VMware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性,并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。
管理员可以使用这些vSphere安全工具阻止非授权窥探、篡改虚拟机,并接收更详细的可能意味着是恶意活动的变更告警,结果就是能够更快地牵制并纠正恶意行为。
与任何新特性一样,了解其使用要求、对新行为进行测试以积累经验、识别并解决任何部署问题—尤其是针对vSphere安全性而言更是如此—并在生产环境中部署新特性之前建立管理流程是很重要的。
对微软Windows或者VMware ESXi操作系统进行未授权的变更或修改可能意味着严重的安全违规,但如果没有进行精心的扫描以及其他仔细的调查可能很难甚至无法发现上述行为。
使用ESXi安全引导改进vSphere安全性
一种正在涌现出来的在操作系统启动时保护其完整性的方法是通过可信源,如数字证书对内核进行验证。统一可扩展固件接口(UEFI)固件提供的安全引导特性能够验证操作系统内核以及其他组件的数字签名,与包含在UEFI固件中受信的数字证书进行对比。
通常情况,支持UEFI安全引导的主要操作系统组件都会有签名。这可能包括引导程序、内核以及驱动。微软提供了一些适合引导Windows以及某些第三方代码比如Linux引导程序的UEFI认证。VMware还提供了在虚拟机内引导ESXi的证书。在启动时,如果证书与签名相匹配,那么操作系统会被认为是经过确认的,能够继续启动。
VMware vSphere安全性使用ESXi安全引导进一步应用了这一验证过程,针对所有ESXi组件增加了密码验证。其想法是ESXi由一系列数字签名包构成,被整合到vSphere安装包(VIB)中。一旦UEFI安全引导对ESXi内核进行了验证,ESXi内核将会使用某些数字证书对每个VIB进行验证—确保虚拟机内的所有ESXi组件完整、未被篡改。
如何部署ESXi安全引导
当主机操作系统安装了UEFI固件,虚拟机操作系统支持UEFI安全引导,并且hypervisor支持版本号为13或更高版本的虚拟硬件时,你可以在vSphere Web Client中部署ESXi安全组件。
选中目标虚拟机,打开编辑设置对话框,确认固件被设置为EFI—不是UEFI—检查启用安全引导复选框,然后选择确定。
满足了所有必要条件后,你需要在启用安全引导前关闭虚拟机。在启用安全引导后必须重启虚拟机,这样安全引导才能够生效。
记住一旦启用了ESXi安全引导,只有带有合法制造商签名的操作系统组件才能够引导。如果签名丢失或者任一操作系统组件不合法,那么虚拟机引导过程将会中断并返回错误—无法强制安装未签名的操作系统组件。
生产环境尝试启用安全引导前在测试环境进行安全引导测试是个不错的主意。这允许IT管理员更高效地进行故障诊断并修复可能存在的安全错误。
