当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。
1.限制对主机的访问 在ESXi 4中配置锁定模式 确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中,登录到vCenter并选择你想保护的主机,单击安全性下的配置标签,导航到锁定……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。
1.限制对主机的访问
在ESXi 4中配置锁定模式
确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中,登录到vCenter并选择你想保护的主机,单击安全性下的配置标签,导航到锁定模式,单击编辑然后启用锁定模式。如果使用的是ESXi 5,那么可以登录到控制台并使用直接控制台用户界面(DCUI)来启用锁定模式。
只有ESX 4及以上版本才支持锁定模式。在紧急情况下,你可以禁用锁定模式—例如,如果vCenter无法使用,那么可以直接登录到主机控制台并通过DCUI来禁用锁定模式。
2.确保网络安全
默认情况下,在创建vSwitch时,将禁用混杂模式但是允许MAC地址更改并接受伪信号。除非你的确需要这么做,否则应该拒绝MAC地址变更以及伪信号。请注意,一些负载均衡产品以及虚拟设备都使用了上述特性。
调整vSwitch安全性设置
为配置虚拟交换机安全性,选定主机然后依次选择配置,网络属性,编辑虚拟机vSwitch。选择安全性标签并在下拉列表中选择需要修改的选项,当然也可以在端口组级别进行上述配置。
有一点需要主意的地方就是如果你使用了端口组,除非你对端口组的配置进行了显式更改,那么端口组的设置将继承vSwitch的配置。
3.确保虚拟机安全
默认情况下,在使用vSphere应用程序时,客户端以及虚拟机之间的复制与粘贴操作处于启用状态。在安全环境中,这一配置并不合理。为解决这一问题,请选择你想禁用复制域粘贴操作的虚拟机,然后选择选项>高级。选择通用标签并输入如下内容(如果你只想启用复制或者粘贴当中的一项,那么可以选择使用如下配置):
isolation.tools.copy.disable true
isolation.tools.paste.disable true
4.启用域认证
共享root密码在安全性方面带来了一些问题,通过更改认证方式可以很轻松地解决该问题。你可以很轻松地将主机配置为使用AD认证。
如下图所示,在启用该特性之前,你需要在称为ESX Admins的AD基础设施中创建一个组。
输入认证账号然后加入域
一旦完成了上述操作后,就能够针对主机启用AD认证了。找到存在问题的主机然后进入配置标签,单击右侧的属性菜单,这将打开目录服务配置菜单。在下拉菜单中选择目录服务类型然后选择活动目录。输入域名然后单击加入域按钮。这时你需要输入加入域的帐号密码。如果在使用域用户名格式时存在问题,那么可以使用user@domain格式,相对来说后面的格式更好一些。
简单起见,你可能会发现将管理员组加入到ESX Admins组更恰当。然而,不要在ESX管理组中放置域管理组。如果ESX主机需要使用这种登录方式,那么域认证方式也可以用于DCUI控制台。
作者
相关推荐
-
在虚拟数据中心使用新的IT安全策略
专家解答在虚拟化环境中最大的安全挑战是什么,以及这些挑战是否随着时间增长而发生变化?
-
从虚拟化和云计算解析IT安全的两大疑惑
虚拟化和云计算的优点将列入2010年大多数企业IT基础设施讨论中。但是,随着这个行业开始应用这种新的IT基础设施,虚拟化对IT安全有什么影响呢?