ESX与ESXi安全管理

ESX与ESXi安全管理ESX与ESXi安全管理ESX是性能比较稳定的虚拟化产品，但是也存在一些安全漏洞。ESXi是VMware免费嵌入式hypervisor，它也存在安全缺陷。对于这两款产品，我们该如何安全地管理它们？本指南将从网络和管理方面入手，提供一些实用技巧。网络安全在各种融合网络环境下运行VMware容易导致数据混合，该如何合理地融合网络和安全区域？用户在隔离区内配置VMwareESX或者VMwareESXi宿主虚拟机的话，网络安全如何保证？如何让VMware虚拟架构里的混合模式端口组不受到威胁？™如何在VMware虚拟融合网络中防止安全漏洞？™如何防止在隔离区出现VMwareESX和ESXi网络安全漏洞？™如何最小化混合模式端口组安全漏洞？安全管理和VMwareESX相比，VMwareESXi存在安全缺陷，该怎样解决？VMwareESX内置管理工具，不过第三方应用提供了更好的性能管理能力。该怎样使用第三方应用监控VMwareESX？那么对于VMwareESX3.5存在的漏洞又应该如何修补呢？™如何安全地管理VMwareESXi？™如何使用第三方应用监控VMwareESX？™修补VMwareESX3.5漏洞的工具注意事项TT服务器技术专题之“主标题”Page2of27在虚拟环境里，有三个常见问题会导致安全问题。为了更好地确保安全，我们定义了虚拟环境的范围，并且讨论在操作系统、应用和网络级别的一些安全威胁。我们还讨论了最普遍的十大问题，这些问题涵盖了不恰当的网络到过分信任SSL和VLAN技术等一系列方面。™确保虚拟环境安全的三个考虑事项™威胁安全性的十大虚拟化问题TT服务器技术专题之“主标题”Page3of27如何在VMware虚拟融合网络中防止安全漏洞？在各种融合网络环境下运行VMware容易导致数据混合，尽管从直观上看这种混合并没有坏处，但是如果有错误的数据混合进来的话，就会出现问题了。之所以出现融合网络是因为并不是很多人都完全利用10Gb以太网网络带宽，甚至很多人都没有充分利用1Gb的以太网连接。融合网络的目的就是让网络的其他方面充分利用未使用的带宽，这是由于缺少网卡（NIC，即NetworkInterfaceCard），部署新的电缆不太可能，并且时间成本和资金成本也比较高。最简单的解决方案就是在同一条光缆上不仅仅传输一类数据信息，这就是所谓的数据混合。只要所有的数据具有同样的安全等级和安全区域，在数据混合中就没有必要考虑安全问题。然而，如果同一条线路上传输的数据不属于相同的安全等级或者安全区域的话，数据融合就会成为一个比较令人头疼的问题。安全等级定义不同主体可以访问同一传输线路上的不同数据，而安全区域指的是传输线路所连接的区域，也可能包括对其如何使用。例如，与称为生产的安全区域相比，一个DMZ（隔离区）很有可能是一个敌对环境。两个区域的数据融合将会提高系统正常风险级别，正常风险级别是指在一个融合网络中没有数据混合的情况下的风险级别。对每一台VMwareESX主机来讲，使用虚拟化的话，至少有四种可能的网络：服务控制台或者管理设备、存储网络、VMwareVMotion或StorageVMtion网络和虚拟机网络。另外至少有四个不同的安全区域：管理程序（Hypervisor）、虚拟机、存储和管理。如何合理地融合网络和安全区域？选择要融合网络和安全区域取决于很多方面，但是为了简化问题，我们这里忽略硬件限制。沿着当前的思路往下走：为什么各种各样的安全区域和网络需要保持隔离？这并不表示我不喜欢虚拟局域网（VLAN），但是VLAN确实不能保证安全性。VLAN是一个网络中（物理的或者虚拟的）确保一个数据包传送到合适端点的工具，但并不是一种保护网络的方法。TT服务器技术专题之“主标题”Page4of27最近在VMware社区，“SecuredwithVLANs”这个词谈论得非常热。RFC（RequestforComment）802.1q中并没有提及到安全问题。