|
|
|
|
移动端

VMware ESXi安全六问六答:保卫hypervisor与主机

保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。

作者:Alyssa Wood来源:TechTarget中国|2012-02-15 10:30

【新品产上线啦】51CTO播客,随时随地,碎片化学习

保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。

有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙,添加网络安全,锁定用户账户,这些都非常重要。因此了解vSphere 5里的新安全功能是必须滴。

以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件,加固你的架构,并熟悉一些新的VMware安全功能。

关于VMware ESXi安全你该关注什么?

ESXi自身非常安全。像VMware ESXi这样的Type 1 hypervisor不是运行在主机操作系统上,这意味着操作系统不需要额外的保护。不过要启动ESXi安全,可以手动配置一些额外的VMkernel设置。你也应该确保ESXi网络的不同部分彼此独立,保护独立虚拟机的安全。

vSphere 5安全有啥新鲜事?

你可能已听说VMware更新了vShield 5种的安全套件,但新的虚拟化平台也提供登录改进、ESXi防火墙和安全部署ESXi的新方式。要启动vSphere安全,Auto Deploy功能能帮助你一次部署大量主机,并使用Host Profiles配置这些主机确保一致性。例如,有了Auto Deploy后,可以确保一个集群中所有ESXi主机的防火墙设置是相同的。

我如何确保ESXi hypervisor安全?

通过实施物理与虚拟防火墙,最大程度确保VMware hypervisor安全。也要确保分配主机资源,防止单个虚拟机过量消耗导致断电。所以可以创建资源池并分配给每台虚拟机。在vSphere 5中,Storage I/O Control与Network I/O Control功能提供额外的资源池。

每次只让一个用户访问一个虚拟机的控制台,这样也能确保hypervisor安全,这种情况发生在远程用户同时连接的时候。最后,不要让管理员拥有太多权限。在ESXi主机上创建特殊用户账号并锁定Mode,阻止他们通过API、命令行工具与vSphere Client直接访问。

我需要关注哪些VMware安全漏洞?

有些区域黑客能轻易渗透:主机管理控制台、ESXi远程控制台、虚拟机数据存储与网络。如果有人在数据存储中访问虚拟机磁盘文件的话,他们就可以拷贝整个虚拟机并在任何地方都能下载。要避免VMware安全漏洞,你也需要保护虚拟网络。当在虚拟LAN之间移动虚拟机时,服务器与网络组之间的错误传达会导致不正确的配置。

VMware用户账户如何提供ESXi安全?

为每台主机创建用户账户并自定义这些账户能加强ESXi安全。VMware有个默认的账户,但最好添加新的,有特权的账户。以便监控每台主机上谁在做什么。自定义VMware用户账户的过程很简单,可以分配权限给单个用户或用户组。

如何配置VMware ESXi防火墙?

VSphere 5引入了新的ESXi防火墙,可与vSphere Client或命令行一起配置。默认下,这种无状态的防火墙不像ESX Server防火墙那样,为服务定义端口规则。VMware ESXi防火墙还能指定(一系列)IP地址,使得远程主机也能访问每个服务。

原文链接:http://www.searchvirtual.com.cn/showcontent_58122.htm

【编辑推荐】

  1. PowerCLI管理VMware View 4.5虚拟桌面入门
  2. 专家热议:Hypervisor的未来将会如何?
  3. VMware大步前行,欲称霸新兴的混合云市场
  4. 虚拟化硬件与数据中心设计:争论点转移了?
【责任编辑:何巍 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员成长手记——网络组建、配置与应用

本书主要以“网管员的成长经历”为线索展开,虚拟出一个“新手”网管员的工作和学习环境,将网管员的成长分为4个阶段,以“网管入职充电→...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