas''' ''''''''' '' |
| Eilutė 111: | Eilutė 113: |
| Rekomenduojama naudoti BitLocker šifravimo mechanizmą Hyper-V resursų apsaugai. BitLocker šifravimas naudoja serverio įrangos komponentus ir mikroprogramas operacinės sitemos užkrovimo metu bei disko šifravimui, netgi jei serveryje nėra maitinimo įtampos. Tai leidžia apsaugoti duomenys, jei diskas bus pavogtas arba nukopijuotas į kitą kompiuterį. BitLocker šifravimas padeda apsaugoti duomenys netgi jei įsilaužėjas naudoja kitą operacinę sistemą arba bando neteisėtai prisijungti prie duomenų disko. | '''Saugumo funkcijos duomenų sistemoje gali užkirsti kelią neteisėtiems prisijungimams, labai svarbiems virtualių mašinų objektams, pavyzdžiui prie VHD duoemnų. Audito naudojimas priėjimui prie objektų leis aptikti neteisėtus prisijungimus. Įjunkite prisijungimo auditą Hyper-V serveryje. Po šios funcijos įjungimo bus registruojami visi prisijungimo prie duomenų įvykiai. Jeigu duomenų sudėtis bus pažeista, įvykių žurnale bus registruojamas kiekvienas prisijungimo prie duomenų bandymas. ''''''''' '' |
| Eilutė 113: | Eilutė 115: |
| '''Prisijungimo prie objekto įvykių auditas''' | ''Dažnai atsitinka, kad virualiose mašinose reikia saugoti labai svarbius, konfidicealius duomenys. Tokiais atvejais reikia užtikrinti daug didesnį saugos lygį. Vienas iš svarbesnių virtualių mašinų privalumų yra galimybė greitai pakeisti į autonominį režimą pristabdymo funkcijos Hyper-V pagalba (suspend). '' |
| Eilutė 115: | Eilutė 117: |
| Saugumo funkcijos duomenų sistemoje gali užkirsti kelią neteisėtiems prisijungimams, labai svarbiems virtualių mašinų objektams, pavyzdžiui prie VHD duoemnų. Audito naudojimas priėjimui prie objektų leis aptikti neteisėtus prisijungimus. Įjunkite prisijungimo auditą Hyper-V serveryje. Po šios funcijos įjungimo bus registruojami visi prisijungimo prie duomenų įvykiai. Jeigu duomenų sudėtis bus pažeista, įvykių žurnale bus registruojamas kiekvienas prisijungimo prie duomenų bandymas. | ''3) ''''''Hypervizor‘o apsauga'''''''''''' ''' ''''' |
| Eilutė 117: | Eilutė 119: |
| Dažnai atsitinka, kad virualiose mašinose reikia saugoti labai svarbius, konfidicealius duomenys. Tokiais atvejais reikia užtikrinti daug didesnį saugos lygį. Vienas iš svarbesnių virtualių mašinų privalumų yra galimybė greitai pakeisti į autonominį režimą pristabdymo funkcijos Hyper-V pagalba (suspend). | ''Atminties apsauga: fizinės atminties prisirišimas prie virtualios mašinos.'''''' ''' ''''' |
| Eilutė 119: | Eilutė 121: |
| '''''3) ''''''''''Hypervizor‘o apsauga''''''''''''''' | '''''Kiekviena virtuali mašina naudoja tik savo fizinę atmintį. Virtualios mašinos negali kartu naudoti tą patį atminties plotą. Hypervizor bet kuriuo momentu gali suteikti teises tam tikram atminties plotui nuskaityti, keisti bei uždrausti priėjimą. ''' ''' ''''' |
| Eilutė 121: | Eilutė 123: |
| '''Atminties apsauga: fizinės atminties prisirišimas prie virtualios mašinos.''' | ''Įėjimo/ išėjimo sistemų apsauga'''''' ''' ''''' |
| Eilutė 123: | Eilutė 125: |