VLAN并不保证安全性，但是可以被安全地使用。然而，为了确保安全地使用融合网络，有一些问题还是需要注意的：•直接（vmkernel虚拟网卡）或者间接地（管理设备与应用）通过网络连接对Hypervisor的任何访问都必须受到严格的控制。因为取得对Hypervisor的访问控制权限就会带来对VMwareESX主机或VMwareESXi主机内任何信息取得访问控制权限的风险。•对VMotion网络的任何访问也会带来风险：由于正在使用的内存信息以明文方式在线路上传输，虚拟机内的证书和身份数据很容易暴露。•通过一台虚拟机、备份服务器，或者是间接地通过Hypervisor和管理工具对存储网络的访问控制必须受到严格的控制。由于可以对存储网络信息以明文的方式访问，对虚拟存储网络的访问可能会带来暴露虚拟机内虚拟硬盘上内容的风险。最好的实现方式鉴于所有的上述信息，对于使用融合网络的虚拟网最好的建议是什么呢？理想的情况就是不融合VMwareESX主机和VMwareESXi主机内的任何网络，但是这个似乎有点不太现实。用户可以选择不融合从VMwareESX主机和VMwareESXi主机到物理网关的网络，但是如果这样的话，虚拟网就会形成集群来穿越整个公司交换结构中的其它物理网关。交换结构中的薄弱环节实际上可能是物理网络，因为虚拟网关可以防止当前来自VLAN第二层攻击，尽管攻击不是来自第三层。不过也不是所有的物理网关都可以阻止来自第二层VLAN的攻击。人们通常混合来自同一条线路上VMwareESX主机和VMwareESXi主机管理设备的数据和VMotion的数据，因为他们认为这两者应该是和其它任何网络一样具有同样的风险程度。VMotion是具有最高风险的网络，然而如果有恶意用户可以攻破VMwareESX主机和VMwareESXi主机管理设备的话，就可以获得对所有磁盘数据的访问控制权限，然而未必是VMotion数据。但是如果这两者在通一条线路上传输的话，风险就比较高了。TT服务器技术专题之“主标题”Page5of27其它经常混合的数据是存储数据和虚拟机数据。换句话说，虚拟机可以和ESX主机访问到同样的存储空间。如果虚拟机不是一个存储管理节点或者形式的管理节点，也可能导致虚拟环境中安全漏洞出现的高风险性。当前没有减轻这个问题的好方法。VMwareESX和VMwareESXi现在都不支持IPsec（InternetProtocolSecurity）。IPsec使用预置共享密钥和一个很好的公钥密码体系可以对融合网络上的所有数据完成强加密，加密过程基于不同数据来源使用不同的密钥体系。这个方法可以在很大程度上降低整体风险性。选择融合何种网络需要对要传输的数据有一个很详尽的了解，如这些数据传送的目的地、传送方式、加密的可能性以及数据传输错误带来的风险等。关于作者：EdwardL.Haletky是企业级VMwareESXServer方面的作者：PlanningandSecuringVirtualizationServers。他最近离开了惠普公司，以前他在虚拟化、Linux和高性能计算部门里工作。Haletky自己拥有AstroArchConsulting公司，他还是VMware社区论坛的拥护者和版主。(作者：EdwardL.Haletky译者：王越来源：TechTarget中国)TT服务器技术专题之“主标题”Page6of27如何防止在隔离区出现VMwareESX和ESXi网络安全漏洞？如果用户在隔离区（DMZ：DemilitarizedZone）内配置VMwareESX或者VMwareESXi宿主虚拟机的话，需要格外注意网络问题。VMware网络包括VMotion和存储VMotion网络、虚拟机网络、存储网络以及管理控制台所必需的网络。如果网络问题不能很好地处理的话，这些网络就会绕过现有的保护措施，而这些保护措施通常情况下用来阻止隔离区与外部通信。在隔离区内部署VMwareESX和VMwareESXi的一个关键问题就是要意识到这是一个混合网络和混合计算资源，而不是一个单一操作系统或者应用设备。