如何最小化混合模式端口组安全漏洞?

日期:2008-12-30作者:Edward Haletky

防火墙   VMware   混合模式   端口   安全漏洞   

【TechTarget中国原创】如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue Lane、Catbird和Reflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

VMware移动虚拟化与新产品>更多

相关推荐

  • VMware收购Arkin Net为哪般?

    当Vmware在2016年6月透露出收购Arkin Net的计划时,收购名单再添新成员。VMware没有透露任何关于收购Arkin的财务细节,但它公布了公司重点关注的问题。

  • vSphere盈利下降 VMware转向混合云市场

    随着高端虚拟化产品的盈利能力逐渐减弱,VMware希望凭借新的产品——混合云来扭转这种趋势。但是这种做法能够让VMware摆脱当前困境,还是陷入更危险的境地呢?

  • 超融合选择之争:hypervisor移动性vs. VMware

    超级融合非常有意义,因为通过远程服务器交付整个桌面环境时需求聚焦在计算、网络以及存储资源上。

  • 放弃VCloud Air VMware内部动荡显端倪

    过去一段时间公开报道的VMware公司将解雇大约900名员工的消息正在得到验证,很多受影响的员工正在留言板上记录他们的遭遇。

技术手册>更多

  • XenServer 6.0手册

    思杰将其XenServer 6.0定位成用于公共云服务供应商的hypervisor,并使用微软System Center用于企业虚拟化管理。本期技术手册主要介绍XenServer的未来,并分享一些关于XenServer的配置与管理技巧。

  • 虚拟化如何降低成本

    对许多组织来说,采用虚拟化主要是为了降低数据中心成本、提高数据中心效率,虚拟化在带来了这些明显的好处之外,还带来了一些额外的开销。在本专题中,一些虚拟化专家将从不同方面讲述如何有效利用虚拟化降低成本、避免虚拟化陷阱及如何选择低成本的虚拟化。

  • 如何标识与追踪虚拟机?

    随着很多企业部署越来越多的虚拟化平台,如何区分物理服务器和虚拟服务器也变得越来越难。比较好的标识服务器对象(无论是虚拟环境还是物理环境)的方法是使用每一台计算机对象Active Directory中的Description属性。具体该如何操作呢?

  • ESX与ESXi安全管理

    ESX是性能比较稳定的虚拟化产品,但是也存在一些安全漏洞。ESXi是VMware免费嵌入式hypervisor,它也存在安全缺陷。对于这两款产品,我们该如何安全地管理它们?本指南将从网络和管理方面入手,提供一些实用技巧。

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue LaneCatbirdReflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

  这些程序也需要你设置端口组的VLAN ID为4095。这个特殊的VLAN ID用于直接传递数据到虚拟机,而不需要通过vSwitch里VLAN进程的解释(通常用于执行虚拟子标记)。不过这个端口组也允许混合模式的虚拟机看见所有的数据包,这是由于它们不通过VLAN而穿过vSwitch。如果端口组的VLAN ID不是设置成4095,混合模式的以太网适配器只能看见某个端口组的数据,而不是整个vSwitch。

  不过你如何安全地执行?你如何激活混合模式端口组并且保持其他的都没影响?由于从一个端口组移动虚拟机到另一个的颗粒度保护不存在于目前的VMware ESX或ESXi版本里,所以这是个棘手的问题。有几种方法可以将虚拟机从一个端口组移动到另一个。

  有如此多的方法将虚拟机移动到混合模式端口组,一些角色和权限设置的安全性降低了。

  信任

  安全,尤其是没有阻止同事管理员做一些无意识(或有意)的破坏性事件的安全设置,需要信任其他管理员。除了信任其他系统管理员,你需要经常审计你的架构以获取可能的安全威胁。不幸的是,在虚拟架构里没有设置用来监控这些问题的告警,所以你需要依赖手动监控或第三方工具。

  防火墙

  由于每个行为都需要管理员权限,宿主vCenter、管理工作站和VMware ESX Management设备(服务器控制台和VMware ESXi管理设备)的虚拟化管理网络应该位于自身防火墙的后面。这样的话,你能控制哪个工作站能够访问基础设施管理工具,哪个不能,也包括如何访问这些工具。理想中,你想让管理员使用VPN访问他们的内部——虚拟化管理——网络虚拟机。这就是说一般情况下,工作站不是每天都在网络里。换句话说,保护虚拟化管理网络类似保护数据中心,要尽可能多的控制。这种类型的设置也可能有助于远程到虚拟化主机的访问。

  远程控制台

  由于也可以通过控制台发生一些变更,所以保护对远程控制台的访问也很重要。远程控制台应该是网络里另外一个需要隔离的部分。

  VMware Converter

  VMware Converter是能轻易饶过安全防护的工具之一,所以唯一的方法是通过增加审计减少风险。

  角色与权限

  最后一个需要实施的控制是限制对能宿主虚拟机的网络的修改。对非管理员设置以下权限控制这些功能:

  总结

  不幸的是,这些更改都不能最终防止恶意虚拟机对混合模式端口组的攻击,但是可以减少这种可能。不过,没有什么方法能够取代定期地对基础设施作出更改。有几家公司的产品可以做到:Tripwire和Configuresoft。其他公司的产品通过在虚拟机周围放置Catbird与Reflex Security,防止有疑问的虚拟机输入输出信息。