【VMware虚拟化解决方案】浅议VMware虚拟化环境下的安全策略

浅议VMware虚拟化环境下的安全策略

刘志勇

通过多年的发展,VMware在虚拟化市场处于领军地位,很多企业部署了VMware虚拟化方案,笔者所在的企业同样也不例外。

经过多年来的信息化建设,出于对安全防护的高度重视,为了物理边界和终端安全,企业部署了安全系统,包含了安全网关、应用防护、防病毒软件等等。

但是,企业在信息化建设大量应用了VMware虚拟化的方案,虽然早先做到了物理边界和终端安全,但虚拟化系统的主机漏洞防护却面临着挑战,本文作者就尝试阐述在VMware虚拟化环境下如何制定安全策略。

  企业现有十几台架式服务器、刀片服务器、存储硬件,通过VMware虚拟化进行部署,承载着企业众多信息化应用,涵盖Windows Server和Linux两大平台。由于操作系统包括各种数据库、中间件等都存在安全漏洞的可能性,跟其所在的服务器是物理的还是虚拟的并没有关系,通过这些漏洞,骇客和病毒、木马程序等都会通过未修补的漏洞来攻击服务器。

  那么会有什么样的潜在风险呢?

  答案是兼容性问题。如果采用传统方法——打实体补丁,需要确认补丁与应用软件的兼容性,而且很多Windows平台的补丁都要重启服务器,如果和每月微软发布的安全补丁同步不太现实,尤其对于业务量极大的、24x7全天候的应用系统。

  针对虚拟化环境下的主机安全,网管员要用虚拟化的眼光来思考。如果按照传统方式来部署服务器的安全软件的话,安全软件是非常非常耗费资源的,特别是扫描、更新尤为如此。

  所幸的是,VMware的虚拟交换机——VMware vSwitch,通过一些设置的变更,它能在最大限度保护虚拟基础设施的安全。

  只要配置好VMware vSwitch安全策略,就可以在保证在安全最大化的同时,兼顾了兼容性、性能的问题。

  不过默认情况下,VMware vSwitch的设定,是针对可用性而非安全性。通过一些设置的变更,就可以提高虚拟机的安全等级,降低了网络攻击的风险。

  本文就阐述怎么在VMware环境下进行安全方面的策略设置。

  决定配置之前,要评估最危险的环节。一般来说,那些为外界服务的虚拟主机是最脆弱的环节,必须加固、加强保护。虚拟网卡从OS层面来看,跟物理网卡是完全相同,针对物理网卡发动的D.D.o.S也会发生在虚拟网卡。

  vSwitch可以限制接口上允许通过的最大网络流量,也有一些阻止恶意行为的措施,本文将讲述如何在vSwitch进行安全配置。

运行vSphere Client,进入主机的配置标签页,选择硬件列表中的网络连接,显示vSwitch当前的配置,然后在要配置的vSwitch上选择属性,在弹出的新窗口中,选择要配置安全设定的端口,点击编辑按钮,接着点击安全标签页,就会看到所选端口上的一些设定。

在vSwitch中,有三个安全策略可以考虑,笔者将分别详细阐述。

混杂模式(Promiscuous Mode)

混杂模式默认是关闭的。该模式会允许主机拦截、监测网卡经过虚拟交换机发送给其他节点所有的流量,用于分析网络中所有的活动,进行安全分析。要注意,这个模式会影响网络性能,除非进行安全分析,不建议开启混杂模式。

Mac地址变化(MAC Address Changes)

指定是否允许改变虚拟网卡的MAC地址。缺省是允许的,这表示允许虚拟机的OS变更MAC地址,应用于这类场合之下:连接iSCSI存储区域网络;启用网络负载均衡等等,该特性对网管员很有帮助。但是如果网络环境中没有这些场景的话,笔者建议关闭之,因为黑客有可能会通过改变MAC地址或者伪造虚拟主机的IP地址,发起攻击。关闭后就杜绝这种可能性。

欺骗传输(Forged Transmits)

