如何安全地管理VMware ESXi?

日期: 2008-12-04 作者:Edward L. Haletky翻译:王越 来源:TechTarget中国 英文

使用VMware ESXi也有不方便的情况,比如在没有VMware技术支持人员帮助的情况下,你就不能使用Dropbear SSH客户端或者其它技术支持模式。可是,系统管理员为了解决问题或者管理空闲网络连接,可能会倾向于使用技术支持模式(或者激活的Dropbear)。但是打破这一层安全防护可能会导致VMware ESXi的证书的失效和技术支持合同的破坏。TechTarget中国的特约作者Edward L. Haletky在本文中将介绍另外一种管理ESXi虚拟机的方法。

这个方法不会影响到虚拟机的安全,但是可能会破坏技术支持合同。   我曾经写文章明确提出,和VMware ESX相比,VMware ……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

使用VMware ESXi也有不方便的情况,比如在没有VMware技术支持人员帮助的情况下,你就不能使用Dropbear SSH客户端或者其它技术支持模式。可是,系统管理员为了解决问题或者管理空闲网络连接,可能会倾向于使用技术支持模式(或者激活的Dropbear)。但是打破这一层安全防护可能会导致VMware ESXi的证书的失效和技术支持合同的破坏。TechTarget中国的特约作者Edward L. Haletky在本文中将介绍另外一种管理ESXi虚拟机的方法。这个方法不会影响到虚拟机的安全,但是可能会破坏技术支持合同。

  我曾经写文章明确提出,和VMware ESX相比,VMware ESXi存在的安全缺陷,写那篇评论文章主要是由于一些ESXi用户立即使用了Dropbear SSH 客户端。如果这样做的话,就等于是打破了这个防护层。这样做将会导致VMware证书无效,进而导致技术支持合同失效,所以一般不推荐使用。

  VMware进一步声称只有在VMware技术支持人员的严格指导下,用户才可以使用技术支持模式。然而,系统管理员经常需要或者希望使用技术支持模式解决他们的特定问题,所以说这个界限如何设置是一个问题。那么是不是在没有VMware技术支持人员的帮助下,一旦触及到这个界限就会导致证书的失效?如果在用户的VMware ESXi主机上有ILO(Intergrated Lights Out)或者是DRACs(Dell Remote Assitant Cards)的话,这个问题又如何处理?在对这些问题提出一些解决方案之前,我们可以先看一下VMware ESXi内置的安全属性。

  VMware ESXi确实考虑到了安全问题

  ESXi的安全防护层是这样的:除非用户可以使用SSH或者通过技术支持模式登录到系统,否则当前是没有其它的方法进入系统内部的。VMware ESXi安全方面另外一个新颖之处是引导过程的特性:在引导过程中,ESXi首先创建一个RAM磁盘,然后在这个磁盘上运行一个操作系统。数据存储设备挂载在个RAM磁盘上,虚拟机从这个磁盘加载系统运行。这样做的话就可以保证对操作系统的任何改动在重启之后将不会被保存,除非这些改动是在永久性存储设备上的。但是,众所周知,有一些改动在系统重启后还是会保存下来的。通过VMware Infrastructure Client(VI Client)、远程命令行接口(Remote CLI:Remote Command Line Interface)、控制台、或者CLI的vicfg命令,可以完成可接受的改动。其它任何形式的改动,如添加一个新的守护进程、新增一个文件夹等,在重启后都不被保存。

  管理VMware ESXi

  VMware在通过一个新型的控制台来创建一个VMware ESXi方面没有做太多的工作,其中用户可以通过这个控制台做诸多与安全相关的配置工作。另外,也有一些对VI Client做出的修改,通过这些修改可以允许配置部分操作,这些操作主要涉及用来规定手动修改的,如网络时间协议(NTP:Network Time Protocol)。最后,VMware ESXi使用vicfg命令作为Remote CLI的一部分。各种方法的组合导致用户对于正常的配置工作根本不需要CLI。现在用户可以远程控制VMware ESXi了。

  保护ESXi

  针对如何保护VMware ESXi,我只做简单介绍。在VMware ESXi内需要有一个审计迹、深度防御以及对一个目录的访问控制权限,这些都是我们在保护VMware ESX中经常使用到的方法。那么如何保护VMware ESXi呢?在回答这个问题之前,需要先分析一下VMware ESXi基础架构内部的网络部署和外部的为虚拟机创建的配套服务。主要有四个网络架构:

  • 把管理工具相互连接起来的管理网
  • 为ILO、DRAC等提供服务的控制网
  • VMotion网
  • 存储网

  保护VMware ESXi意味着保护这些网络和对ESXi配置所作的修改,主要依据VMware v. 3.5 Hardening Guidelines对ESXi的推荐配置。如:

  • 完全关闭VMware ESXi的防护层
  • 允许远程登录
  • 对每一个虚拟机配置隔离的工具箱,防止通过后门程序使用、剪切和粘贴以及其他必要的操作

除了上述提到的和准则中讲到其他事项,还需要认识到对于这四个网络的任何访问都可能破坏到VMware ESXi的运行环境,因此还需要注意以下几点:

  • 控制网和管理网之间需要很好的隔离,并且只有登录网络这些后才可以访问
  • 管理主机需要在管理网上并需要得到很好的保护
  • 管理网和其它的环境之间需要很好地隔离
  • 如果使用虚拟中心,则这个虚拟中心需要放置在管理网上
  • 对管理网络的访问需要受到严格控制
  • 考虑在ESXi管理设备和管理网之间配置防火墙

  这些要求在某种程度上看起来是比较严格的准则,但是要知道VMware ESXi自身并没有防火墙。因此用户需要增强监控和连接管理的能力,这也正是防火墙所做的工作。

  在管理的过程中,尽量简化流程和相关事务。最好是尽可能使用虚拟中心,除非有些业务不能使用。这样做可以集中授权和认证能力,这也正是ESXi做不到的。如果没有使用虚拟中心的话,就需要为每一个相关用户配置合适的角色以及相应的权限;也需要为每一个ESXi增加一个用户,但是如果同时拥有多个VMware ESXi主机的话,这就可能成为管理中一个比较麻烦的问题。

翻译

王越
王越

相关推荐