保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。
有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙,添加网络安全,锁定用户账户,这些都非常重要。因此了解vSphere 5里的新安全功能是必须滴。
以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件,加固你的架构,并熟悉一些新的VMware安全功能。
关于VMware ESXi安全你该关注什么?
ESXi自身非常安全。像VMware ESXi这样的Type 1 hypervisor不是运行在主机操作系统上,这意味着操作系统不需要额外的保护。不过要启动ESXi安全,可以手动配置一些额外的VMkernel设置。你也应该确保ESXi网络的不同部分彼此独立,保护独立虚拟机的安全。
vSphere 5安全有啥新鲜事?
你可能已听说VMware更新了vShield 5种的安全套件,但新的虚拟化平台也提供登录改进、ESXi防火墙和安全部署ESXi的新方式。要启动vSphere安全,Auto Deploy功能能帮助你一次部署大量主机,并使用Host Profiles配置这些主机确保一致性。例如,有了Auto Deploy后,可以确保一个集群中所有ESXi主机的防火墙设置是相同的。
我如何确保ESXi hypervisor安全?
通过实施物理与虚拟防火墙,最大程度确保VMware hypervisor安全。也要确保分配主机资源,防止单个虚拟机过量消耗导致断电。所以可以创建资源池并分配给每台虚拟机。在vSphere 5中,Storage I/O Control与Network I/O Control功能提供额外的资源池。
每次只让一个用户访问一个虚拟机的控制台,这样也能确保hypervisor安全,这种情况发生在远程用户同时连接的时候。最后,不要让管理员拥有太多权限。在ESXi主机上创建特殊用户账号并锁定Mode,阻止他们通过API、命令行工具与vSphere Client直接访问。
我需要关注哪些VMware安全漏洞?
有些区域黑客能轻易渗透:主机管理控制台、ESXi远程控制台、虚拟机数据存储与网络。如果有人在数据存储中访问虚拟机磁盘文件的话,他们就可以拷贝整个虚拟机并在任何地方都能下载。要避免VMware安全漏洞,你也需要保护虚拟网络。当在虚拟LAN之间移动虚拟机时,服务器与网络组之间的错误传达会导致不正确的配置。
VMware用户账户如何提供ESXi安全?
为每台主机创建用户账户并自定义这些账户能加强ESXi安全。VMware有个默认的账户,但最好添加新的,有特权的账户。以便监控每台主机上谁在做什么。自定义VMware用户账户的过程很简单,可以分配权限给单个用户或用户组。
如何配置VMware ESXi防火墙?
VSphere 5引入了新的ESXi防火墙,可与vSphere Client或命令行一起配置。默认下,这种无状态的防火墙不像ESX Server防火墙那样,为服务定义端口规则。VMware ESXi防火墙还能指定(一系列)IP地址,使得远程主机也能访问每个服务。
原文链接:http://www.searchvirtual.com.cn/showcontent_58122.htm
