如何保证云中的Windows Server安全运营维护
随着云技术和服务器虚拟化在数据中心的变得越来越重要,很多管理员都接到了利用现有Server 2008 R2安装来保证新环境安全的任务。
Windows Server平台有很多功能可以帮助工程师锁定他们的环境并且让这个环境可用于虚拟化或云部署。记住,尽管用户是从不同的位置来访问一个集中的工作负载,但是这个实例仍然处于Windows Server环境中,并且受到Windows环境的潜在控制。
活动目录和组策略对象都是实用的工具,它们可以帮助锁定面向云的环境。
虽然管理员现在看到用到的都是新型终端,但是很多核心安全实践方案仍然是相同的。工程师仍然使用现在可用的现存技术工作来锁定他们的环境。
确保活动目录安全。拥有一个安全的活动目录环境会创造更具活力、能按业务需求增长的云基础设施。在Server 2008 R2里面,活动目录为提供登录认证的企业创建一个安全界线。活动目录创建一个分等级架构,包括活动目录林、林中的域、DNS以及每个域中的组织单元。
计划一次安全DNS服务器部署时,工程师首先应该收集环境的信息。记住,部署Windows Server 2008 R2时,规划、设计和测试一直都非常重要。在规划阶段,工程师收集关键的环境信息,这些信息帮助工程师来确定基础设施内的安全特质。这些信息应该包括内部和外部域的结构和等级,针对这些域名授权的DNS服务器识别,以及网络中用于主机地址解析的DNS客户端需求。
通过这些信息,工程师可以了解使用了哪些功能,从而锁定他们的环境。针对云环境部署安全AD和DNS时还应该考虑以下内容:
与WAN/Cloud/Internet的联系。在数据中心内部,并不是所有服务器都面向网络,也不是所有服务器都提供云服务。这种情况下,如果在互联网上不需要你的网络主机来解析名称,那么消除内部DNS服务器与互联网的所有联系。在这种DNS设计中,你可以使用你网络中完全托管的私有域名空间,内部DNS服务器为根域和一级域名托管区域。这种配置中,DNS服务器不会使用互联网根名称主机,因此要配置根提示来引导它们只指向内部的DNS根。
区域传输相关的工作。DNS是一个非常重要的功能。这也是要确保部署中每个元素都安全的原因。如果不需要就关闭区域传输,通过这种方法,工程师提供了一个更安全的DNS环境。但是如果需要区域传输,它们也只应该出现在特定的IP地址。开启到任意服务器上的区域传输都可能会带来一些安全隐患。旨在开启区域传输的攻击可能会暴露你的DNS,并且允许内部发生的恶意侵入。这也是区域传输相关的工作、锁定和限制是规划过程中一个重要部分的原因。
管理综合AD区域。使用综合目录区域时可用的安全增强功能包括访问控制列表和安全动态更新。你不能使用综合目录区域,除非DNS服务器也是一个域控制器。Windows 2008 Server Core是一个不包含GUI的Windows服务器版本。所有Server Core的管理都通过命令行或通过脚本来执行。
部署组策略对象(GPO)。GPO是一个强大的工具,它帮助管理员锁定服务器、其它机器以及面向云的虚拟机。使用组策略时,管理员可以针对计算机和用户的群组来管理配置,包括的选项针对基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向、远程安装服务和IE维护。通过使用组策略,工程师可以部署软件包并保证计算机和用户的安全。当工作师用到策略设置、多个策略间的相互作用及继承选项等因素时,GPO可以快速变复杂。和所有部署一样,必须执行仔细的规划、设计和测试。在用到面向云的Windows服务器时这尤为正确。好的规划工程师能够提供企业需要的标准化功能、安全和管理控制。
Windows Server主控图像控制。有些环境中,基于云的Windows服务器是完全虚拟化的。这些基础设施中的一些可能需要这些图像获得认证且不会被更改,比如医疗。在这种情况中,工程师可以创建一个主控黄金图像快照。然后他们可以克隆这个图像并在测试环境中对这个克隆图像应用补丁和更新。接着他们可以在独立的服务器上测试来观察是否有与更新不兼容的问题。即使是在生产环境中,如果一个补丁失效或者是产生了一个管理缺陷,服务器管理员也可以轻松地回滚到最近工作正常的Windows环境。为了达到认证的目的,主控图像可以安全地存储环境中的某个位置,工程师知道这个位置不会进行变更。
随着Windows Server技术继续改良,更多的工具可以帮助管理员成功地部署并锁定他们的环境。由于每个环境都是独一无二的,必须在开发云活动之前进行基于安全的仔细规划。Windows Server平台适应环境需求的能力也另人印象深刻。但是要真正地利用这些服务器平台提供的功能集,还需要取决Windows管理员对自己环境的理解。