VMware ESXi安全六问六答:保卫hypervisor与主机

日期: 2012-02-14 作者:Alyssa Wood翻译:唐琼瑶 来源:TechTarget中国 英文

保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。   有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙,添加网络安全,锁定用户账户,这些都非常重要。

因此了解vSphere 5里的新安全功能是必须滴。   以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件,加固你的架构,并熟悉一些新的VMware安全功能。   关于VMware ESXi安全你该关注什么?   ESXi自身非常安全。像VMwa……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

保卫你的VMware架构安全是个多层的过程:需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位,这个hypervisor伴随着新的ESXi安全考虑。

  有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙,添加网络安全,锁定用户账户,这些都非常重要。因此了解vSphere 5里的新安全功能是必须滴。

  以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件,加固你的架构,并熟悉一些新的VMware安全功能。

  关于VMware ESXi安全你该关注什么?

  ESXi自身非常安全。像VMware ESXi这样的Type 1 hypervisor不是运行在主机操作系统上,这意味着操作系统不需要额外的保护。不过要启动ESXi安全,可以手动配置一些额外的VMkernel设置。你也应该确保ESXi网络的不同部分彼此独立,保护独立虚拟机的安全。

  vSphere 5安全有啥新鲜事?

  你可能已听说VMware更新了vShield 5种的安全套件,但新的虚拟化平台也提供登录改进、ESXi防火墙和安全部署ESXi的新方式。要启动vSphere安全,Auto Deploy功能能帮助你一次部署大量主机,并使用Host Profiles配置这些主机确保一致性。例如,有了Auto Deploy后,可以确保一个集群中所有ESXi主机的防火墙设置是相同的。

  我如何确保ESXi hypervisor安全?

  通过实施物理与虚拟防火墙,最大程度确保VMware hypervisor安全。也要确保分配主机资源,防止单个虚拟机过量消耗导致断电。所以可以创建资源池并分配给每台虚拟机。在vSphere 5中,Storage I/O Control与Network I/O Control功能提供额外的资源池。

  每次只让一个用户访问一个虚拟机的控制台,这样也能确保hypervisor安全,这种情况发生在远程用户同时连接的时候。最后,不要让管理员拥有太多权限。在ESXi主机上创建特殊用户账号并锁定Mode,阻止他们通过API、命令行工具与vSphere Client直接访问。

  我需要关注哪些VMware安全漏洞?

  有些区域黑客能轻易渗透:主机管理控制台、ESXi远程控制台、虚拟机数据存储与网络。如果有人在数据存储中访问虚拟机磁盘文件的话,他们就可以拷贝整个虚拟机并在任何地方都能下载。要避免VMware安全漏洞,你也需要保护虚拟网络。当在虚拟LAN之间移动虚拟机时,服务器与网络组之间的错误传达会导致不正确的配置。

  VMware用户账户如何提供ESXi安全?

  为每台主机创建用户账户并自定义这些账户能加强ESXi安全。VMware有个默认的账户,但最好添加新的,有特权的账户。以便监控每台主机上谁在做什么。自定义VMware用户账户的过程很简单,可以分配权限给单个用户或用户组。

  如何配置VMware ESXi防火墙?

  VSphere 5引入了新的ESXi防火墙,可与vSphere Client或命令行一起配置。默认下,这种无状态的防火墙不像ESX Server防火墙那样,为服务定义端口规则。VMware ESXi防火墙还能指定(一系列)IP地址,使得远程主机也能访问每个服务。

作者

Alyssa Wood
Alyssa Wood

特约作者

相关推荐