| '''Kiekviena virtuali mašina naudoja tik savo fizinę atmintį. Virtualios mašinos negali kartu naudoti tą patį atminties plotą. Hypervizor bet kuriuo momentu gali suteikti teises tam tikram atminties plotui nuskaityti, keisti bei uždrausti priėjimą. ''' | '''''Pagrindinė operacinė sistema turi galimybe valdyti virtualių mašinų įėjimo/išėjimo nustatymus. Tai leidžia apriboti prieiga prie tam tikrų įėjimo/išėjimo sistemų.''' ''' ''''' |
| Eilutė 125: | Eilutė 127: |
| '''Įėjimo/ išėjimo sistemų apsauga''' | ''Realizuota prieigos sistema prie hypervizorų'''''' ''' ''''' |
| Eilutė 127: | Eilutė 129: |
| '''Pagrindinė operacinė sistema turi galimybe valdyti virtualių mašinų įėjimo/išėjimo nustatymus. Tai leidžia apriboti prieiga prie tam tikrų įėjimo/išėjimo sistemų.''' | '''''Hypervizor ne leidžia naudoti priveligijuotas procesoriaus instrukcijas.''' ''' ''''' |
| Eilutė 129: | Eilutė 131: |
| '''Realizuota prieigos sistema prie hypervizorų''' | ''Plati integracija su'''''' ''''''Authorization Manager'''''' ''' ''''' |
| Eilutė 131: | Eilutė 133: |
| '''Hypervizor ne leidžia naudoti priveligijuotas procesoriaus instrukcijas.''' | '''''Sistema leidžia nustatyti privilegijas virtualiuose mašinuose.''' ''' ''''' |
| Eilutė 133: | Eilutė 135: |
| '''Plati integracija su'''''' ''''''Authorization Manager''' | ''Teisių nustatymas virtualiųjų mašinų grupėms'''''' ''' ''''' |
| Eilutė 135: | Eilutė 137: |
| Sistema leidžia nustatyti privilegijas virtualiuose mašinuose.'''''' | '''''Leidžia nustatyti virtualių mašinų teises, jų paleidimą, įdėgimą, sukurimą, atvaizdų prijungimą. ''''' |
| Eilutė 137: | Eilutė 139: |
| '''Teisių nustatymas virtualiųjų mašinų grupėms''' | ''Bendrų resursų apsauga'''''' ''' ''''' |
| Eilutė 139: | Eilutė 141: |
| Leidžia nustatyti virtualių mašinų teises, jų paleidimą, įdėgimą, sukurimą, atvaizdų prijungimą. | '''''Prieiga prie visų Hyper-V resursų prieinama tik nuskaitymui. ''''' |
| Eilutė 141: | Eilutė 143: |
| '''Bendrų resursų apsauga''' | ''``'''''' ''' ''''' |
| Eilutė 143: | Eilutė 145: |
| Prieiga prie visų Hyper-V resursų prieinama tik nuskaitymui. | '' ''' ''''' |
| Eilutė 145: | Eilutė 147: |
[[attachment:hyper.jpg|]] ``'''''' '''''' ''' '''''' ''' |
. ''''' ''' ''' ''''' |
Hyper-V security
Hyper-V saugumas
Microsoft Hyper-V – virtualizacijos sistema, kurį skirta x64 sistemoms hypervizoro pagrindu. Hyper-V programos beta versija buvo integruotą į Windows Server 2008, o finalinė versija išleista balandžio 26 d. 2008 metais. Seniau programa buvo žinoma kaip Windows Server Virtualization.
Atskira nemokama programos versija Hyper-V, kurį gavo pavadinimą „Microsoft Hyper-V Server 2008“ buvo išleista lapkričio 1 d. 2008 m. Programa yra baziniu Server Core variantu Windows Server 2008 – apjungia visą funkcianoluma Hyper-V. Nemokama 64 bitų Core versiją Hyper-V apribota komandinės eilutės sąsaja, kur konfiguravimas operacinės sitemos, aparatinės bei programinės dalies atliekamas komandinės eilutės pagalba. Naujos valdymo sąsajos menu atlieka paprastą pirminę konfuguraciją, o kai kurie nemokami, paplitę skriptai, papildo duotą koncepciją.
