Cấu hình bảo mật HyperV bằng Authorization Manager

Cấu hình bảo mật Hyper-

V bằng Authorization

Manager

Quản trị mạng – Nếu muốn triển khai Hyper-V và các máy ảo, một

trong những yêu cầu chính cần phải có đó là bảo đảm cho môi trường

của bạn được an toàn. Bài viết này chúng tôi sẽ giới thiệu cho các bạn

về cách cấu hình bảo mật Hyper-V bằng cách sử dụng Authorization

Manager. Bài viết cũng giới thiệu những cách thực hành tốt nhất để bảo

mật của Hyper-V và cung cấp một số ví dụ về cách thực thi bảo mật

Hyper-V bằng Authorization Manager.

Các thuật ngữ

Parent Partition: Windows Server 2008 đang chạy Hyper-V role được

gọi là Parent Partition. Parent Partition có nhiệm vụ tạo Child Partition

và kiểm soát sự truyền thông giữa các máy ảo.

Child Partition: Một máy ảo chạy trên Hyper-V Server được gọi là Child

Partition. Parent Partition tạo ra các Child Partition.

Authorization Manager: Authorization Manager bảo đảm an toàn cho tài

nguyên. Hyper-V sử dụng Authorization Manager để bảo vệ an toàn cho các máy

ảo.

Nhiệm vụ đầu tiên mà các quản trị viên CNTT cần phải thực hiện là

cung cấp sự an toàn cho cơ sở hạ tầng máy chủ trước khi được thực thi

thực trong môi trường sản xuất. Hyper-V là một trong số đó. Có rất

nhiều quản trị viên CNTT đều không biết cách thực thi một môi trường

Hyper-V an toàn. Điều này không phải do lỗi từ phía các quản trị viên

mà chính là do Hyper-V vẫn còn rất mới trong thế giới ảo hóa. Hay nói

một cách khác, so với Vmware thì Hyper-V có tuổi đời ít hơn rất nhiều.

Công nghệ mới này có chứa nhiều điểm khác biệt so với đối thủ cạnh

tranh của nó. Cho ví dụ, Vmware sử dụng kiến trúc Monolithic VMM,

trong khi đó Hyper-V sử dụng kiến trúc Microkernelized VMM. Sự

khác biệt cũng có thể nằm trong kiến trúc bảo mật.

Hyper-V không có công cụ đi kèm để sử dụng cho việc bảo vệ máy ảo

mà thay vào đó, nó sử dụng một thành phần của Windows có tên

Authorization Manager giúp bảo mật cho các máy ảo và Hyper-V.

Authorization Manager là một thành phần có trong Windows Server

2008 và được kích hoạt mặc định. Vấn đề bảo mật ở đây có liên quan

đến tất cả khía cạnh. Cho ví dụ, bảo mật các hệ điều hành có liên quan

đến bảo mật các file hệ điều hành (chẳng hạn như các file DLL và

OCX). Tương tự như vậy, với Hyper-V, bạn cũng nên biết những gì cần

bảo mật khi muốn bảo mật Hyper-V và các máy ảo của mình (ví như bạn

muốn bảo mật các máy ảo hay toàn bộ môi trường Hyper-V?).

Tuy nhiên việc bảo mật các máy ảo không liên quan nhiều đến việc

quản trị. Bạn chỉ cần biết cách sử dụng Authorization Manager và thực

hiện một số nhiệm vụ bảo mật. Để bảo mật cho toàn bộ môi trường

Hyper-V, bạn phải biết mọi thứ về Hyper-V, cần phải biết được nơi

Hyper-V copy tất cả các file của nó, tất cả các cổng được mở cho các

dịch vụ đang chạy trên Hyper-V và cấu hình mặc định của Hyper-V.

Chúng tôi sẽ giới thiệu cho các bạn chi tiết về các chủ đề dưới đây trong

loạt bài này:



Cấu hình mặc định Hyper-V và việc bảo vệ file, thư mục



Máy ảo và các đặc quyền NTFS



Tổng quan và bảo mật các dịch vụ của Hyper-V



Các Rule và cấu hình tường lửa của Hyper-V



Bảo mật Hyper-V và các máy ảo bằng Authorization Manager



Ví dụ về bảo mật Hyper-V bằng Authorization Manager



Một số thực hành bảo mật tốt nhất

Cấu hình mặc định của Hyper-V và việc bảo mật file, thư mục

Các quản trị viên cần phải biết được cấu hình mặc định của Hyper-V.

