vSphere环境安全最佳实践

日期:2017-6-19作者:Stephen J. Bigelow翻译:王学强来源:TechTarget中国 英文

【TechTarget中国原创】

VMware vSphere 6.5引入了很多全新安全特性,除了这些特性之外,管理员还可以遵循下面的最佳实践来增强虚拟环境安全性。

除了VMware vSphere 6.5中包含的全新特性(比如vMotion encryption和ESXi secure boot)之外,还有很多其他最佳实践能够帮助提升hypervisor和单台虚拟机的安全性。Timeouts、lockdown mode和acceptance-level 检查等步骤就能够帮助加强 vSphere环境的安全性。

保证hypervisor安全性的最佳实践之一就是确保最小特权——本质上来说就是仅允许最少的授权用户访问必要的特性和功能。比如,不要使用root用户对ESXi进行管理,而是应该通过vCenter Server为特定的用户或者用户组分配特定的角色和任务。这样做能够提升vSphere环境的安全性,因为没有人能够访问他们不需要访问的资源。

还可以通过缩短ESXi或者SSH的timeout时间来改善VMware vSphere 安全性。这样能够确保即便管理员不在电脑旁边,也不会为入侵者留下物理访问权限。如果每次短暂离开电脑都需要锁定或者关机,会是一件非常麻烦的事情。

网络通信依赖于防火墙的开放断口,因此检查和尽量减少开放的断口数量无疑能够降低ESXi主机受到外部入侵的几率。

如果你的 vSphere环境需要更高的安全等级,那么使用 ESXi lockdown mode可以限制只能通过 vCenter Server访问ESXi主机。 VSphere支持多因素认证,除了用户名和密码之外还支持智能卡,能够确保指定的物理设备才能够进行管理访问。此外,管理员还可以考虑使用ESXi账户锁定功能,在10次尝试登录失败之后用户就会被锁定。

在 vSphere环境建立标准流程,比如使用脚本或者模板实现ESXi主机日常管理任务自动化,还能够提升VMware vSphere安全性。这样能够最大程度上减少手动变更、错误或者疏漏所带来的意外安全漏洞。管理员还可以使用脚本和模板来引导和配置标准虚拟机以满足最低安全性需求。

利用acceptance level来检查每个VIB(vSphere installation bundle)包的完整性。这样能够保证只有当VIB的acceptance level等于或者高于ESXi主机时才会向ESXi主机添加VIB——这样通常能够防止那些带有恶意软件的社区版本或者合作伙伴支持的VIB。

还有一些其他预防措施能够帮助提升单台虚拟机的安全性。比如,及时测试和安装操作系统补丁和更新对于保证操作系统安全性来说是至关重要的。

如果管理员在虚拟机中部署反恶意软件、反间谍软件或者其他安全工具,那么也需要及时更新这些工具以保证其在虚拟化环境的有效性。最小化用户对于虚拟机控制台的访问权限以限制用户对于虚拟机电源管理和可移动设备的操作——切断一些针对虚拟机的常见攻击途径。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

VMware vSphere>更多

  • VMware VIO如何给vSphere添加云功能?

    虽然世界范围内的数据中心都使用vSphere虚拟化他们的工作负载,但是虚拟化已经存在了很久,而且需要管理没来安装、部署虚拟机。近来,越来越多的组织已经转向云来运行他们的工作负载。

  • VMware VIC如何存储并管理容器?

    你可能已经知道vSphere集成容器(以下简称VIC)在vSphere部署中能够像运行虚拟机那样运行容器—但这只是开始。

  • 镜像构建器有助于管理vSphere自动部署镜像

    全新的基于GUI的镜像构建器主要的优势之一是能够展示你拥有哪些软件集,以及在每个镜像里面有哪些软件包。

  • vSphere环境安全最佳实践

    除了VMware vSphere 6.5中包含的全新特性(比如vMotion encryption和ESXi secure boot)之外,还有很多其他最佳实践能够帮助提升hypervisor和单台虚拟机的安全性。

相关推荐

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心