- Virtualaus serverio administravimas ir konfiguravimas atliekamas programinės įrangos pagalba, kurios įdėgtos kompiute ryje su Windows Vista, Windows 7 arba Windows Server 2008 operacine sistema su papildomomis galimybėms administruoti Hyper-V.
Architekrūra
Hyper-V atskiriamas pagal samprata „skyrius“. Skyrius- loginio vieneto riba, palaikoma hypervizoro, kuriame dirba operacinės sistemos. Kiekvienas hypervizoro egzempliorius turi vieną pagrindinį skyrių su Windows Server 2008 operacine sistema. Virtualizacijos stekas įjungiams pagrindiniame skyriuje ir turi tiesioginį priėjimą prie aparatinės dalies. Pagrindinis skyriaus pagalba sudaromas atrinius skyrius, kuriame ir laikomos virtualios operacinės sitemos. Atrinis skyrius gali sukurti savo antrinius skyrius ir jiems būti pagrindiniu. Pagrindinis skyrius sudaro antrinius hypervizoro pagalba.
Virtualizacijos skyriai ne turi priėjimo prie fizinio procesoriaus, negali valdyti realių petraukčių. Dėl to jie turi virtualų procesoriaus atvaizdo adresą, kuris priklauso nuo hypervizoro konfuguraciajos. Hypervizor gali nustatyti procesoriaus sudėtį kiekvienam skyriui. Hypervizor valdo procesoriaus pertrauktys ir siunčia jas į tam tikrus skyrius, naudodamasis dirbtiniu petraukčių valdikliu (Synthetic Interrupt Controller arba SynIC). Hyper-V gali aparatiškai didinti adresų transliaciją tarp atskirų virtualių adresinių erdvių IOMMU (I/O Memory Management Unit-atminties įvedimo/išvedimo įtaisas) pagalba, kuris dirba atskirai ir nepriklauso nuo aparatinio atminties valdymo.
Antriniai skyriai ne turi priėjimo prie aparatinių resursų, bet gauna virtualų resursų atvaizdą, kurie vadinasi virtualus įtaisai. Kiekviena užklausa skirta virtualiems įtaisams, nukreipiama per VMBus įtaisams pirminiame skyriuje, kurie ir apdoros duotą užklausą.
VMBus- loginis kanalas, kuris sąveikauja tarp skyrų. Atsakymas grįžta irgi per VMBus. Jeigu pirminio skyriaus įtaisai irgi virtualaus skyriaus, tai užklausa bus perduodama toliau, kol nepasieks pirminio skyriaus, kur turės prieiga prie fizinių įtaisų. Pirminiai skyriai įjungia Virtualization Service Provider, kuris jungiasi su VMBus ir apdoroja įtaisų priėjimo užklausas nuo antrinių skyrių. Antriniai skyriai dirba su Virtualization Service Client (VSP), kuris persiunčia užklausas per VMBus į pirminio skiriaus VSC.'
Pagrindinės Hyper-V apsaugos problemos
1) Administravimo panelės nebūvimas administravimo užduotims paskirstyti.
· Pagal nutylėjimą valdyti virtualias mašinas gali Hyper-V administratorius
2) Paprastas virtualių sistemų pernešimas į kitas fizines platformas.
· Konfidicialūs duomenys gali būti pavogti, kopijuojant virtualias mašinas.
3) Virtualios mašinos naudojasi host serverio resursais.
· Pagal nutylėjimą neapribotas virtualiųjų mašinų host sistemos naudojamasis.
4) Tinklinė sąveika
· Virtualus serveris turi turėti pakankamai tinklo sąsajų teisingai virtualių mašinų tinklų segmentacijai.
5) Serverio apsauga
· Administratorius turi prieiga prie visų virtualių mašinų
· Kadangi visas tinklo pralaidumas antrinių operacinių sitemų praeina per host serverį sąsajas, tai viena sensorius Ids host serveryje galės kontroliuoti visą trafiką antrinių operacinių sistemų.
