解析如何保證雲中的Windows Server安全

隨著雲技術和伺服器虛擬化在資料中心的變得越來越重要，很多管理員都接到了利用現有Server 2008 R2安裝來保證新環境安全的任務。

Windows Server平臺有很多功能可以説明工程師鎖定他們的環境並且讓這個環境可用於虛擬化或雲部署。 記住，儘管使用者是從不同的位置來訪問一個集中的工作負載，但是這個實例仍然處於Windows Server環境中，並且受到Windows環境的潛在控制。

活動目錄和群組原則物件都是實用的工具，它們可以説明鎖定面向雲的環境。

雖然管理員現在看到用到的都是新型終端，但是很多核心安全實踐方案仍然是相同的。 工程師仍然使用現在可用的現存技術工作來鎖定他們的環境。

確保活動目錄安全。 擁有一個安全的活動目錄環境會創造更具活力、能按業務需求增長的雲基礎設施。 在Server 2008 R2裡面，活動目錄為提供登錄認證的企業創建一個安全界線。 活動目錄創建一個分等級架構，包括活動目錄林、林中的域、DNS以及每個域中的組織單元。

計畫一次安全DNS伺服器部署時，工程師首先應該收集環境的資訊。 記住，部署Windows Server 2008 R2時，規劃、設計和測試一直都非常重要。 在規劃階段，工程師收集關鍵的環境資訊，這些資訊説明工程師來確定基礎設施內的安全特質。 這些資訊應該包括內部和外部域的結構和等級，針對這些功能變數名稱授權的DNS伺服器識別，以及網路中用於主機位址解析的DNS用戶端需求。

通過這些資訊，工程師可以瞭解使用了哪些功能，從而鎖定他們的環境。 針對雲環境部署安全AD和DNS時還應該考慮以下內容：

與WAN/Cloud/Internet的聯繫。 在資料中心內部，並不是所有伺服器都面向網路，也不是所有伺服器都提供雲服務。 這種情況下，如果在互聯網上不需要你的網路主機來解析名稱，那麼消除內部DNS伺服器與互聯網的所有聯繫。 在這種DNS設計中，你可以使用你網路中完全託管的私有功能變數名稱空間，內部DNS伺服器為根域和頂層網域託管區域。 這種配置中，DNS伺服器不會使用互聯網根名稱主機，因此要配置根提示來引導它們只指向內部的DNS根。

區域傳輸相關的工作。 DNS是一個非常重要的功能。 這也是要確保部署中每個元素都安全的原因。 如果不需要就關閉區域傳輸，通過這種方法，工程師提供了一個更安全的DNS環境。 但是如果需要區域傳輸，它們也只應該出現在特定的IP位址。 開啟到任意伺服器上的區域傳輸都可能會帶來一些安全隱患。 旨在開啟區域傳輸的攻擊可能會暴露你的DNS，並且允許內部發生的惡意侵入。 這也是區域傳輸相關的工作、鎖定和限制是規劃過程中一個重要部分的原因。

管理綜合AD區域。 使用綜合目錄區域時可用的安全增強功能包括存取控制清單和安全動態更新。 你不能使用綜合目錄區域，除非DNS伺服器也是一個網域控制站。 Windows 2008 Server Core是一個不包含GUI的Windows伺服器版本。 所有Server Core的管理都通過命令列或通過腳本來執行。

部署群組原則物件(GPO)。 GPO是一個強大的工具，它説明管理員鎖定伺服器、其它機器以及面向雲的虛擬機器。 使用群組原則時，管理員可以針對電腦和使用者的群組來管理配置，包括的選項針對基於註冊表的策略設置、安全設置、軟體部署、腳本、資料夾重定向、遠端安裝服務和IE維護。 通過使用群組原則，工程師可以部署套裝軟體並保證電腦和使用者的安全。 當工作師用到策略設置、多個策略間的相互作用及繼承選項等因素時，GPO可以快速變複雜。 和所有部署一樣，必須執行仔細的規劃、設計和測試。 在用到面向雲的Windows伺服器時這尤為正確。 好的規劃工程師能夠提供企業需要的標準化功能、安全和管理控制。

Windows Server主控圖像控制。 有些環境中，基於雲的Windows伺服器是完全虛擬化的。 這些基礎設施中的一些可能需要這些圖像獲得認證且不會被更改，比如醫療。 在這種情況中，工程師可以創建一個主控黃金圖像快照。 然後他們可以克隆這個圖像並在測試環境中對這個克隆圖像應用補丁和更新。 接著他們可以在獨立的伺服器上測試來觀察是否有與更新不相容的問題。 即使是在生產環境中，如果一個補丁失效或者是產生了一個管理缺陷，伺服器管理員也可以輕鬆地回滾到最近工作正常的Windows環境。 為了達到認證的目的，主控圖像可以安全地存儲環境中的某個位置，工程師知道這個位置不會進行變更。

隨著Windows Server技術繼續改良，更多的工具可以説明管理員成功地部署並鎖定他們的環境。 由於每個環境都是獨一無二的，必須在開發雲活動之前進行基於安全的仔細規劃。 Windows Server平臺適應環境需求的能力也另人印象深刻。 但是要真正地利用這些伺服器平臺提供的功能集，還需要取決Windows管理員對自己環境的理解。

(責任編輯：蒙遺善)