确保vCenter以及VMware虚拟环境安全的四大措施虚拟化

2013-12-19    来源:TechTarget中国    编辑:张冀川
当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。

  当公司达到一定规模后,IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时,第一大措施就是限制对vCenter的访问。接下来,应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。

  1.限制对主机的访问

  在ESXi 4中配置锁定模式

  确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中,登录到vCenter并选择你想保护的主机,单击安全性下的配置标签,导航到锁定模式,单击编辑然后启用锁定模式。如果使用的是ESXi 5,那么可以登录到控制台并使用直接控制台用户界面(DCUI)来启用锁定模式。

  只有ESX 4及以上版本才支持锁定模式。在紧急情况下,你可以禁用锁定模式—例如,如果vCenter无法使用,那么可以直接登录到主机控制台并通过DCUI来禁用锁定模式。

  2.确保网络安全

  默认情况下,在创建vSwitch时,将禁用混杂模式但是允许MAC地址更改并接受伪信号。除非你的确需要这么做,否则应该拒绝MAC地址变更以及伪信号。请注意,一些负载均衡产品以及虚拟设备都使用了上述特性。

  调整vSwitch安全性设置

  为配置虚拟交换机安全性,选定主机然后依次选择配置,网络属性,编辑虚拟机vSwitch。选择安全性标签并在下拉列表中选择需要修改的选项,当然也可以在端口组级别进行上述配置。

  有一点需要主意的地方就是如果你使用了端口组,除非你对端口组的配置进行了显式更改,那么端口组的设置将继承vSwitch的配置。

  3.确保虚拟机安全

  默认情况下,在使用vSphere应用程序时,客户端以及虚拟机之间的复制与粘贴操作处于启用状态。在安全环境中,这一配置并不合理。为解决这一问题,请选择你想禁用复制域粘贴操作的虚拟机,然后选择选项>高级。选择通用标签并输入如下内容(如果你只想启用复制或者粘贴当中的一项,那么可以选择使用如下配置):

  isolation.tools.copy.disable true

  isolation.tools.paste.disable true

  4.启用域认证

  共享root密码在安全性方面带来了一些问题,通过更改认证方式可以很轻松地解决该问题。你可以很轻松地将主机配置为使用AD认证。

  如下图所示,在启用该特性之前,你需要在称为ESX Admins的AD基础设施中创建一个组。

  输入认证账号然后加入域

一旦完成了上述操作后,就能够针对主机启用AD认证了。找到存在问题的主机然后进入配置标签,单击右侧的属性菜单,这将打开目录服务配置菜单。在下拉菜单中选择目录服务类型然后选择活动目录。输入域名然后单击加入域按钮。这时你需要输入加入域的帐号密码。如果在使用域\用户名格式时存在问题,那么可以使用user@domain格式,相对来说后面的格式更好一些。

简单起见,你可能会发现将管理员组加入到ESX Admins组更恰当。然而,不要在ESX管理组中放置域管理组。如果ESX主机需要使用这种登录方式,那么域认证方式也可以用于DCUI控制台。

1
3