6) Serverio apsauga nuo pačių virtualių mašinų
· Yra būtinybė izoliuoti host serverį, nuo virtualių mašinų.
Hyper-V saugumas
1) 'Pagrindinės OS saugumas Dėgimas.
Instaliuojant serverį Hyper-V rekomenduojama padaryti kelius žingsnius, kurie padidina sistemos saugumą. Galima sumažinti potencialų atakos plotą, įdiegus Hyper-V į serverį Windows 2008 R2, kuris dirbs branduolio režime be grafinio režimo. Taip pat rekomenduojama naudoti papildomus tinklo adapterius, mažiausiai dviejus, vienas iš kurių bus naudojamas darbui su virtualia mašina, kitas adminitruojant serverį su įdėgtu Hyper-V paketu. Rekomenduojama naudoti kaip pagrindinės operacinės sistemos įdėgimo variantą Server Core Windows Server 2008 R2 operacinei sistemai. Dėgimas Server Core užtrikrina minimalią atakos galimybę ir sumažina ištaisymų, atnaujinimų kiekį, kurie reikalingi aptarnavimui.
Server Core privalumai: · Minimali pagrindinės operacinės sistemos atakos galimybė.
· Naudojamas minimalus įtasų kiekis. · Didesnis sistemos našumas, nes naudojama minimalus sistemos komponentų kiekis.
· Minimalus atnaujinimų kiekis-sistema minimaliai perkraunama. Server Core trukūmai:
· Serveryje nėra grafinio valdymo. · Kai kurie draiveriai ir programos ne palaikomos Server Core režime.
· Serveryje galima naudoti tik tuos draiverius, kurie praėjo suderinamumo patikrinimą. Tinklo sąsajų konfuguracija
Tinkama tinklų sąsajų konfiguracija žymiai padidina bendrą apsaugos Hyper-V mazgų lygį. Microsoft rekomenduoja naudoti mažiausiai du tinklo adapterius Hyper-V mazge. Operainei virtualizacijos serverio sistemai naudojamas išskirtas tinklo adapteris. Pagal nutylėjimą pagrindinei virtualizacijos operacinei sistemai tinklas nekonfiguruojmas. Serverio valdymui, kur naudojamas Hyper-V, reikia naudoti išskirtą tinklo adapterį ir prijungtį jį prie patikimo potinklio, izoliuojant nuo kitų potinklių. Virtualių mašinų tinklo darbui naudojama vienas arba keli skirtingi tinklo adapateriai. Tai ledžia naudoti skirtingus tinklo saugumo lygius ir virtualių mašinų konfiguraciją. Pavyzdžiui galima nustatyti tinklą tikiu būdu, kad priėjimas prie tinklo virtualioms mašinoms, skirtusi nuo priėjimo prie tinklo pagrindinei operacinei sitemai, įskaitant virtualių lokalių tinklų naudojimą, IP saugumą (IPSec), prieigos prie tinklo saugumą (NAP).
Host serverio valdymas ir administravimas Nerekomenduojama suteikinėti virtualių mašinų administratoriams prieigos teisių prie pagrindinės operacinės sistemos. Remiantis mažiausiu privilegijų principu, virtualių mašinų administratoriams suteikiamos minimalios būtinos teisės. Reikalingų teisių valdymas visuose objektuose, kurie susiję su virtualiomis mašinomis, gali būti sudėtinga užduotis. Prie netinkamo naudojimo, gali privesti prie saugumo problemų.
2) Virtualių mašinų saugumas Virtualios mašinos saugumas iš pricnipo nieko nesisikyria nuo pagrindinės operacinės sistemos saugumo. Visi saugumo kriterijai, kurie priskiriami prie operacinės sistemos, pilnai atitinka virtualios mašinos saugumą. Rekomenduojama, kad kiekvienoje virtualioje mašinoje, būtų naudojama:
Antivirusinė programa
Kitos priemonės, kurios atitinka saugumo reikalavimus atitinkamai sistemai.