Đầu tiên, chúng tôi sẽ giới thiệu đến việc bảo mật các thư mục mà ở đó

có chứa các máy ảo VHD và các file cấu hình (XML).

Khi kích hoạt Hyper-V role trên Windows Server 2008 lần đầu, chương

trình sẽ tạo một vài thư mục và copy nhiều file trong nó. Ở đây chúng ta

cần phải biết được location mặc định cho việc lưu các máy ảo và các

file cấu hình trước khi bắt tay vào thực hiện bảo mật cho Hyper-V.

%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Machines

%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Hard

Disks

%SystemRoot%ProgramDataMicrosoftWindowsHyper-VSnapshots

Mặc định, Hyper-V sử dụng các thư mục ở trên để lưu các file cấu hình

máy ảo cũng như VHD và các snapshot có liên quan đến các máy ảo.

Bạn phải thay đổi location mặc định trước khi chuyển Hyper-V sang môi

trường sản xuất. Cách tốt nhất là nên thay đổi location mặc định cho việc

lưu VHD, XML và các file Snapshot vào SAN drive.

Khi bạn cài đặt Hyper-V Role, một nhóm bảo mật đặc biệt mang tên

"Virtual Machines" sẽ được tạo. Nhóm bảo mật này gồm có các GUID

của tất cả máy ảo đã được đăng ký với Hyper-V Server, và nó có quyền

truy cập vào thư mục

%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual

Machines

đây là thư mục lưu các file cấu hình (XML Files) của các máy ảo. Nếu

nhóm bảo mật (Security Group) bị xóa hoặc không có trong tab Security

của thư mục máy ảo thì bạn không thể truy cập vào các máy ảo đang chạy

trên Hyper-V. Quá trình VMMS.EXE chịu trách nhiệm quản lý sự truy

cập cho tất cả các máy ảo, sử dụng nhóm bảo mật "Virtual Machines" để

tăng sự truy cập vào các máy ảo trên Hyper-V Server.

Mặc định, các đặc quyền bảo mật trên thư mục

Hyper-VVirtual Machines

như thể hiện dưới đây:

Các đặc quyền bảo mật mặc định trên thư mục Virtual Machines

Tối thiểu, cần giữ các nhóm bảo mật được đề cập bên dưới trong property của

thư mục

Hyper-VVirtual Machines:

SYSTEM Account -Full Control

Administrators -Full Control

Virtual Machines -Special Permissions

Mặc định, Hyper-V không cho phép bất cứ ai truy cập các máy ảo ngoại

trừ SYSTEM Account và Local Administrators Account. Điều này hoàn

toàn rõ ràng trong hình ở trên. Local Administrators Security Group

được bổ sung vào kho lưu trữ các chính sách của Authorization Manager

và nó được trao quyền kiểm soát toàn bộ trên Hyper-V, gồm có cả các

máy ảo đang chạy trên nó.

Các thiết lập bảo mật tương tự, được thể hiện trong hình trên, sử dụng

cho thư mục Hyper-Vsnapshots.

Mẹo: Nếu bạn muốn không cho người dùng hoặc quản trị viên tạo các máy ảo

trên Hyper-V Server, hãy remove nhóm bảo mật đặc biệt "Virtual Machines"

khỏi thư mục:

Hyper-VVirtual Machines

Thư mục tiếp theo cần bảo mật trên Hyper-V là

Hyper-VVirtual Hard Disks

Việc bảo mật thư mục này có ý nghĩa quan trọng hơn so với thư mục có chứa các

file XML vì Hyper-V hỗ trợ các máy ảo dưới định dạng VHD. Các định dạng

VHD này có thể được sử dụng với các phiên bản trước đây của phần mềm ảo

hóa. Người dùng không thẩm định truy cập vào các file VHD đều có thể copy

file VHD và sử dụng nó với Virtual Server hoặc Virtual PC. Các thiết lập mặc

định trên thư mục

Hyper-VVirtual Hard Disks

thể hiện như những gì bên dưới:

