截止今天，虚拟化产品还无法提供满足安全管理需求的单点登录管理产品。HyTrust Appliance （HTA）就是设计用来弥补这一不足的产品，同时它提供了一个用于虚拟化环境的更加细化的安全层。通过使用HTA，您无需管理多个用户账户，对所有的访问方式都使用一个统一的认证通道。在很多的案例中，那些需要同时管理主机（host）和虚拟机的用户往往被分配了很多个访问通道。HTA通过控制和定义特殊的、更加细化的对主机命令和操作的访问形式，避免了这种情况的发生。在本文中，TechTarget中国的特约虚拟化专家Eric Siebert将详细介绍HyTrust Appliance。

　　HyTrust Appliance背景介绍

　　2007年成立，HyTrust是一个只有24个雇员的小公司，总部位于加州的Mountain View。HyTrust Appliance目前是该公司的唯一产品，专注于解决虚拟机的安全问题。在2009年4月，HyTrust脱颖而出并于同年5月发布HyTrust Appliance的1.0版本。在随后的HyTrust 1.5版本中进行了以下一些升级：

• 支持vSphere和各种版本的ESXi
• 支持RSA SecurID的双重认证方式
• 支持基于PCI DDS(Payment Card Industry Data Security Standards)、CIS （Comodo Internet Security）等强制安全认证标准的安全策略和VMware推荐的安全机制，而且
• 支持虚拟机到主机，以及虚拟机到网络的分段控制方式

　　HyTrust Appliance扮演了您的主机（host）及vCenter server的多重管理控制方式的唯一管理员角色，这些管理控制方式包括：vSphere Client、以SSH（Secure Shell）方式登录ESX Service Console、远程命令行（Remote-CLI）方式登录ESXi管理界面和ESX Service Console、Web浏览器登录ESX主机和vCenter Server。

　　VCenter Server提供了通过vSphere Client登录ESX和ESXi主机的访问方式，但是从理论上讲主机（host）是不应该直接被访问的，。在很多情况下，需要通过SSH加密方式登录ESX/ESX管理界面。如果主机可以直接被访问，那么您需要为每台独立的主机配置单独的本地用户，用于管理员登录时使用。您或许可以利用同一个的默认管理员账户登陆每一台主机，但是这种方式我们并不推荐，因为不具备足够的安全访问需求。为每台主机设置唯一的账户，如通过使用Sudo来配置，是相对比较好的一种做法。但是如果我们采用为每台主机都做一次这样的配置的话，又是一个非常浪费时间和繁琐的工作。还有一种方式，您可以通过配置某一台ESX主机来实现像AD服务器这样的内部目录认证方式，但是这需要额外的配置工作并且很难管控。

　　登陆HyTrust Appliance.。它扮演了认证代理的角色。从本质上讲它是整个VMware环境中的唯一访问通道。它提供了对认证系统的管理以及更加细化的用于宿主机和vCenter服务器的许可配置方式。这些功能包括只允许特殊的命令（如vmkfstools或esxtop）可以在ESX服务器内部运行，这点和Sudo在Linux系统中发挥的作用类似。除此之外，为了配置将HyTrust实现配置成只允许某些特殊命令可以访问，您也可以指定只有某些特定的交换机可以使用这些命令（如esxcfg-vswitch –l）。HTA并不需要在系统环境中每台需要保护的机器上都安装客户端，因为它扮演的是整个被保护的主机环境中唯一入口的看门人角色。

　　HyTrust Appliance和网络环境

　　在我们可以使用HyTrust Appliance管理之前，首先需要重新配置网络拓扑环境：这种保护实现的架构基础是从物理上把主机管理网络、vCenter Servers网络和其他网络环境相隔离的拓扑结构。使用该应用软件的最佳配置方式是通过使ESX管理服务界面和ESXi管理控制界面网络，安置在他们自己的独有网络中，以确保其他的服务器和用户不能直接访问他们。

　　即使您可以通过虚拟局域网技术或网络访问控制列表的方式来实现这种隔离，我们建议的最佳方式依然是用从每个子网所在的物理交换机上实现物理隔离。就算您不使用HTA，这样的做法也是有益处的：主机管理网络的物理隔离方式是通用的安全策略之一。在您分割了主机的管理网络之后，HTA以一个独立设备的方式，为这些孤立的网络之间搭建连接桥梁。在用户访问主机时，它同样也扮演了代理服务器的角色。

点击图片本身就能放大

　　在下半部分中，我们将介绍HyTrust的工作原理、安装与认证过程，以及当HyTrust出现宕机时该如何解决。