保衛(wèi)你的VMware架構安全是個多層的過程：需要保護ESXi主機、虛擬機和hypervisor本身。VMware ESXi在vSphere 5中占據(jù)主導地位，這個hypervisor伴隨著新的ESXi安全考慮。

　　有多種方式保衛(wèi)VMware ESXi的安全。要正確選擇ESXi防火墻，添加網(wǎng)絡安全，鎖定用戶賬戶，這些都非常重要。因此了解vSphere 5里的新安全功能是必須滴。

　　以下幾個關于VMware ESXi安全的問答有助于你了解需要保護的所有組件，加固你的架構，并熟悉一些新的VMware安全功能。

　　關于VMware ESXi安全你該關注什么?

　　ESXi自身非常安全。像VMware ESXi這樣的Type 1 hypervisor不是運行在主機操作系統(tǒng)上，這意味著操作系統(tǒng)不需要額外的保護。不過要啟動ESXi安全，可以手動配置一些額外的VMkernel設置。你也應該確保ESXi網(wǎng)絡的不同部分彼此獨立，保護獨立虛擬機的安全。

　　vSphere 5安全有啥新鮮事?

　　你可能已聽說VMware更新了vShield 5種的安全套件，但新的虛擬化平臺也提供登錄改進、ESXi防火墻和安全部署ESXi的新方式。要啟動vSphere安全，Auto Deploy功能能幫助你一次部署大量主機，并使用Host Profiles配置這些主機確保一致性。例如，有了Auto Deploy后，可以確保一個集群中所有ESXi主機的防火墻設置是相同的。

　　我如何確保ESXi hypervisor安全?

　　通過實施物理與虛擬防火墻，最大程度確保VMware hypervisor安全。也要確保分配主機資源，防止單個虛擬機過量消耗導致斷電。所以可以創(chuàng)建資源池并分配給每臺虛擬機。在vSphere 5中，Storage I/O Control與Network I/O Control功能提供額外的資源池。

　　每次只讓一個用戶訪問一個虛擬機的控制臺，這樣也能確保hypervisor安全，這種情況發(fā)生在遠程用戶同時連接的時候。最后，不要讓管理員擁有太多權限。在ESXi主機上創(chuàng)建特殊用戶賬號并鎖定Mode，阻止他們通過API、命令行工具與vSphere Client直接訪問。

　　我需要關注哪些VMware安全漏洞?

　　有些區(qū)域黑客能輕易滲透：主機管理控制臺、ESXi遠程控制臺、虛擬機數(shù)據(jù)存儲與網(wǎng)絡。如果有人在數(shù)據(jù)存儲中訪問虛擬機磁盤文件的話，他們就可以拷貝整個虛擬機并在任何地方都能下載。要避免VMware安全漏洞，你也需要保護虛擬網(wǎng)絡。當在虛擬LAN之間移動虛擬機時，服務器與網(wǎng)絡組之間的錯誤傳達會導致不正確的配置。

　　VMware用戶賬戶如何提供ESXi安全?

　　為每臺主機創(chuàng)建用戶賬戶并自定義這些賬戶能加強ESXi安全。VMware有個默認的賬戶，但最好添加新的，有特權的賬戶。以便監(jiān)控每臺主機上誰在做什么。自定義VMware用戶賬戶的過程很簡單，可以分配權限給單個用戶或用戶組。

　　如何配置VMware ESXi防火墻?

　　VSphere 5引入了新的ESXi防火墻，可與vSphere Client或命令行一起配置。默認下，這種無狀態(tài)的防火墻不像ESX Server防火墻那樣，為服務定義端口規(guī)則。VMware ESXi防火墻還能指定(一系列)IP地址，使得遠程主機也能訪問每個服務。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_58122.htm