保卫你的VMware架构安全是个多层的过程：需要保护ESXi主机、虚拟机和hypervisor本身。VMware ESXi在vSphere 5中占据主导地位，这个hypervisor伴随着新的ESXi安全考虑。

　　有多种方式保卫VMware ESXi的安全。要正确选择ESXi防火墙，添加网络安全，锁定用户账户，这些都非常重要。因此了解vSphere 5里的新安全功能是必须滴。

　　以下几个关于VMware ESXi安全的问答有助于你了解需要保护的所有组件，加固你的架构，并熟悉一些新的VMware安全功能。

　　关于VMware ESXi安全你该关注什么？

　　ESXi自身非常安全。像VMware ESXi这样的Type 1 hypervisor不是运行在主机操作系统上，这意味着操作系统不需要额外的保护。不过要启动ESXi安全，可以手动配置一些额外的VMkernel设置。你也应该确保ESXi网络的不同部分彼此独立，保护独立虚拟机的安全。

　　vSphere 5安全有啥新鲜事？

　　你可能已听说VMware更新了vShield 5种的安全套件，但新的虚拟化平台也提供登录改进、ESXi防火墙和安全部署ESXi的新方式。要启动vSphere安全，Auto Deploy功能能帮助你一次部署大量主机，并使用Host Profiles配置这些主机确保一致性。例如，有了Auto Deploy后，可以确保一个集群中所有ESXi主机的防火墙设置是相同的。

　　我如何确保ESXi hypervisor安全？

　　通过实施物理与虚拟防火墙，最大程度确保VMware hypervisor安全。也要确保分配主机资源，防止单个虚拟机过量消耗导致断电。所以可以创建资源池并分配给每台虚拟机。在vSphere 5中，Storage I/O Control与Network I/O Control功能提供额外的资源池。

　　每次只让一个用户访问一个虚拟机的控制台，这样也能确保hypervisor安全，这种情况发生在远程用户同时连接的时候。最后，不要让管理员拥有太多权限。在ESXi主机上创建特殊用户账号并锁定Mode，阻止他们通过API、命令行工具与vSphere Client直接访问。

　　我需要关注哪些VMware安全漏洞？

　　有些区域黑客能轻易渗透：主机管理控制台、ESXi远程控制台、虚拟机数据存储与网络。如果有人在数据存储中访问虚拟机磁盘文件的话，他们就可以拷贝整个虚拟机并在任何地方都能下载。要避免VMware安全漏洞，你也需要保护虚拟网络。当在虚拟LAN之间移动虚拟机时，服务器与网络组之间的错误传达会导致不正确的配置。

　　VMware用户账户如何提供ESXi安全？

　　为每台主机创建用户账户并自定义这些账户能加强ESXi安全。VMware有个默认的账户，但最好添加新的，有特权的账户。以便监控每台主机上谁在做什么。自定义VMware用户账户的过程很简单，可以分配权限给单个用户或用户组。

　　如何配置VMware ESXi防火墙？

　　VSphere 5引入了新的ESXi防火墙，可与vSphere Client或命令行一起配置。默认下，这种无状态的防火墙不像ESX Server防火墙那样，为服务定义端口规则。VMware ESXi防火墙还能指定（一系列）IP地址，使得远程主机也能访问每个服务。