《vSphere安全性指南》由会员分享,可在线阅读,更多相关《vSphere安全性指南(162页珍藏版)》请在金锄头文库上搜索。
1、vSphere 安全性Update 2ESXi 5.5vCenter Server 5.5在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本。要查看本文档的更新版本,请访问 http:/ 安全性2 VMware, Inc.最新的技术文档可以从VMware 网站下载:http:/ 网站还提供最近的产品更新信息。您如果对本文档有任何意见或建议,请把反馈信息提交至:版权所有 20092014 VMware, Inc. 保留所有权利。 版权和商标信息.VMware, Inc.3401 Hillview Ave.Palo Alto, CA 北京办公室北京市海淀区科学院南路2号融科
2、资讯中心C座南8层 999 号新梅联合广场 23 楼 233 号中信广场 7401 室 vSphere 安全性71 vSphere 环境中的安全性9安全和虚拟化层9安全和虚拟网络连接层10安全资源和信息102使用 vCenter Single Sign-On 进行 vSphere 身份验证11如何使用 vCenter Single Sign-On 保护您的环境11vCenter Single Sign-On 组件13vCenter Single Sign-On 如何影响 vCenter Server 安装13vCenter Single Sign-On 如何影响 vCenter Server
3、升级14通过 vSphere 使用 vCenter Single Sign-On 15配置 vCenter Single Sign-On 17管理 vCenter Single Sign-On 用户和组27对 vCenter Single Sign-On 进行故障排除323 vSphere 安全证书和加密35在 vSphere 中使用的证书35证书替换概述36证书自动化工具部署选项37使用 vCenter 证书自动化工具替换 vCenter 证书38替换 vCenter Server Appliance 证书45替换 vCenter Server Heartbeat 证书454 vSphere
4、 用户和权限47权限的层次结构继承47权限验证49使用角色分配特权49角色和权限的最佳做法50常见任务的所需特权50密码要求52vCenter Server 用户目录设置535 vCenter 用户管理任务55管理 vCenter 组件的权限55vCenter Server 和 ESXi 中的角色57在 vSphere Web Client 的大型域中调整搜索列表59VMware, Inc. 36确保 vCenter Server 系统安全61强化 vCenter Server 主机操作系统61vCenter Server 特权的最佳做法61在 vSphere Web Client 中启用证书
5、检查和验证主机指纹63从失败的安装中移除过期和撤销的证书和日志63对网络文件复制启用 SSL 证书验证63限制 vCenter Server 网络连接647确保 ESXi 主机安全67常规 ESXi 安全建议67ESXi 防火墙配置72为 ESXi 分配权限75使用 Active Directory 管理 ESXi 用户79替换 ESXi SSL 证书和密钥80将 SSH 密钥上载到 ESXi 主机83使用 ESXi Shell 85锁定模式88使用 vSphere Authentication Proxy 91替换 ESXi 主机的 Authentication Proxy 证书95修改 E
6、SXi Web 代理设置95vSphere Auto Deploy 安全注意事项99管理 ESXi 日志文件1008确保虚拟机安全103虚拟机常规保护103禁用虚拟机中不必要的功能104使用模板来部署虚拟机108防止虚拟机取代资源108限制信息性消息从虚拟机流向 VMX 文件109在 vSphere Web Client 中防止虚拟磁盘压缩109尽量少用虚拟机控制台110配置客户机操作系统的日志记录级别1109确保 vSphere 网络安全113vSphere 网络安全简介113使用防火墙确保网络安全114确保物理交换机安全119使用安全策略确保标准交换机端口安全119确保标准交换机 MAC
7、地址安全120确保 vSphere Distributed Switch 安全121通过 VLAN 确保虚拟机安全121在单台 ESXi 主机上创建网络 DMZ 123在单台 ESXi 主机中创建多个网络124Internet 协议安全125确保 SNMP 配置正确128仅在需要时才在 vSphere Network Appliance 中使用虚拟交换机128vSphere 安全性4 VMware, Inc. 10确保虚拟机和主机安全的最佳做法131同步 vSphere 网络上的时钟131确保 iSCSI 存储器安全132屏蔽 SAN 资源并对其进行分区134控制基于 CIM 的硬件监控工具访
