| 摘要:VM ware的安全漏洞不容忽视,尤其是在对法规遵从和云计算的关注日益提高的背景下。 |
通过隔离避免VMware安全漏洞
当虚拟网络数据流和存储及管理数据流都在同一个物理路径上传输时,也同时意味着虚拟机被暴漏在安全风险之下。这些终端之间的数据流并不全是加密的,所以任何有权限的人员都可以对线路进行监控,获取包括在v Motion进行主机迁移时的内存数据和传输给存储设备等的敏感信息。
路径隔离的方式为宿主机、存储设备、v Center服务器和管理员之间的核心数据流提供了一个保护层。没有这一层也就增加了您的私人数据泄露的风险。我们可以隔离在物理网络上传输的大量虚拟系统数据流。例如,保持管理和存储数据流位于独立的网络上,使其跟常规的虚拟机数据隔离。
同样也适用于ESX服务控制台、ES Xi管理控制台、VM kernel和v Center Server所在的网络。这些组件相互之间的数据交互非常多,而跟外网的交互需求相对很少。
通过防火墙来保护私有网络,限制管理员、DNS服务、升级和其它动作。虽然多数数据流都是加密的,隔离依然为安全漏洞增加了防护层。例如,当通过v Motion进行虚拟机迁移时,包括宿主机内存数据等都是以最简单的文本方式传输的。
当然,还有隔离宿主机和SAN存储(I SCSI或NAS存储)设备之间的流量。对于I SCSI而言,它的安全可以通过双向握手认证协议来防止未经授权的访问出现。隔离不仅保护存储数据流,也防止对同一网络上的其它设备带来性能影响。
用户账号改善VMware安全性
保护好ESX服务控制台和ES Xi管理控制台root账号。一旦它被泄露,主机包括所有虚拟机就都存在危险。
ESX服务控制台和ES Xi管理控制台都是Linux系统的一个变种,所以它们都有拥有完整权限的超级账户——root用户。尽量减少root账号的使用,为每个用户创建一个受限的账号,同时对每个账户的使用情况进行跟踪。
在ESX中,安装su do可以为用户账号指定受限的特殊权限。而ESX和ES Xi都支持使用su命令赋予某个账户临时的超级用户权限。
默认情况下,root账号不能通过SSH连接远程登录使用。即使您可以启用通过SSH进行root账号登录,千万不要这么做。
VMware禁止它是有一定考虑的。您还可以通过安装AD认证实现对控制台的访问,无需单独对每台宿主机上的账号分开来管理。
最后一点,保护好root账号。经常修改密码,并尽可能地限制它的使用。
责任编辑:Lily
评论表单加载中...
