HyTrust Appliance工作原理及认证分析

HyTrust是怎么工作的
　　接下来看一下它是如何工作的。基本上，HyTrust Appliance扮演了中间人的角色，它可以截获对被保护网络中主机的访问请求并对这些请求做分析。它首先对命令做身份验证，以确保它们是被认证的，然后检查这些命令认证的方式与它们将要执行的任务和操作是否相匹配。在跟主机的SSH对话方式中，应用会终止客户端的连接，然后以客户端的身份重新开始一个从应用程序到目标主机的对话。通过这样的操作，它可以控制客户端可以在主机内执行哪些操作以及哪些命令可以在主机内运行。vSphere Client的连接方式是相似的，应用会终止哪些没有通过认证的客户端操作。
点击图片本身就能放大
　　HyTrust Appliance完成的工作，就像一个Layer-2网络中的网桥，监控所有穿过它的数据包。如果连接是指向一台被保护的ESX/ESXi主机或vCenter Serve的，并且是通过管理端口（如端口80, 443, HyTrust, 902, 903)到达的，应用程序会把该连接指向对应的代理服务器并管理这个连接。如果不满足这两个条件之一，那么应用会直接让连接通过而不做管理。
　　本质上讲，HTA同时扮演了Layer-2和Layer-5代理服务器的角色。因为HTA的工作就像一条通往服务器必经之路上的看门人：假设某些程序希望跳过这个障碍物（直接插入被保护网络中），并且试图完全绕开应用去访问主机的时候，会发生什么？HTA应用程序通过配置主机服务器的内置防火墙，设置只有特定的IP地址（包含HTA和被保护的主机和vCenter Server的IP地址）才可以成功发送管理命令的方式，来部署一层额外的保护层以避免如上这种情况的发生。简言之，所有其他的IP地址都被禁止对管理界面的访问，必须通过HTA应用程序之后才能进入被保护网络。
　　如果HyTrust宕机？
　　这样的话，如果应用本身或者是应用所在的主机宕机怎么办？因为HyTrust Appliance是一个明显的单故障点，如果宕机发生，您通过任何一种方式（如vSphere Client）都将无法访问被保护的主机和vCenter Server。幸运的是，您可以通过使用VMware的High Availability功能，实现当HTA主机宕机时可以使用部署在另外一台主机的HTA虚拟机来实现高可用的架构方式。在极端情况下，如果虚拟机忽然断电或崩溃时，就需要您通过物理连接方式登录主机管理界面或者使用远程管理卡（如HP iLO）来启动HTA虚拟机。因此，您需要明确知道HTA虚拟机是在哪台物理机上，并且知道如何使用管理命令行（如vmware-cm）来重启虚拟机。
　　认证
　　当HTA依赖AD服务器或运行轻量级目录访问协议LDAP（Lightweight Directory Access Protocol）的用户账号来进行认证时，它仍然通过使用AD组认证策略来决定哪些命令是通过用户认证而且允许执行的。实现这项功能不需额外的扩展，HTA使用的是具备读写及创建子对象权限的AD服务器用户账号来操作。HTA会替代在vCenter Server中的用户角色和权限，然后使用自身的可以通过用户界面进行配置的策略，然后通过AD组策略把这些跟对应用户的权限对应起来。
　　HTA本身带有预先配置的角色和许可权限内容，同时您也可以通过从主机或vCenter server导入已存在的策略。一旦这些角色和权限配置完成，保护被启用，HTA将接管所有的客户端到主机和vCenter Server的访问请求。这个过程对于使用任何一种访问方式的客户端来说都是透明的。HTA扮演了代理服务器的角色，客户端的操作在HTA启用后无需做任何改变。唯一需要注意的区别就是现在是由HTA来触发操作禁止的消息。
　　为您的整体虚拟化环境设置一个单一的访问认证节点本身就已经是一个非常强大的功能了，但是HTA可以做的还不止这些。它还提供了很多强制性的主机安全策略设置，这些都是基于由CIS, 、PCI 和VMware提供的业界安全模版和安全策略实现的，您也可以通过这些模版定制自己的安全策略。通过使用HTA UI您可以轻松地设置和修订您的主机安全策略及了解到该策略所对应的安全等级。
　　另外一项非常有用的功能就是可以帮助提高兼容性，HTA记录所有访问和操作的日志，并把这些信息以一种通用的格式保留下来，通过提供一个集中的日志访问系统，便于管理员查阅。
　　安装HyTrust Appliance
　　HyTrust Appliance提供两种可选安装方式，您可以选择作为安装到网络中的一台硬件设备的方式，或者作为一个预装的OVF（Open Virtualization Format）格式虚拟机的方式，把HyTrust Appliance接入应用环境中。版本上提供了最多支持到三台主机的Community edition免费版和Enterprise edition收费版本。安装该软件的最主要一项要求就是，它仅支持64位的操作系统，所以安装该软件的主机必须可以支持64位的虚拟机。这个限制只是针对软件所在的主机，对被保护的机器是没有限制的。HTA同时支持ESX和ESXi主机，VMware Infrastructure3或3.5和vSphere 4.0，vCenter Server 2.5和4.0版本。
　　在您开始安装HTA之前，请先了解该网桥是如何工作的以及HTA是如何实现其保护功能的。因为HTA实质上还是作为一个网络设备来发挥其功能的，您在规划时需要把您的网络组相关人员包含进来，让他们协助您从网络的角度去分析HTA是如何工作的，以及如何来正确地安装HTA.。同时您也需要在安装HTA前提前做一些规划，以确保你可以了解您现有的访问请求方式以及您所需要创建的

亮晶晶  发表于: 2009-12-27