8、问134验证是否已禁止向客户机发送主机性能数据13511定义的特权137警报138数据中心139数据存储139数据存储群集140vSphere Distributed Switch 140ESX Agent Manager 141扩展141文件夹141全局142主机 CIM 143主机配置143主机清单144主机本地操作144主机 vSphere Replication 145主机配置文件145网络145性能146权限146配置文件驱动的存储146资源147已调度任务147会话148存储视图148任务148vApp 149vCenter Inventory Service 标记150虚拟机配置
9、150虚拟机客户机操作151虚拟机交互152虚拟机清单153虚拟机置备153虚拟机快照管理特权154虚拟机 vSphere Replication 154dvPort 组155vService 155VRM 策略156目录VMware, Inc. 5索引157vSphere 安全性6 VMware, Inc.关于 vSphere 安全性vSphere 安全性提供了有关确保 VMware vCenter Server 和 VMware ESXi 的 vSphere 环境安全的信息。为了帮助保护 vSphere 环境,本文档介绍了 vSphere 环境中可用的安全功能,以及为使该环境免受攻击而可采
10、取的措施。目标读者本信息的目标读者为熟悉虚拟机技术和数据中心操作且具有丰富经验的 Windows 或 Linux 系统管理员。VMware, Inc. 7vSphere 安全性8 VMware, Inc.vSphere 环境中的安全性1要保护 vSphere 环境,您必须熟悉关于安全的各方面信息(包括身份验证、授权、用户和权限)以及保护vCenter Server 系统、ESXi 主机和虚拟机的各方面信息。您也可以关注 vSphere 各领域的高级别概述,这有助于您规划安全策略。也可以从 VMware 网站的其他 vSphere安全资源中获取帮助。本章讨论了以下主题:n第 9 页,“安全和虚拟
11、化层”n第 10 页,“安全和虚拟网络连接层”n第 10 页,“安全资源和信息”安全和虚拟化层VMware 设计了虚拟化层(或 VMkernel)来运行虚拟机。它控制着主机所使用的硬件,并调度虚拟机之间的硬件资源分配。由于 VMkernel 专用于支持虚拟机而不用于其他用途,因此其接口严格限制在管理虚拟机所需的 API。ESXi 通过以下功能提供附加 VMkernel 保护:内存强化安全将 ESXi 内核、用户模式应用程序及可执行组件(如驱动程序和库)位于无法预测的随机内存地址中。在将该功能与微处理器提供的不可执行的内存保护结合使用时,可以提供保护,使恶意代码很难通过内存漏洞来利用系统漏洞。内
12、核模块完整性数字签名确保由 VMkernel 加载的模块、驱动程序及应用程序的完整性和真实性。模块签名允许 ESXi 识别模块、驱动程序或应用程序的提供商以及它们是否通过 VMware 认证。VMware 软件和某些第三方驱动程序已获得 VMware 签名认证。可信的平台模块 (TPM) vSphere 使用 Intel 可信的平台模块/受信任的执行技术 (TPM/TXT),根据硬件信任根提供管理程序映像的远程证明。管理程序映像由以下元素构成:n VIB(软件包)格式的 ESXi 软件(管理程序)n第三方 VIBn第三方驱动程序要利用该功能,ESXi 系统必须启用 TPM 和 TXT。VMwa
13、re, Inc. 9如果启用了 TPM 和 TXT,ESXi 会在系统引导时测量整个管理程序堆栈,并将这些测量值存储在 TPM 的平台配置寄存器 (PCR) 中。测量范围包括 ESXi 上运行的 VMkernel、内核模块、驱动程序、本机管理应用程序,以及所有引导时配置选项。系统上安装的所有 VIB 都会进行测量。第三方解决方案可使用该功能构建验证程序,通过将映像与预期已知正常值的映像进行比较,检测管理程序映像的篡改。vSphere 未提供用于查看这些测量值的用户界面。测量值在 vSphere API 中公开。根据 TXT 的可信计算组 (TCG) 标准,事件日志作为 API 的一部分提供。安
14、全和虚拟网络连接层虚拟网络连接层包括虚拟网络适配器和虚拟交换机。ESXi 依赖虚拟网络连接层来支持虚拟机与其用户之间的通信。此外,主机可使用虚拟网络连接层与 iSCSI SAN 和 NAS 存储器等进行通信。可确保虚拟机网络安全的方法取决于所安装的客户机操作系统、虚拟机是否运行于可信环境及各种其他因素。与其他常见安全措施(例如,安装防火墙)结合使用时,虚拟交换机的保护作用会大大加强。ESXi 还支持可用于为虚拟机网络或存储器配置提供进一步保护的 IEEE 802.1q VLAN。通过 VLAN,可对物理网络进行分段,以便使同一物理网络中的两台计算机无法互相收发数据包,除非它们位于同一 VLAN
15、 上。安全资源和信息可以在 VMware 网站上查找其他的安全相关信息。下表列出了安全主题以及这些主题的其他信息的所在位置。表 11 Web 上的 VMware 安全资源主题资源VMware 安全策略、最新安全预警、安全下载及安全主题重点讨论http:/ 致力于帮助维护安全的环境。安全问题是需要及时更正的。VMware 安全响应策略中作出了解决其产品中可能存在的漏洞之承诺。第三方软件支持策略http:/ 支持各种存储系统和软件代理(如备份代理及系统管理代理等)。可以通过在 http:/ 上搜索 ESXi 兼容性指南,找到支持 ESXi 的代理、工具及其他软件的列表。VMware 不可能对此行业中的所有产品和配置进行测试。如果 VMware未在兼容性指南中列出某种产品或配置,其技术支持人员将尝试帮助解决任