相应的，同时也应该评估一下在隔离区内是否应该有一台虚拟机。很多安全管理员不允许在隔离区内实现多宿主系统，多宿主系统就意味着一个系统同时可以和很多网络建立连接。多宿主系统中，令人担心的问题就是这些系统会不自觉地成为安全区域和外部预定义的防火墙、路由器和网关通信的桥梁，其中这些防火墙、路由器、网关是安全部门早期建立的。使用VMwareESX或者VMwareESXi的话，情况就不会是这个样子。在Hypervisor内部的Layer2虚拟网关使用起来同Layer2物理网关一样简单。鉴于这些虚拟网关的存在并且这些虚拟网关不能相互通信（除非是和不同的物理网关），所以存在一些系统可以为此建立连接。VMwareESX或者VMwareESXi不会作为这样一个桥梁，但是却可以维持虚拟网关作为其自身的一个实体。虚拟机被连接到虚拟网关的portgroups上，这个虚拟网关作为一个VLAN，其实并不必需。虚拟网关之间不能直接通信，不同portgroups的虚拟机也不可以直接通信。除非是ID为4095的VLANportgroups内的虚拟网关，这是因为ID为4095的VLAN是供安全软件和控制VLAN的虚拟机使用的。对于每一个VMwareESX主机来讲有四个可能网络：服务控制台或者管理设备、存储网络、VMwareVMotion或者存储VMotion网络和虚拟机网络。前三个网络是关键性网络，不能部署在隔离区内。最后一个网络是唯一个可以部署在隔离区内的网络。TT服务器技术专题之“主标题”Page7of27很多人都认为最好的实现方式就是不要把前三个网络部署在隔离区内，但是却没有合适的理由。以下是我的理由：但都是基于这样一个假设，在持续威胁和可能性攻击情况下，隔离区可以会成为一个恶意网络环境。它一旦被攻破，就会成为对保护的网络进一步攻击的枢纽。服务控制台服务控制台或者管理设备是虚拟网关上的portgroups的门户，并且部署在它们自身虚拟网关上的portgroups内。所有的管理性的工作都在这个网络上完成，所谓管理性的工作通常包括登录每一个系统的认证信息。这个网络一般通过SSL得到保护，访问这个网络可以给予攻击者从最基本的层次渗透到虚拟环境中的可能性，悄无声息地窃取数据的机会也会有很大增长（所谓的数据，我这里是指虚拟磁盘文件及其内容）。进一步来讲，这也就提供一个直接攻击VMwareESX主机和VMwareESXi主机上账户的机会，也就等于是给了攻击者访问所有信息的权限。存储网络存储网络是另外一个经常部署在其自身虚拟网关内部的重要网络。当前所有负责存储的协议在物理线路上都以不加密形式传送数据。攻击者获得访问这个网络的权限就可以访问虚拟磁盘数据。进一步来讲，如果使用的是iSCSI，就会有另外一种攻击服务控制台或者管理设备的可能，这是因为服务控制台或者管理设备也参与iSCSI网络。VMotion和存储VMotion网络VMwareVMotion和StorageVMotion网络通常情况下在其自身的虚拟网关上，一般以明文方式在物理线路上传送虚拟机的内容和磁盘信息。由于攻击者可以获得虚拟机内存和磁盘内容的信息，所以这个网络是不安全位置中最危险的一处。通过这些信息，攻击者可以得到访问认证信息的权限。通过收集到的认证信息，这个网络也就成了攻击用户网络的枢纽。虚拟机网络获得虚拟机网络访问控制权限不会带来获得其它三个网络访问控制权限同样的风险。TT服务器技术专题之“主标题”Page8of27有必要进一步阅读VMware其它文档，因为我发现在一个隔离区内开始部署VMwareESX主机和VMwareESXi主机之前，阅读这些文档是相当重要的。列举部分如下：•VMwarewhitepaperonvirtualnetworkingconcepts•VMwarewhitepaperonVMwareESX802.1qVLANsolutions•VMwarewhitepapero