管理員通常采用VMware hypervisor默認的安全設(shè)置。

vSphere相當(dāng)安全，但是VMware安全漏洞仍然可能發(fā)生。尤其是在IT管理者更關(guān)注管理的便利而不是加強hypervisor、主機以及虛擬機的安全時。

為避免安全漏洞導(dǎo)致的混亂，VMware提供了以下五種方法確保hypervisor足夠安全：

防火墻保護VMware hypervisor安全

物理防火墻為連接到物理網(wǎng)絡(luò)中的服務(wù)器和設(shè)備提供保護，但是在保護連接到虛擬網(wǎng)絡(luò)的虛擬機時，物理防火墻并不總是有效。使用虛擬防火墻與物理防火墻相結(jié)合，確保每個層的網(wǎng)絡(luò)流量都被監(jiān)控到并且是安全的。

有時，虛擬機網(wǎng)絡(luò)流量在主機內(nèi)部，也就是不通過物理網(wǎng)絡(luò)傳輸。虛擬機之間的流量在同一個虛擬交換機（vSwitch）和端口組上傳輸時，不會經(jīng)過物理網(wǎng)絡(luò)而只經(jīng)過在主機內(nèi)存中的虛擬網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)流量是在物理防火墻保護區(qū)域之外的。

為了在網(wǎng)絡(luò)層為虛擬機提供最大化的保護，使用為虛擬基礎(chǔ)設(shè)施設(shè)計的安全產(chǎn)品，比如VMware vShield。虛擬防火墻服務(wù)使用VMsafe 應(yīng)用程序接口（VMsafe API）在虛擬機的虛擬網(wǎng)卡層獲取并查看網(wǎng)絡(luò)流

明智地分配主機資源

在vSphere中實現(xiàn)資源控制，預(yù)防內(nèi)部類似分布式拒絕服務(wù)（DDOS）攻擊。配置資源控制能夠幫助避免惡意虛擬機終止運行而導(dǎo)致的資源破壞。

默認情況下，所有虛擬機對主機提供的有限的資源有相同的使用權(quán)。新添加的虛擬機將競爭使用主機提供的資源以提供工作負載。因此，主機沒有策略來治理主機資源的使用。不太重要的虛擬機可能會約束重要的虛擬機使用相應(yīng)的資源，這會導(dǎo)致重要的虛擬機崩潰，重要的虛擬機崩潰和物理服務(wù)器在分布式拒絕服務(wù)攻擊時將崩潰的情形非常像。

vSphere內(nèi)置的資源控制，比如共享、限制以及預(yù)約，能夠保證或者優(yōu)先保證虛擬機訪問主機資源。新的存儲I/O控制以及即將提供的網(wǎng)絡(luò)I/O控制特性在主機上提供了新的存儲和網(wǎng)絡(luò)使用控制。

你可以隔離主機資源進入池中，并把主機資源分配給選定的虛擬機，防止一個資源池中的虛擬機偷用另一個資源池中的資源。

除此之外，資源池能夠配置用來隔離主機資源，進入只能被分配給選定的虛擬機的池中。
 

擴大VMware hypervisor安全到遠程控制臺

同一時刻只允許一個用戶訪問虛擬機控制臺。當(dāng)多用戶登錄時，這種設(shè)置能夠防止較低權(quán)限的用戶訪問敏感信息。

和Windows遠程桌面每個用戶獲取一個單獨的會話不同，虛擬機的遠程控制臺允許多人同時連接。如果具有較高權(quán)限的用戶登錄進入遠程控制臺，第二個登錄的用戶將獲得第一個用戶具有的較高權(quán)限，對VMware hypervisor安全來說，這可能是一個大問題。

為了避免上述風(fēng)險，移除特定用戶的控制臺交互特權(quán)。你也可以把遠程管理控制臺的會話數(shù)限制限制為1，只需要在虛擬機的配置中添加這個高級配置：“RemoteDisplay.maxConnections=1”。

另一個風(fēng)險是虛擬機客戶操作系統(tǒng)和通過遠程控制臺連接到虛擬機的計算機操作系統(tǒng)之間的拷貝和粘貼功能。如果某個人連接到虛擬機并且拷貝信息到虛擬機的剪切板上，那么通過遠程管理控制臺或者其他方式連接到虛擬機的任何人都可以使用剪切板上的信息。

為了避免VMware hypervisor安全的這個脆弱性，通過給虛擬機增加如下高級配置設(shè)置，禁用連接到虛擬機的計算機遠程管理控制臺的拷貝和粘貼功能：
 

通過限制特權(quán)減少VMware hypervisor的安全缺陷

在vSphere中，相比花費時間分配更多細粒度的權(quán)限，給一個用戶管理員權(quán)限既簡單又方便。但是冒著有用戶執(zhí)行危險操作的風(fēng)險也就是對VMware hypervisor安全進行了妥協(xié)。用戶有全部的權(quán)限能夠重新配置虛擬機，改變網(wǎng)絡(luò)配置，拷貝數(shù)據(jù)到數(shù)據(jù)中心或者從數(shù)據(jù)中心拷貝數(shù)據(jù)，改變權(quán)限乃至更多。

和給用戶分配所有權(quán)限相反，創(chuàng)建相應(yīng)的角色，只包含用戶需要的權(quán)限。vSphere具有非常細粒度的權(quán)限，分為不同的類別，可以將這些類別分配給相應(yīng)的角色—然后你可以把這些角色分配給用戶。

獲取正合適的權(quán)限需要進行反復(fù)試驗，因為vSphere中的一些操作可能影響多個角色。最好是開始時不分配權(quán)限，然后再增加權(quán)限，而不是移除具有所有特權(quán)的用戶的權(quán)限。這么操作能夠確保只分配所需要的權(quán)限。

在給用戶分配權(quán)限之前，創(chuàng)建一個測試用戶帳戶，分配給它一個角色，然后再增加相應(yīng)的權(quán)限。這個步驟能夠幫助你測試權(quán)限是否分配正確。

為VMware hypervisor安全啟用鎖定模式

使用戶通過vCenter Server訪問ESXi主機，vCenter Server提供了集中的安全和日志記錄。啟用鎖定模式能夠防止用戶連接ESXi主機時繞過vCenter Server安全機制。

對管理員來說，松散管理VMware hypervisor安全使管理更簡單（舉例來說，啟用遠程Tech Support Mode），這是很常見的，但是和管理員應(yīng)該做的是相違背的。管理員應(yīng)該通過減少受攻擊面使ESXi更加安全，并且更好的保護虛擬機。

為了加強ESXi安全，通過vCenter Server或控制臺用戶界面在主機安全配置中啟用特別的鎖定模式。鎖定模式防止通過任何方式直接訪問主機，包括通過APIs（也就是vCLI和PowerCLI）以及vSphere客戶端。鎖定模式同樣可以封鎖本地以及遠程訪問Tech Support Mode。因此，訪問主機必須通過vCenter Server。

如果你不想如此極端，可以只禁用本地和遠程訪問Tech Support Mode。最終，相對于安全，易用性應(yīng)該占次要地位。不要盲目削弱VMware hypervisor安全，以確保虛擬機被很好的保護。

【編輯推薦】

1. VMware View 4.5體驗之旅（上）
2. VMware View 4.5體驗之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現(xiàn)了！
4. VMware View虛擬桌面遷移：數(shù)據(jù)存儲注意事項
5. VMware View難管理？四個突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構(gòu)建 親密接觸VMware View
8. VMware View進軍iPad市場 通過App Store下載