VMware的安全漏洞不容忽視，尤其是在對法規(guī)遵從和云計算的關(guān)注日益提高的背景下。

虛擬宿主機上會運行多個工作負載，所以一旦發(fā)生未授權(quán)的訪問，入侵者會危害到所有的虛擬機。因此，虛擬管理員需要額外關(guān)注VMware的安全漏洞。下面是幾個易發(fā)生潛在風險的方面。

讓VMware的安全屏障成為蜂窩

基本上講，VMware vSphere是相當安全的，但是如果您忽略了對它的配置和遠程訪問管理，就會像蜂窩一樣存在很多的漏洞。

默認情況下，VMware關(guān)閉了很多方便管理員的服務(wù)，啟用這些服務(wù)會影響安全性。例如，在ESX中，管理員們通常使用Web用戶界面。而在ESXi中，IT專家們喜歡通過SSH啟用遠程連接界面。這些雖然都可以簡化工作方式，但同時也為非授權(quán)的訪問開了后門。

另外宿主機的管理界面也是薄弱環(huán)節(jié)之一。通過它可以訪問整個虛擬架構(gòu)，而無需破解多個密碼。我們要更加嚴格地控制該界面的使用，只在迫不得已的時候再使用--這樣的時候不會太多。其它需要關(guān)注的方面包括：虛擬機的數(shù)據(jù)存儲、管理和存儲區(qū)域網(wǎng)絡(luò)，虛擬網(wǎng)絡(luò)，API,宿主機相關(guān)的連接器，vCenter Server角色服務(wù)器和許可服務(wù)器，以及第三方附加軟件等等。

最起碼要做到：知曉系統(tǒng)弱點并進行重點加強。

虛擬機的可移動性帶來的VMware安全漏洞

虛擬機的可移動性增加了失竊的概率，不過通過完善的備份策略我們可以輕松彌補這些安全漏洞。

虛擬化的過程，把操作系統(tǒng)、應(yīng)用和設(shè)置等等，都壓縮成一個磁盤文件中。這是虛擬化的優(yōu)勢之一，但同時也很容易成為缺陷。

在傳統(tǒng)環(huán)境中，想偷走一臺服務(wù)器，需要進入數(shù)據(jù)中心物理環(huán)境并帶走物理機。如果是虛擬機，通過網(wǎng)絡(luò)就可以把整個虛擬機拷貝出數(shù)據(jù)中心，并且通過可移動存儲設(shè)備帶走。一旦擁有了虛擬磁盤文件的拷貝，簡單加載后就可以訪問其文件系統(tǒng)，或在工作站上借助VMware Player軟件就能運行。

要彌補這種安全漏洞，需要對虛擬機數(shù)據(jù)存儲所在的物理存儲層和宿主機層進行保護。確保存儲網(wǎng)絡(luò)的安全性，保證只有vSphere宿主機才可以訪問存放虛擬機數(shù)據(jù)的LUN.

一些如管理界面或vSphere Client等常用工具可以把虛擬機從宿主機拷貝出來。通過vSphere Client的Datastore Browser可以對文件進行訪問，并限制其訪問范圍。如果使用D2D的備份程序，由于備份的數(shù)據(jù)也是完整的，也要對它做好保護。

預(yù)防VLAN存在的VMware安全漏洞

虛機的網(wǎng)絡(luò)配置很容易修改，這是導(dǎo)致安全漏洞頻發(fā)的原因之一。

當我們在VLAN（virtual local area networks）之間遷移物理機的時候，通常是在交換機端修改VLAN的端口設(shè)置。虛擬主機使用VLAN便簽，也就是說同一個物理交換機端口支持多個 VLAN,然后配置虛擬機的虛擬網(wǎng)卡對應(yīng)主機上的多個端口組。主機的虛擬網(wǎng)絡(luò)設(shè)置方法方便了虛擬機在VLAN之間的遷移，只需編輯虛擬機配置為vNIC重新選擇VLAN就可以了。

這種設(shè)計方式意味著可以輕易地把虛擬機從一個網(wǎng)絡(luò)遷移到另一個，或通過增加多個虛擬網(wǎng)卡讓虛擬機同時屬于多個網(wǎng)絡(luò)。這樣，可能會有人把虛擬機從安全的被保護網(wǎng)絡(luò)遷移出來（例如，從內(nèi)部網(wǎng)絡(luò)遷移到了DMZ，導(dǎo)致被攻擊）。

