Win Server 8 Hyper安全:新特性一览

互联网 | 编辑: 周黎俊 2012-06-04 00:00:00转载

自从微软发布了旗舰虚拟化平台Hyper-V,安全专业人士一直想知道微软是否会追赶上其主要竞争对手VMware。VMware一直在提供更多的虚拟网络控制能力上占尽优势,同时提供了更多有效性能并简化了新的安全产品和已有的安全产品以及技术之间的整合。在等待Windows 8 Server和新的Hyper-V平台发布之前,微软是否在安全上大展身手?从许多方面上来看,答案是肯定的。下面我们就来看看厂商为Hyper-V安全增加了什么。

Windows Server 8 Hyper-V安全:升级虚拟交换机

新版本Hyper-V的增加的第一项内容,而且肯定是最重要的就是为安全而生,即更加强有力的虚拟交换机。任何hypervisor的关键都是联网能力,虚拟交换机要能够自然的整合到物理网络环境中,而且理论上要提供和企业物理交换机所实现的相同的监控的安全控制功能。Hyper-V以前的虚拟机允许管理员创建虚拟网络,从而连接内部(物理)网络、虚拟机(VM)和Hyper-V主机,或者就是其他的VM。唯一可用的真正的分段控制就是本地虚拟LAN(VLAN)标记。

通过Windows 8虚拟交换机,微软扩展了一套API和驱动,将会简化网络安全厂商虚拟设备,而且厂商可以创建虚拟交换机扩展(Virtual Switch Extensions),从而自然的整合Hyper-V。例如思科,其Nexus 1000v虚拟交换机将会完全支持Hyper-V这个版本。

新的虚拟交换机也提供了很多内建安全性能。这些性能包括:

流量监控和过滤:新的虚拟交换机能够使用传统的端口镜像技术监控流量,也可以基于IT和MAC地址过滤流量。OpenFlow和sFlow也是本身内置的。

ARP(地址解析协议)和节点发现欺骗保护:Layer 2欺骗和依赖于ARP欺骗或者节点发现(IPv6)欺骗的中间人攻击将会在新的Hyper-V虚拟交换机中有所缓解,因为它能够监控MAC地址和端口。

DHCP(动态主机配置协议)Guard:新的交换机将会防御恶毒的虚拟机假扮DHCP服务器。

端口ACL:IP和MAC地址可用于控制哪台虚拟机能够同其他的进行通信。

专用VLAN:增加了现有VLAN分段之间的layer 2分段和隔离。

此外,管理员现在可以将虚拟交换机端口作为指定中继端口来安装,允许多种VLAN上的流量遍历端口。虚拟设备作为入侵检测感应器或者流量监控系统,这是一项非常重要的功能。

纯粹的从网络可用性的角度来看,NIC一起合作的能力,主动-被动以及故障恢复策略,对于任何核心关键虚拟化服务都是强制性能。Hyper-V过去在这个性能上的支持不够强健,最终本地化引入支持NIC同多厂商NIC支持合作。

Windows Server 8 Hyper-V安全:操作特性

新版本Hyper-V将会支持多种操作特性,这一点对于可用性和安全性来说至关重要。比如,内置应用和事件日志监测将会为虚拟机出现,为Hyper-V主机提供这项数据,从而快速检测服务失败和其他问题。这项服务主要是为替代集群(为不支持集群的应用和系统)而设计,但是确实也存在安全利益,包括更高的可用性和自动补救,像重启VM和服务。管理员可以创建亲和性规则,让具体的VM在从一个主机迁移到另一个主机上时一同运作,这样也能够为系统不同的数据机密等级所用。例如,规则可以命令虚拟机处理支付卡数据永不迁移到一个PCI DSS法规范围之外的集群上。

Windows Server 8和Hyper-V另外两个补充性能包含集群。第一个性能直接影响机密性,能够构建磁盘加密(BitLocker-encrypted)Hyper-V集群容量。这个性能允许集群成员访问容量上存储的虚拟机,在适当的地方加密保护容量不被禁止的人访问。第二个性能就是群集识别补丁(clusteraware patching),这个性能将会极大的简化Hyper-V主机大规模补丁操作,同时改善安全性。

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