如何最小化混合模式端口组安全漏洞?

日期:2008-12-30作者:Edward Haletky

防火墙   VMware   混合模式   端口   安全漏洞   

【TechTarget中国原创】如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue Lane、Catbird和Reflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

VMware移动虚拟化与新产品>更多

相关推荐

  • VMware收购Arkin Net为哪般?

    当Vmware在2016年6月透露出收购Arkin Net的计划时,收购名单再添新成员。VMware没有透露任何关于收购Arkin的财务细节,但它公布了公司重点关注的问题。

  • vSphere盈利下降 VMware转向混合云市场

    随着高端虚拟化产品的盈利能力逐渐减弱,VMware希望凭借新的产品——混合云来扭转这种趋势。但是这种做法能够让VMware摆脱当前困境,还是陷入更危险的境地呢?

  • 超融合选择之争:hypervisor移动性vs. VMware

    超级融合非常有意义,因为通过远程服务器交付整个桌面环境时需求聚焦在计算、网络以及存储资源上。

  • 放弃VCloud Air VMware内部动荡显端倪

    过去一段时间公开报道的VMware公司将解雇大约900名员工的消息正在得到验证,很多受影响的员工正在留言板上记录他们的遭遇。

技术手册>更多

  • Windows用户状态虚拟化指南

    企业中目前主流的虚拟化技术还有应用程序虚拟化、存储虚拟化、网络虚拟化等等。那么什么是用户状态虚拟化呢?在本期虚拟化技术手册中,TechTarget中国的特约专家付林将为您讲述Windows用户状态虚拟化(USV)的方方面面。

  • VDI灾难恢复手册

    VDI灾难恢复需要考虑额外事项。是否有足够的网络带宽处理恢复迁移过程?哪些重要的应用绝对需要快速恢复让用户访问?在本期TechTarget中国VDI灾难恢复手册中,我们会介绍虚拟桌面灾难恢复技术,让你从规划到备份桌面都得心应手。

  • VMware vSphere 4.1中文技术教程

    VMware于7月13日发布了vSphere 4.1,这是对于VMware vSphere平台的首次升级。VMware vSphere 4.1提供了几个方面的技术改进,包括新的I/O控制和内存压缩功能。此外,VMware将其vMotion热迁移功能添加到vSphere 4.1的Standard与Enterprise Plus中,当然,价格相应随之提升。发布vSphere 4.1的同时,VMware也更改了vCenter管理产品线的价格与许可模式,使用per-VM模式。VMware也重新命名了今年初从EMC购得的Ionix管理产品。在本期VMware vSphere 4.1技术手册中,我们将详细介绍这些发布,分析vSphere 4.1的功能特点,并提供升级到vSphere 4.1的技巧。

  • PowerShell v3命令与虚拟化

    PowerShell v3入门级教程》全面介绍了PowerShell v3的新功能、功能应用以及其他管理技术等等。是一本入门级教程,这本《PowerShell v3命令与虚拟化》技术手册专注PowerShell v3在虚拟化工作中的实用功能。之前会介绍基本的PowerShell命令、在Hyper-V 3.0中的使用等。

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue LaneCatbirdReflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

  这些程序也需要你设置端口组的VLAN ID为4095。这个特殊的VLAN ID用于直接传递数据到虚拟机,而不需要通过vSwitch里VLAN进程的解释(通常用于执行虚拟子标记)。不过这个端口组也允许混合模式的虚拟机看见所有的数据包,这是由于它们不通过VLAN而穿过vSwitch。如果端口组的VLAN ID不是设置成4095,混合模式的以太网适配器只能看见某个端口组的数据,而不是整个vSwitch。

  不过你如何安全地执行?你如何激活混合模式端口组并且保持其他的都没影响?由于从一个端口组移动虚拟机到另一个的颗粒度保护不存在于目前的VMware ESX或ESXi版本里,所以这是个棘手的问题。有几种方法可以将虚拟机从一个端口组移动到另一个。

  有如此多的方法将虚拟机移动到混合模式端口组,一些角色和权限设置的安全性降低了。

  信任

  安全,尤其是没有阻止同事管理员做一些无意识(或有意)的破坏性事件的安全设置,需要信任其他管理员。除了信任其他系统管理员,你需要经常审计你的架构以获取可能的安全威胁。不幸的是,在虚拟架构里没有设置用来监控这些问题的告警,所以你需要依赖手动监控或第三方工具。

  防火墙

  由于每个行为都需要管理员权限,宿主vCenter、管理工作站和VMware ESX Management设备(服务器控制台和VMware ESXi管理设备)的虚拟化管理网络应该位于自身防火墙的后面。这样的话,你能控制哪个工作站能够访问基础设施管理工具,哪个不能,也包括如何访问这些工具。理想中,你想让管理员使用VPN访问他们的内部——虚拟化管理——网络虚拟机。这就是说一般情况下,工作站不是每天都在网络里。换句话说,保护虚拟化管理网络类似保护数据中心,要尽可能多的控制。这种类型的设置也可能有助于远程到虚拟化主机的访问。

  远程控制台

  由于也可以通过控制台发生一些变更,所以保护对远程控制台的访问也很重要。远程控制台应该是网络里另外一个需要隔离的部分。

  VMware Converter

  VMware Converter是能轻易饶过安全防护的工具之一,所以唯一的方法是通过增加审计减少风险。

  角色与权限

  最后一个需要实施的控制是限制对能宿主虚拟机的网络的修改。对非管理员设置以下权限控制这些功能:

  总结

  不幸的是,这些更改都不能最终防止恶意虚拟机对混合模式端口组的攻击,但是可以减少这种可能。不过,没有什么方法能够取代定期地对基础设施作出更改。有几家公司的产品可以做到:Tripwire和Configuresoft。其他公司的产品通过在虚拟机周围放置Catbird与Reflex Security,防止有疑问的虚拟机输入输出信息。