确保vCenter以及VMware虚拟环境安全的四大措施

日期: 2013-12-17 作者:Stuart Burns翻译:张冀川 来源:TechTarget中国 英文

当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。

1.限制对主机的访问 在ESXi 4中配置锁定模式 确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中,登录到vCenter并选择你想保护的主机,单击安全性下的配置标签,导航到锁定……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。

1.限制对主机的访问

在ESXi 4中配置锁定模式

在ESXi 4中配置锁定模式

确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中,登录到vCenter并选择你想保护的主机,单击安全性下的配置标签,导航到锁定模式,单击编辑然后启用锁定模式。如果使用的是ESXi 5,那么可以登录到控制台并使用直接控制台用户界面(DCUI)来启用锁定模式。

只有ESX 4及以上版本才支持锁定模式。在紧急情况下,你可以禁用锁定模式—例如,如果vCenter无法使用,那么可以直接登录到主机控制台并通过DCUI来禁用锁定模式。

2.确保网络安全

默认情况下,在创建vSwitch时,将禁用混杂模式但是允许MAC地址更改并接受伪信号。除非你的确需要这么做,否则应该拒绝MAC地址变更以及伪信号。请注意,一些负载均衡产品以及虚拟设备都使用了上述特性。

调整vSwitch安全性设置
调整vSwitch安全性设置

为配置虚拟交换机安全性,选定主机然后依次选择配置,网络属性,编辑虚拟机vSwitch。选择安全性标签并在下拉列表中选择需要修改的选项,当然也可以在端口组级别进行上述配置。

有一点需要主意的地方就是如果你使用了端口组,除非你对端口组的配置进行了显式更改,那么端口组的设置将继承vSwitch的配置。

3.确保虚拟机安全

默认情况下,在使用vSphere应用程序时,客户端以及虚拟机之间的复制与粘贴操作处于启用状态。在安全环境中,这一配置并不合理。为解决这一问题,请选择你想禁用复制域粘贴操作的虚拟机,然后选择选项>高级。选择通用标签并输入如下内容(如果你只想启用复制或者粘贴当中的一项,那么可以选择使用如下配置):

isolation.tools.copy.disable true

isolation.tools.paste.disable true

4.启用域认证

共享root密码在安全性方面带来了一些问题,通过更改认证方式可以很轻松地解决该问题。你可以很轻松地将主机配置为使用AD认证。

如下图所示,在启用该特性之前,你需要在称为ESX Admins的AD基础设施中创建一个组。

输入认证账号然后加入域


输入认证账号然后加入域

一旦完成了上述操作后,就能够针对主机启用AD认证了。找到存在问题的主机然后进入配置标签,单击右侧的属性菜单,这将打开目录服务配置菜单。在下拉菜单中选择目录服务类型然后选择活动目录。输入域名然后单击加入域按钮。这时你需要输入加入域的帐号密码。如果在使用域用户名格式时存在问题,那么可以使用user@domain格式,相对来说后面的格式更好一些。

简单起见,你可能会发现将管理员组加入到ESX Admins组更恰当。然而,不要在ESX管理组中放置域管理组。如果ESX主机需要使用这种登录方式,那么域认证方式也可以用于DCUI控制台。 

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