这个特性缺省是开启的,它的作用是设置是允许是否拒绝欺骗传输,这个作用有什么意义?一般来说是用于软件授权相关问题,在企业中,往往有类似这样的场合:物理主机上的软件只授权给指定的MAC地址的主机,禁止在虚拟机上违法运行,因为两者的MAC地址不同。要想在虚拟主机上也使用这款软件,那么就在vSwitch开启欺骗传输特性,通过伪造虚拟主机的MAC地址来“合法”使用软件。工作机理是如果设置为拒绝(Reject)时,虚拟机将会对比数据包的源MAC地址和其网卡的真实MAC地址,是否匹配,否则,ESXi主机将为阻止虚拟机发送流量而丢弃这些数据包。

笔者建议应将欺骗传输设置为拒绝,因为如果网管员的安全策略是授权指定MAC地址访问网络,则黑客可能会通过这一特性,将自己未授权的MAC地址修改为已授权的MAC地址,从而带来极大的安全隐患。

流量整形(Traffice Shaping)

流量整形在安全标签页(Security)的右侧Traffic Shaping。你可以在这里设置是否允许流量整形,如果允许的话,设置限定连接到vSwitch虚拟网卡的可用带宽。对于防止D.D.o.S和D.o.S有一定的防御作用——限定平均带宽、最大带宽和突发值可以防止某一个节点占用交换机和网络的所有带宽。这个设定只是为每个网络接口设定限制值,并不会影响网络的整体性能。

信息技术的发展一日千里,企业信息化建设的虚拟化时代是全球的趋势。在新的技术体系架构下考虑企业网络的安全,是每一个网管员的责任。面对新技术和新架构带来的挑战,网管员们面对最新的网络安全威胁,就必须分析并掌握最新的技术原理,审视企业的网络安全体系,才能让信息技术更好服务企业的建设和发展。

【VMware虚拟化解决方案】浅议VMware虚拟化环境下的安全策略

时间: 2024-11-15 10:24:35

【VMware虚拟化解决方案】浅议VMware虚拟化环境下的安全策略的相关文章

【VMware虚拟化解决方案】 基于Win2012 R2 WDS下ESXI全自动部署解决方案

一.项目需求: 近期因项目需要准备部署100台ESXI主机,可是存在一个问题,这100台主机分别位于不同城市之间,包括上海.广州.重庆.北京等,如果去到现场进行安装,非常的费力费时,根本不可能在一个星期内完成此项目需求,这将影响整个项目的进度安排.为此对客户的网络环境进行了分析,公司总部与其它分公司之前采用10M专线进行连接,这对我来说是一件很让我兴奋的消息,我们可以通过PXE实现ESXI的全自动安装,按照一台机大约25分钟的时候计算,并行进行5台机的部署,25*(100/5)=500分钟即可完

【VMware虚拟化解决方案】备份VMWare ESXi虚拟机

备份VMWare ESXi虚拟机 VMware Data Recovery(简称VDR)介绍: VMware DataRecovery是vSphere新提供的数据备份功能,是一种基于磁盘的数据备份方式,不支持以磁带为目标的备份.VDR由vc插件.运行在ESX主机上的虚拟机以及备份存储这三个部件组成.通过在vc上的插件以向导的方式进行配置和调度备份任务. VMwareData Recovery 可创建虚拟机备份,同时不会中断虚拟机的使用或其提供的数据和服务.Data Recovery会管理现有备份

【VMware虚拟化解决方案】用VMware Fusion来“穿越”

用VMware Fusion来"穿越" 一. 背景介绍 曾经听到过这样一个比喻,说的是在企业里,喜欢用Windows操作系统的是普通型员工:喜欢用Linux操作系统的是宅男型员工:而喜欢用MacOS操作系统的是文艺型员工.我所支持的是一家以为各个企业定制书籍的文化传媒公司.公司以<论语>为企业精神,可想而知整个企业里都充斥着"文艺型销售员工".2013年该公司筹划归并入国外某知名品牌公司,除了服务器端的迁移外,很多国内员工的电脑操作系统及其应用软件也要从

