Microsoft TechDayshttp:// Абраменко Денис Инженер IBS DataFort

Microsoft TechDayshttp:// Обзор систем виртуализации Архитектура Hyper-V Hyper-V подход к безопасности

Microsoft TechDayshttp:// Реализация виртуализации в более ранних версиях Реализация виртуализации на базе гипервизора

Microsoft TechDayshttp:// МонолитныйМикроядерный

Microsoft TechDayshttp:// Обзор систем виртуализации Архитектура Hyper-V Hyper-V подход к безопасности

Microsoft TechDayshttp:// Операционная система Virtualization Service Providers (VSPs) Windows Kernel Server Core Device Drivers Windows Hypervisor Virtualization Stack VM Worker Processes VM Service WMI Provider Виртуальная машина(VM) Ring 0: Kernel Mode Ring 3: User Mode Virtualization Service Clients (VSCs) OS Kernel Enlightenments VMBus Guest Applications Server Hardware Provided by: Windows ISV Hyper-V

Microsoft TechDayshttp:// Обзор систем виртуализации Архитектура Hyper-V Hyper-V подход к безопасности

Microsoft TechDayshttp:// Отсутствие ролевой модели для разделения задач администрирования По умолчанию управлять виртуальными машинами может администратор Hyper-V Простая переносимость виртуальных систем на другие физические платформы конфиденциальные данные могут быть украдены путем копирования виртуальной машины на обычный мобильный накопитель за несколько минут Защита шаблонов виртуальных машин Простота развертывания виртуальных систем рождает соблазн их бесконтрольного использования в пределах инфраструктуры организации Использование ресурсов хост сервера виртуальными машинам Ограничение использования ресурсов хост системы виртуальной машиной по умолчанию нет ограничений Сетевое взаимодействие Виртуальный сервер должен иметь достаточное число сетевых интерфейсов для правильной сегментации сетей для виртуальных машин Защита сервера, играющего роль хоста Администратор хост сервера имеет полный доступ ко всем виртуальным машинам Поскольку весь трафик гостевых операционных систем проходит по сетевым интерфейсам хоста, один сенсор IDS на хосте сможет контролировать трафик всех гостевых операционных систем Защита сервера, играющего роль хоста от виртуальных машин Следует изолировать сеть хоста от сетей гостевых операционных систем

Microsoft TechDayshttp:// Защита памяти Привязка физической памяти к памяти виртуальной машины Возможность переназначения гипервизором прав доступа R/W/X к любым таблицам памяти виртуальной машины Защита системы ввода/вывода Гипервизор устанавливает политику доступа к ресурсам ввода/вывода, установленную в основной ОС. В v1 ВМ не имеют доступа к I/O Защита доступа к гипервызовам Гипервизор устанавливает политику доступа к привилегированным инструкциям, установленную в основной ОС. В v1 ВМ не имеют доступа к инструкциям гипервызова

Microsoft TechDayshttp:// Тесная интеграция с Authorization Manager Ролевое администрирование Установка прав на группы ВМ Явно задаваемые права доступа Запуск, остановка, создание ВМ, управление оборудованием ВМ, подключение образов дисков, работа с библиотекой шаблонов Не требует администраторских прав в домене, на сервере или в ВМ Защита общих ресурсов ISO образы всегда Read Only Запись на общие диски осуществляется в виде копирования (дифференциальные диски)

Microsoft TechDayshttp:// Новое понятие с WS08 Изолирует файлы ВМ и память друг от друга

Microsoft TechDayshttp:// Глава 1: Защита Hyper-V Безопасность Hyper-V Конфигурация роли Hyper-V Контрольный список конфигурации Глава 2: Делегирование управления VM Использование инструментов делегирования Делегирование доступа с использованием Authorization Manager (AzMan) Делегирование доступа с использованием System Center Virtual Machine Manager (SCVMM) Защита виртуальных машин Методы защиты виртуальных машин Обслуживание виртуальных машин Best Practices

Microsoft TechDayshttp:// Основные вопросы безопасности: Безопасность управляющей ОС Безопасность виртуальных машин Управляющая операционная система Рекомендации по установке Конфигурация сетевых интерфейсов

Microsoft TechDayshttp://

Основные вопросы безопасности: Безопасность управляющей ОС Безопасность виртуальных машин Управляющая операционная система Рекомендации по установке Конфигурация сетевых интерфейсов Конфигурация местоположения файлов Конфигурация среды управления

Microsoft TechDayshttp:// Контрольный список: Используйте ОС сервера в режиме ядра. Своевременно проверяете и устанавливайте обновления безопасности. Используйте выделенный сетевой адаптер для управления Hyper-V сервером изолируйте его от все других подсетей. Обеспечте безопасность для хранилищ где размещаются файлы виртуальных машин. Примените базовые настройки для операционной системы описанные Windows Server 2008 Security Compliance Management Toolkit. Сконфигурируйте антивирусное программное обеспечение, исключите и real-time сканирования ресурсы Hyper-V. Не используйте ОС хост сервера Hyper-V для запуска и работы приложений. Не предоставляйте администраторам виртуальных машин права на управление хост сервером Hyper-V. Защищайте свои виртуальные машины, это повысит общий уровень безопасности системы. Используйте шифрование BitLocker для защиты ресурсов.

Microsoft TechDayshttp:// Консоль управления Hyper-V Рекомендуемые учетные записи администраторов Manage VMs Authorization Manager (AzMan) Оснастка Microsoft Management Console Компоненты Делегирование

Microsoft TechDayshttp://

Консоль управления Hyper-V Рекомендуемые учетные записи администраторов Manage VMs Authorization Manager (AzMan) Оснастка Microsoft Management Console Компоненты Делегирование System Center Virtual Machine Manager Решение уровня предприятия Управление VMware ESX Server 3 определенные конфигурации

Microsoft TechDayshttp://

Безопасность файловой системы Шифрование Аудит Обслуживание виртуальных машин Контрольный список

Microsoft TechDayshttp:// Контрольный список: Используйте диски фиксированного размера для виртуальных машин Сохраняйте файлы виртуальных машин и образы на защищенном хранилище данных Определяйте сколько ресурсов необходимо для виртуальной машины Разделяйте подсети виртуальных машин, конфигурируйте сетевые адаптеры виртуальной машины таким образом чтобы каждый адаптер находился в требуемой подсети Добавляйте только необходимые устройства для работы виртуальной машины Применяйте базовые настройки для операционной системы виртуальной машины описанные Windows Server 2008 Security Compliance Management Toolkit. Перед использованием виртуальных машин убедитесь что установлены все обновления безопасности и инструменты hyper-v integration services.

Microsoft TechDayshttp:// Планирование безопасности Hyper-V Портал Microsoft Virtualization Блог Russian Windows Virtualization Discussion Блог Андрея Бешкова Более детальную информацию можно получить из следующих источников: Windows Server 2008 Security Compliance Management Toolkit Hyper-V Security Guide

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.