讓VMware的安全屏障成為蜂窩

基本上講，VMware vSphere是相當(dāng)安全的，但是如果您忽略了對(duì)它的配置和遠(yuǎn)程訪問(wèn)管理，就會(huì)像蜂窩一樣存在很多的漏洞。

默認(rèn)情況下，VMware關(guān)閉了很多方便管理員的服務(wù)，啟用這些服務(wù)會(huì)影響安全性。例如，在ESX中，管理員們通常使用Web用戶界面。而在ESXi中，IT專(zhuān)家們喜歡通過(guò)SSH啟用遠(yuǎn)程連接界面。這些雖然都可以簡(jiǎn)化工作方式，但同時(shí)也為非授權(quán)的訪問(wèn)開(kāi)了后門(mén)。

另外宿主機(jī)的管理界面也是薄弱環(huán)節(jié)之一。通過(guò)它可以訪問(wèn)整個(gè)虛擬架構(gòu)，而無(wú)需破解多個(gè)密碼。我們要更加嚴(yán)格地控制該界面的使用，只在迫不得已的時(shí)候再使用——這樣的時(shí)候不會(huì)太多。其它需要關(guān)注的方面包括：虛擬機(jī)的數(shù)據(jù)存儲(chǔ)、管理和存儲(chǔ)區(qū)域網(wǎng)絡(luò)，虛擬網(wǎng)絡(luò)，API，宿主機(jī)相關(guān)的連接器，vCenter Server角色服務(wù)器和許可服務(wù)器，以及第三方附加軟件等等。

最起碼要做到：知曉系統(tǒng)弱點(diǎn)并進(jìn)行重點(diǎn)加強(qiáng)。

虛擬機(jī)的可移動(dòng)性帶來(lái)的VMware安全漏洞

虛擬機(jī)的可移動(dòng)性增加了失竊的概率，不過(guò)通過(guò)完善的備份策略我們可以輕松彌補(bǔ)這些安全漏洞。

虛擬化的過(guò)程，把操作系統(tǒng)、應(yīng)用和設(shè)置等等，都?jí)嚎s成一個(gè)磁盤(pán)文件中。這是虛擬化的優(yōu)勢(shì)之一，但同時(shí)也很容易成為缺陷。

在傳統(tǒng)環(huán)境中，想偷走一臺(tái)服務(wù)器，需要進(jìn)入數(shù)據(jù)中心物理環(huán)境并帶走物理機(jī)。如果是虛擬機(jī)，通過(guò)網(wǎng)絡(luò)就可以把整個(gè)虛擬機(jī)拷貝出數(shù)據(jù)中心，并且通過(guò)可移動(dòng)存儲(chǔ)設(shè)備帶走。一旦擁有了虛擬磁盤(pán)文件的拷貝，簡(jiǎn)單加載后就可以訪問(wèn)其文件系統(tǒng)，或在工作站上借助VMware Player軟件就能運(yùn)行。

要彌補(bǔ)這種安全漏洞，需要對(duì)虛擬機(jī)數(shù)據(jù)存儲(chǔ)所在的物理存儲(chǔ)層和宿主機(jī)層進(jìn)行保護(hù)。確保存儲(chǔ)網(wǎng)絡(luò)的安全性，保證只有vSphere宿主機(jī)才可以訪問(wèn)存放虛擬機(jī)數(shù)據(jù)的LUN。

一些如管理界面或vSphere Client等常用工具可以把虛擬機(jī)從宿主機(jī)拷貝出來(lái)。通過(guò)vSphere Client的Datastore Browser可以對(duì)文件進(jìn)行訪問(wèn)，并限制其訪問(wèn)范圍。如果使用D2D的備份程序，由于備份的數(shù)據(jù)也是完整的，也要對(duì)它做好保護(hù)。

VMware漏洞有很多，我們還會(huì)在以后的文章中繼續(xù)介紹其他三個(gè)VMware常見(jiàn)漏洞及其解決方法。

【編輯推薦】

1. 預(yù)防交換機(jī)漏洞攻擊防護(hù)
2. 留意數(shù)據(jù)泄露的七種主要途徑
3. 漏洞掃描工具選擇技巧大揭秘
4. 從堵住系統(tǒng)漏洞開(kāi)始 保護(hù)Linux系統(tǒng)安全 續(xù)
5. 淺析漏洞攻擊與惡意程序植入的合作關(guān)系 續(xù)
6. 安全沙箱程序：深度防御還是分層漏洞？（1）