浅谈在ES5环境下实现const

最近看到一个面试题--用ES5实现const.作为JS初学者的笔者知道在ES6中有const命令,可以用来声明常量,一旦声明,常量的值就不可改变.例如: 1234567891011 const Pi = 3.1415;Pi Pi = 3;// TypeError: Assignment to constant variable. const foo = {};// 为 foo 添加一个属性,可以成功foo.prop = 123;foo.prop // 123// 将 foo 指向另一个对象,就会

RHEV--基于开源的企业级虚拟化解决方案

本文主要介绍Red Hat基于开源的企业级虚拟化解决方案RHEV.RHEV虽然是开源虚拟化解决方案,但是其易用性,可维护性是很高的.文中笔者通过与vSphere的架构进行对比介绍,以便使读者更好地进行理解.声明:本文不代表任何厂商官方观点,文中的测试数据,仅用于参考使用. 从虚拟化市场谈起 谈到虚拟化,大多数人第一时间想到的是vSphere,毋庸置疑.目前为止,vSphere在虚拟化市场,无论是份额,还是影响力,都是最大的. 随着开源的兴起,开源虚拟化解决方案也受到越来越多客户的注意.根据201

【VMware虚拟化解决方案】配置和部署VMware ESXi5.5

[VMware虚拟化解决方案]配置和部署VMware ESXi5.5 时间 2014-04-08 10:31:52  让"云"无处不在的博客原文  http://mabofeng.blog.51cto.com/2661587/1392018 马博峰 在安装ESXi5.5之前,需要对要对整个环境进行设计和规划,由于虚拟化涉及服务器技术.网络技术和存储技术等多项技术,所以虚拟化的架构设计涵盖了CPU的选型.网络的设计.共享存储的方式.虚拟化资源的需求和安装ESXI的模式等知识.一个好的VM

Citrix 桌面虚拟化解决方案与VMware桌面虚拟化解决方案对比

通过 XenDesktop 和 FlexCast为各种场景交付虚拟桌面 企业桌面面临的问题 为每个用户提供安全高效的桌面环境是几乎所有公司或组织的基本要求.如果用户无法使用他们的桌面或应用程序,公司就无法高效率运作.每隔几年,几乎每个公司或组织都会大规模采用新操作系统.新硬件或新应用,这就需要大量的人力来大规模地构建.测试并发布最新系统.这一庞大繁琐的过程往往拖延了许多对企业有利的升级,进而可能导致企业无法快速应对市场需求. 虽然很多供应商都提供有助于部署新应用和操作系统的自动化工具,但是问题在

【VMware虚拟化解决方案】VMware Horizon View Client 各平台配置文档

云桌面用户手册 XXXX部 2014年05月18日 文档版本 文档名称 XXXX公司云桌面用户手册 保密级别 商密 文档版本编号 1.0 制作人 制作日期 2014-04-24 复审人 复审日期 扩散范围 公司内部使用人员 变更记录 版本编号 版本日期 修改者 说明 文档说明 此文档为XXXX公司内部员工关于<云桌面用户手册>培训文档. 此文档只对公司内部员工传阅,并只针对公司内部员工问题给予解决. 目录 1.VMware Horizon View Client下载地址... 4 2.桌面连接

vmware vSphere虚拟化解决方案之虚拟网络

为了更好的了解vSphere网络虚拟化解决方案,这里引入了一些概念,以便我们更好的了解虚拟网络. 一.网卡: 物理网卡称为vmnic,在ESXi中,第一块物理网卡叫做vmnic0,第二块叫做vmnic1. 虚拟网卡简称vNIC,每台虚拟机可以有多个虚拟网卡用于连接虚拟交换机. 二.虚拟交换机:vSwitch,用于虚拟交换机之间的连接与外部物理网络的连接,分为: 1)标准交换机:ESXi单独管理的简易交换机,提供虚拟端口组.VMkernal.NIC Team三种端口组. 2)分布式交换机:可对多个