vSphere安全策略之权限管理

日期: 2010-08-22 作者:Eric Siebert翻译:李哲贤 来源:TechTarget中国 英文

在vSphere环境中,很多的安全问题都是由于没有正确地设置安全访问策略引起的。为了做到提前避免问题出现,解决方案提供商们应该仔细检查vSphere环境中的每个相关层面,据此为用户制定正确的安全访问策略。本文中,该领域的一名专家总结了如何正确地分配权限、角色和用户许可等的相关经验,以帮助我们确保vSphere环境的稳定性和安全性。   在vSphere环境中,安全问题非常关键。

虚拟机的架构、访问及管理方式和传统的物理服务器的差别是非常巨大的。因为在虚拟架构下,虚拟机被压缩为一个个存放于共享数据区域内的单个文件。所以,也同时增加了更多需要防护的部分。另外,虚拟环境中的任何变化或操作都可能会引发系……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在vSphere环境中,很多的安全问题都是由于没有正确地设置安全访问策略引起的。为了做到提前避免问题出现,解决方案提供商们应该仔细检查vSphere环境中的每个相关层面,据此为用户制定正确的安全访问策略。本文中,该领域的一名专家总结了如何正确地分配权限、角色和用户许可等的相关经验,以帮助我们确保vSphere环境的稳定性和安全性。

  在vSphere环境中,安全问题非常关键。虚拟机的架构、访问及管理方式和传统的物理服务器的差别是非常巨大的。因为在虚拟架构下,虚拟机被压缩为一个个存放于共享数据区域内的单个文件。所以,也同时增加了更多需要防护的部分。另外,虚拟环境中的任何变化或操作都可能会引发系统内的连锁反应。毕竟所有的虚拟机都共享了公共基础架构部分。因此,在正确的地点设置了正确的安全访问策略对于宿主机和虚拟机的防护而言是至关重要的。

  正因为虚拟环境拥有众多组成部分,它的安全部署也需要在多个层面上实现。在vCenter Server中我们有很多种方法来加强虚拟环境的安全,通过vCenter可以在vSphere内的多个不同层面上提供集中认证服务。vCenter Server的功能主要体现在以下四个方面:

  • 权限(Privileges)。权限用于允许或禁止连接到vSphere的用户可以进行的操作。
  • 角色(Roles)。角色指的是分配给某个用户或用户组的一组权限的集合。
  • 用户和用户组(Users and Groups)。用户和用户组主要用于设置许可级别,以便于分配给从活动目录域获得的各种角色或者是本地Windows域中的用户/组。
  • 许可(Permissions)。许可主要用于分配给vSphere中的一个对象使用。主要由用户/组和角色构成。

  查看和定义正确的vSphere安全权限

  权限被细分为大约20个左右的类别和子类。图1 从整体上显示了大多数可以在vSphere中进行设定的用户权限。

vSphere

  图1:vSphere中相关权限整体视图

  如果我们展开这些类别,可以看到它们之下的子类别和一些私有权限(参看图2)。

vSphere

  图2:展开目录可以看到对应的子目录。

  解决方案供应商只有在创建和调整角色内容的时候才能访问到对应的权限。选定了虚拟机模板之后就自动包含了所有的子类和它所拥有的权限。如果您想获得更加精细的管理,需要在选定的目录下取消对应条目的选定从而来获得所需的管理权限。

  对于宿主机和虚拟机而言,可以分配很多不同的权限。对于vCenter Server的某些操作则需要分配很多权限来成功完成操作过程。虽然很多项权限都是默认的,但是如何来准确定义某个特定动作所需的权限组合往往是一个容易混淆的问题。一种识别办法是通过建立一个拥有混合权限的测试用户,然后在测试过程中逐步添加或移除部分权限。您可以在做过改变之后,重新登录到该用户来检查是否可以完成指定的操作。如果不能,就在后台添加权限,然后重新测试。很有效的方式就是先选定所有权限,然后在后台逐步一条条地移除权限,最终达到所期望的许可级别。

  在下半部分中我们将继续介绍为vSphere安全配置和分配角色

翻译

李哲贤
李哲贤

TT虚拟化特约作者

相关推荐