如何最小化混合模式端口组安全漏洞?

日期:2008-12-30作者:Edward Haletky

防火墙   VMware   混合模式   端口   安全漏洞   

【TechTarget中国原创】如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue Lane、Catbird和Reflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

VMware移动虚拟化与新产品>更多

相关推荐

  • VMware收购Arkin Net为哪般?

    当Vmware在2016年6月透露出收购Arkin Net的计划时,收购名单再添新成员。VMware没有透露任何关于收购Arkin的财务细节,但它公布了公司重点关注的问题。

  • vSphere盈利下降 VMware转向混合云市场

    随着高端虚拟化产品的盈利能力逐渐减弱,VMware希望凭借新的产品——混合云来扭转这种趋势。但是这种做法能够让VMware摆脱当前困境,还是陷入更危险的境地呢?

  • 超融合选择之争:hypervisor移动性vs. VMware

    超级融合非常有意义,因为通过远程服务器交付整个桌面环境时需求聚焦在计算、网络以及存储资源上。

  • 放弃VCloud Air VMware内部动荡显端倪

    过去一段时间公开报道的VMware公司将解雇大约900名员工的消息正在得到验证,很多受影响的员工正在留言板上记录他们的遭遇。

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
【TechTarget中国原创】

如何让VMware虚拟架构里的混合模式端口组不受到威胁?许多网络安全工具,如Blue LaneCatbirdReflex Systems都可用,不过它们需要激活。另外,一些检查网络数据包的新工具,如VMware vCenter AppSpeed,也需要激活混合模式设置。

  这些程序也需要你设置端口组的VLAN ID为4095。这个特殊的VLAN ID用于直接传递数据到虚拟机,而不需要通过vSwitch里VLAN进程的解释(通常用于执行虚拟子标记)。不过这个端口组也允许混合模式的虚拟机看见所有的数据包,这是由于它们不通过VLAN而穿过vSwitch。如果端口组的VLAN ID不是设置成4095,混合模式的以太网适配器只能看见某个端口组的数据,而不是整个vSwitch。

  不过你如何安全地执行?你如何激活混合模式端口组并且保持其他的都没影响?由于从一个端口组移动虚拟机到另一个的颗粒度保护不存在于目前的VMware ESX或ESXi版本里,所以这是个棘手的问题。有几种方法可以将虚拟机从一个端口组移动到另一个。

  有如此多的方法将虚拟机移动到混合模式端口组,一些角色和权限设置的安全性降低了。

  信任

  安全,尤其是没有阻止同事管理员做一些无意识(或有意)的破坏性事件的安全设置,需要信任其他管理员。除了信任其他系统管理员,你需要经常审计你的架构以获取可能的安全威胁。不幸的是,在虚拟架构里没有设置用来监控这些问题的告警,所以你需要依赖手动监控或第三方工具。

  防火墙

  由于每个行为都需要管理员权限,宿主vCenter、管理工作站和VMware ESX Management设备(服务器控制台和VMware ESXi管理设备)的虚拟化管理网络应该位于自身防火墙的后面。这样的话,你能控制哪个工作站能够访问基础设施管理工具,哪个不能,也包括如何访问这些工具。理想中,你想让管理员使用VPN访问他们的内部——虚拟化管理——网络虚拟机。这就是说一般情况下,工作站不是每天都在网络里。换句话说,保护虚拟化管理网络类似保护数据中心,要尽可能多的控制。这种类型的设置也可能有助于远程到虚拟化主机的访问。

  远程控制台

  由于也可以通过控制台发生一些变更,所以保护对远程控制台的访问也很重要。远程控制台应该是网络里另外一个需要隔离的部分。

  VMware Converter

  VMware Converter是能轻易饶过安全防护的工具之一,所以唯一的方法是通过增加审计减少风险。

  角色与权限

  最后一个需要实施的控制是限制对能宿主虚拟机的网络的修改。对非管理员设置以下权限控制这些功能:

  总结

  不幸的是,这些更改都不能最终防止恶意虚拟机对混合模式端口组的攻击,但是可以减少这种可能。不过,没有什么方法能够取代定期地对基础设施作出更改。有几家公司的产品可以做到:Tripwire和Configuresoft。其他公司的产品通过在虚拟机周围放置Catbird与Reflex Security,防止有疑问的虚拟机输入输出信息。