VMware ESXi安全六问六答:保卫hypervisor与主机

云计算 虚拟化
保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。

  保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。

  有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙,添加网络安全,锁定用户账户,这些都非常重要。因此了解vSphere 5里的新安全功能是必须滴。

  以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件,加固你的架构,并熟悉一些新的VMware安全功能。

  关于VMware ESXi安全你该关注什么?

  ESXi自身非常安全。像VMware ESXi这样的Type 1 hypervisor不是运行在主机操作系统上,这意味着操作系统不需要额外的保护。不过要启动ESXi安全,可以手动配置一些额外的VMkernel设置。你也应该确保ESXi网络的不同部分彼此独立,保护独立虚拟机的安全。

  vSphere 5安全有啥新鲜事?

  你可能已听说VMware更新了vShield 5种的安全套件,但新的虚拟化平台也提供登录改进、ESXi防火墙和安全部署ESXi的新方式。要启动vSphere安全,Auto Deploy功能能帮助你一次部署大量主机,并使用Host Profiles配置这些主机确保一致性。例如,有了Auto Deploy后,可以确保一个集群中所有ESXi主机的防火墙设置是相同的。

  我如何确保ESXi hypervisor安全?

  通过实施物理与虚拟防火墙,最大程度确保VMware hypervisor安全。也要确保分配主机资源,防止单个虚拟机过量消耗导致断电。所以可以创建资源池并分配给每台虚拟机。在vSphere 5中,Storage I/O Control与Network I/O Control功能提供额外的资源池。

  每次只让一个用户访问一个虚拟机的控制台,这样也能确保hypervisor安全,这种情况发生在远程用户同时连接的时候。最后,不要让管理员拥有太多权限。在ESXi主机上创建特殊用户账号并锁定Mode,阻止他们通过API、命令行工具与vSphere Client直接访问。

  我需要关注哪些VMware安全漏洞?

  有些区域黑客能轻易渗透:主机管理控制台、ESXi远程控制台、虚拟机数据存储与网络。如果有人在数据存储中访问虚拟机磁盘文件的话,他们就可以拷贝整个虚拟机并在任何地方都能下载。要避免VMware安全漏洞,你也需要保护虚拟网络。当在虚拟LAN之间移动虚拟机时,服务器与网络组之间的错误传达会导致不正确的配置。

  VMware用户账户如何提供ESXi安全?

  为每台主机创建用户账户并自定义这些账户能加强ESXi安全。VMware有个默认的账户,但最好添加新的,有特权的账户。以便监控每台主机上谁在做什么。自定义VMware用户账户的过程很简单,可以分配权限给单个用户或用户组。

  如何配置VMware ESXi防火墙?

  VSphere 5引入了新的ESXi防火墙,可与vSphere Client或命令行一起配置。默认下,这种无状态的防火墙不像ESX Server防火墙那样,为服务定义端口规则。VMware ESXi防火墙还能指定(一系列)IP地址,使得远程主机也能访问每个服务。

  原文链接:http://www.searchvirtual.com.cn/showcontent_58122.htm

责任编辑:何巍 来源: TechTarget中国
相关推荐

2011-03-14 14:40:28

VMware Work

2013-02-18 09:22:48

虚拟化KVM

2011-10-10 09:45:34

网络虚拟化虚拟化

2011-02-18 07:17:09

XenServer虚拟

2013-03-19 09:37:10

开源虚拟化KVM

2011-08-05 11:06:33

VMware vSph虚拟化

2012-01-06 10:06:50

虚拟化桌面虚拟化VMware

2011-11-03 09:29:32

2013-02-26 14:03:47

VMware WorkWindows 8

2021-02-01 20:35:49

Kafka大数据数据

2011-04-21 10:08:34

2017-08-13 08:29:12

VMware客户端主机

2012-12-12 16:07:46

VMwareWorkstation

2009-09-17 10:31:38

802.11n

2012-02-24 10:28:32

2011-09-21 09:26:31

虚拟化虚拟测试开发环境

2011-08-10 10:41:19

虚拟化VMware ESXi

2010-05-28 15:47:16

双绞线

2022-04-01 08:37:07

SpringAPI前端

2012-10-31 09:41:47

WAN优化SSLHTTPS
点赞
收藏

51CTO技术栈公众号