甚至可能是虛擬機橫跨多個虛擬機網(wǎng)絡(luò)，從而為來自外網(wǎng)的攻擊者提供了內(nèi)網(wǎng)訪問路徑。為防止這種安全漏洞，需要鎖定對虛擬機虛擬網(wǎng)絡(luò)的修改權(quán)限。最好是只有網(wǎng)絡(luò)管理員才可以，而不是擁有虛擬機操作權(quán)限的服務(wù)器或應(yīng)用管理員。

通過隔離避免VMware安全漏洞

當虛擬網(wǎng)絡(luò)數(shù)據(jù)流和存儲及管理數(shù)據(jù)流都在同一個物理路徑上傳輸時，也同時意味著虛擬機被暴漏在安全風險之下。這些終端之間的數(shù)據(jù)流并不全是加密的，所以任何有權(quán)限的人員都可以對線路進行監(jiān)控，獲取包括在vMotion進行主機遷移時的內(nèi)存數(shù)據(jù)和傳輸給存儲設(shè)備等的敏感信息。

路徑隔離的方式為宿主機、存儲設(shè)備、vCenter服務(wù)器和管理員之間的核心數(shù)據(jù)流提供了一個保護層。沒有這一層也就增加了您的私人數(shù)據(jù)泄露的風險。我們可以隔離在物理網(wǎng)絡(luò)上傳輸?shù)拇罅刻摂M系統(tǒng)數(shù)據(jù)流。例如，保持管理和存儲數(shù)據(jù)流位于獨立的網(wǎng)絡(luò)上，使其跟常規(guī)的虛擬機數(shù)據(jù)隔離。

同樣也適用于ESX服務(wù)控制臺、ESXi管理控制臺、VMkernel和vCenter Server所在的網(wǎng)絡(luò)。這些組件相互之間的數(shù)據(jù)交互非常多，而跟外網(wǎng)的交互需求相對很少。

通過防火墻來保護私有網(wǎng)絡(luò)，限制管理員、DNS服務(wù)、升級和其它動作。雖然多數(shù)數(shù)據(jù)流都是加密的，隔離依然為安全漏洞增加了防護層。例如，當通過vMotion進行虛擬機遷移時，包括宿主機內(nèi)存數(shù)據(jù)等都是以最簡單的文本方式傳輸?shù)摹?/p>

當然，還有隔離宿主機和SAN存儲（iSCSI或NAS存儲）設(shè)備之間的流量。對于iSCSI而言，它的安全可以通過雙向握手認證協(xié)議來防止未經(jīng)授權(quán)的訪問出現(xiàn)。隔離不僅保護存儲數(shù)據(jù)流，也防止對同一網(wǎng)絡(luò)上的其它設(shè)備帶來性能影響。

用戶賬號改善VMware安全性

保護好ESX服務(wù)控制臺和ESXi管理控制臺root賬號。一旦它被泄露，主機包括所有虛擬機就都存在危險。

ESX服務(wù)控制臺和ESXi管理控制臺都是Linux系統(tǒng)的一個變種，所以它們都有擁有完整權(quán)限的超級賬戶--root用戶。盡量減少root賬號的使用，為每個用戶創(chuàng)建一個受限的賬號，同時對每個賬戶的使用情況進行跟蹤。

在ESX中，安裝sudo可以為用戶賬號指定受限的特殊權(quán)限。而ESX和ESXi都支持使用su命令賦予某個賬戶臨時的超級用戶權(quán)限。

默認情況下，root賬號不能通過SSH連接遠程登錄使用。即使您可以啟用通過SSH進行root賬號登錄，千萬不要這么做。

VMware禁止它是有一定考慮的。您還可以通過安裝AD認證實現(xiàn)對控制臺的訪問，無需單獨對每臺宿主機上的賬號分開來管理。

最后一點，保護好root賬號。經(jīng)常修改密碼，并盡可能地限制它的使用。

【編輯推薦】

1. VMware View 4.5體驗之旅（上）
2. VMware View 4.5體驗之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現(xiàn)了！
4. VMware View虛擬桌面遷移：數(shù)據(jù)存儲注意事項
5. VMware View難管理？四個突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構(gòu)建 親密接觸VMware View
8. VMware View進軍iPad市場 通過App Store下載
9. 全方位比拼 Windows Azure VS VMware vFabric