Duomenų sistemų sauga Duomenų sistemų apsaugai reikia naudoti standartinius šaltinius- access control lists (ACLs)- virtualių mašinų prisijungmimo prie duomenų nustatymai. Toks požiūris užkirs kelią, kai įsilaužėjas bandys gauti neteisėtą prisijungimą prie virtualios mašinos duomenų tam, kad nukopijuoti juos arba pakeisti juos – variantų labai daug.
Vis dėlto, ACLs naudojamasis ne užtikrins pačios virualios mašinos nuo netesėto prisijungimo. Hyper-V serveryje kiekviena virtuali mašina dirba vmwp.exe saugumo proceso kontekste, kuris atliekamas NETWORK SERVICE vardu ir kuris turi prieiga prie virtualios mašinos duomenų. Tai būtina tam, kad naudotis Hyper-V konsole virtualios mašinos valdymui iš naudotojo pusės, kuris be abejo turi priegos teisės prie sistemos.
Hyper-V saugomo žingsniai įtraukia ne tik ACLs naudojimą, bet ir saugumo užtikrinimo,valdymo instrumentus, tokius kaip System Center Virtual Machine manager 2008, Authorization Manager, kurie naudojami teisėms prie virtualių mašinų apriboti. BitLocker šifravimas
Rekomenduojama naudoti BiLocker šifravimo mechanizmą Hyper-V resursų apsaugai. BitLocker BitLocker šifravimas naudoja serverio įrangos komponentus ir mikroprogramas operacinės sitemos užkrovimo metu bei disko šifravimui, netgi jei serveryje nėra maitinimo įtampos. Tai leidžia apsaugoti duomenys, jei diskas bus pavogtas arba nukopijuotas į kitą kompiuterį.Bilocker šifravimas padeda apsaugoti duomenys netgi jei įsilaužėjas naudoja kitą operacinę sistemą arba bando neteisėtai prisijungti prie duomenų disko. Prisijungimo prie objekto įvykių auditas
Saugumo funkcijos duomenų sistemoje gali užkirsti kelią neteisėtiems prisijungimams, labai svarbiems virtualių mašinų objektams, pavyzdžiui prie VHD duoemnų. Audito naudojimas priėjimui prie objektų leis aptikti neteisėtus prisijungimus. Įjunkite prisijungimo auditą Hyper-V serveryje. Po šios funcijos įjungimo bus registruojami visi prisijungimo prie duomenų įvykiai. Jeigu duomenų sudėtis bus pažeista, įvykių žurnale bus registruojamas kiekvienas prisijungimo prie duomenų bandymas. Dažnai atsitinka, kad virualiose mašinose reikia saugoti labai svarbius, konfidicealius duomenys. Tokiais atvejais reikia užtikrinti daug didesnį saugos lygį. Vienas iš svarbesnių virtualių mašinų privalumų yra galimybė greitai pakeisti į autonominį režimą pristabdymo funkcijos Hyper-V pagalba (suspend). 3) Hypervizor‘o apsauga
Atminties apsauga: fizinės atminties prisirišimas prie virtualios mašinos.
Kiekviena virtuali mašina naudoja tik savo fizinę atmintį. Virtualios mašinos negali kartu naudoti tą patį atminties plotą. Hypervizor bet kuriuo momentu gali suteikti teises tam tikram atminties plotui nuskaityti, keisti bei uždrausti priėjimą.
Įėjimo/ išėjimo sistemų apsauga
Pagrindinė operacinė sistema turi galimybe valdyti virtualių mašinų įėjimo/išėjimo nustatymus. Tai leidžia apriboti prieiga prie tam tikrų įėjimo/išėjimo sistemų.
Realizuota prieigos sistema prie hypervizorų
Hypervizor ne leidžia naudoti priveligijuotas procesoriaus instrukcijas.
Plati integracija su Authorization Manager
Sistema leidžia nustatyti privilegijas virtualiuose mašinuose.
Teisių nustatymas virtualiųjų mašinų grupėms
Leidžia nustatyti virtualių mašinų teises, jų paleidimą, įdėgimą, sukurimą, atvaizdų prijungimą.
Bendrų resursų apsauga
Prieiga prie visų Hyper-V resursų prieinama tik nuskaitymui.