Các đặc quyền bảo mật mặc định trên thư mục Virtual Hard Disks

Để thắt chặt hơn vấn đề bảo mật cho thư mục có chứa VHD, bạn có thể remove

nhóm bảo mật Users đã được thêm khi kích hoạt Hyper-V Role ban đầu. Tối

thiểu, bạn nên giữ các nhóm bảo mật dưới đây trong tab Security:

SYSTEM - Full Control

Administrators - Full Control

Authenticated Users - Read & Execute

Cách bảo mật truy cập máy ảo bằng DACL

Authorization Manager, thành phần sẽ được chúng tôi giới thiệu ở phần

sau, là một công cụ chính cho việc bảo mật truy cập máy ảo. Tuy nhiên

các bạn cũng có thể cấu hình DACL trên thư mục máy ảo để bảo mật

cho các máy ảo đang chạy trên Hyper-V. Cách thức bảo mật này được

thực hiện bằng cách sử dụng các đặc quyền NTFS.

Bảo mật truy cập máy ảo bằng DACL

Như những gì các bạn thấy trong hình trên, tổ chức thể hiện có hai

nhóm: nhóm phát triển và nhóm Test. Hai nhóm bảo mật đã được tạo

cho mỗi đội - Dev Team và Test Team. Nhóm phát triển Development

chịu trách nhiệm viết mã, sau đó chuyển giao chúng cho nhóm Test để

thực hiện kiểm tra. Nhóm phát triển phải truy cập tất cả 10 máy ảo (lấy

ví dụ). Tại cùng thời điểm đó, phải bảo đảm cho nhóm Test không truy

cập đến các máy ảo của họ, ngoại trừ TVM1 đến TVM5. Để thực hiện

điều đó, hãy gán các đặc quyền NTFS trên các thư mục máy ảo.

Trong ví dụ này, có ba thư mục máy ảo:



X:Virtual Machines



X:Virtual MachinesDevelopmentTeamVirtualMachines



X:Virtual MachinesTestTeamVirtualMachines

Nhóm phát triển được gán đặc quyền kiểm soát toàn bộ trên thư mục 2 và 3, còn

nhóm Test được gán đặc quyền toàn bộ chỉ trên thư mục 3. Đôi khi nhóm Test

thậm chí còn không có đặc quyền đọc trên thư mục 3.

Tổng quan các dịch vụ và việc bảo mật các dịch vụ của Hyper-V

Hyper-V là một ứng dụng client/server. Hyper-V có ba dịch vụ mặc định bên

dưới:

Cấu

Nội dung hình

Tên dịch vụ Chức năng

bảo mật nên

đặt

Virtual Manages

SYSTEM Machine overall

Default

Account Management Hyper-V

Service environment

Hyper-V

Management

Network Image

Default of Virtual

Service Management

Hard Disks

Service

Hyper-V Management

Network of Hyper-V SYSTEM

Default

Management Virtual Account

Service Networking

Các dịch vụ ở trên được cấu hình khởi chạy hoàn toàn tự động dưới nội

dung bảo mật SYSTEM Account. Tài khoản theo đó mà các dịch vụ này

chạy có đặc quyền cao nhất trên hệ thống. Bạn không nên thay đổi tài

khoản bên dưới nội dung mà chúng chạy. Nếu thay đổi, hacker hoặc mã

độc có thể tấn công vào các máy ảo hoặc Parent Partition của Hyper-V.

Mật khẩu tài khoản SYSTEM cũng cần phải được đảm bảo bí mật. Việc

chạy các dịch vụ này trong một tài khoản người dùng miền sẽ không an

toan chút nào vì lúc này hacker có thể tìm ra mật khẩu bằng các phần

mềm.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách Hyper-V

lưu các file VHD và các file XML trên ổ đĩa hệ thống như thế nào. Một

điểm cần nhấn mạnh trong bài là các bạn nên thay đổi location mặc định

để lưu VHD và XML vào SAN Drive, sau đó thực hiện bảo mật bằng

cách gán các đặc quyền NTFS. Trong phần chúng tôi cũng đã cung cấp

một ví dụ về cách bảo mật truy cập máy ảo bằng cách sử dụng các đặc

quyền NTFS.