VMware的安全漏洞不容忽視，尤其是在對(duì)法規(guī)遵從和云計(jì)算的關(guān)注日益提高的背景下。

虛擬宿主機(jī)上會(huì)運(yùn)行多個(gè)工作負(fù)載，所以一旦發(fā)生未授權(quán)的訪問，入侵者會(huì)危害到所有的虛擬機(jī)。因此，虛擬管理員需要額外關(guān)注VMware的安全漏洞。下面是幾個(gè)易發(fā)生潛在風(fēng)險(xiǎn)的方面。

讓VMware的安全屏障成為蜂窩

基本上講，VMware vSphere是相當(dāng)安全的，但是如果您忽略了對(duì)它的配置和遠(yuǎn)程訪問管理，就會(huì)像蜂窩一樣存在很多的漏洞。

默認(rèn)情況下，VMware關(guān)閉了很多方便管理員的服務(wù)，啟用這些服務(wù)會(huì)影響安全性。例如，在ESX中，管理員們通常使用Web用戶界面。而在ESXi中，IT專家們喜歡通過SSH啟用遠(yuǎn)程連接界面。這些雖然都可以簡(jiǎn)化工作方式，但同時(shí)也為非授權(quán)的訪問開了后門。

另外宿主機(jī)的管理界面也是薄弱環(huán)節(jié)之一。通過它可以訪問整個(gè)虛擬架構(gòu)，而無需破解多個(gè)密碼。我們要更加嚴(yán)格地控制該界面的使用，只在迫不得已的時(shí)候再使用--這樣的時(shí)候不會(huì)太多。其它需要關(guān)注的方面包括：虛擬機(jī)的數(shù)據(jù)存儲(chǔ)、管理和存儲(chǔ)區(qū)域網(wǎng)絡(luò)，虛擬網(wǎng)絡(luò)，API,宿主機(jī)相關(guān)的連接器，vCenter Server角色服務(wù)器和許可服務(wù)器，以及第三方附加軟件等等。

最起碼要做到：知曉系統(tǒng)弱點(diǎn)并進(jìn)行重點(diǎn)加強(qiáng)。

虛擬機(jī)的可移動(dòng)性帶來的VMware安全漏洞

虛擬機(jī)的可移動(dòng)性增加了失竊的概率，不過通過完善的備份策略我們可以輕松彌補(bǔ)這些安全漏洞。

虛擬化的過程，把操作系統(tǒng)、應(yīng)用和設(shè)置等等，都?jí)嚎s成一個(gè)磁盤文件中。這是虛擬化的優(yōu)勢(shì)之一，但同時(shí)也很容易成為缺陷。

在傳統(tǒng)環(huán)境中，想偷走一臺(tái)服務(wù)器，需要進(jìn)入數(shù)據(jù)中心物理環(huán)境并帶走物理機(jī)。如果是虛擬機(jī)，通過網(wǎng)絡(luò)就可以把整個(gè)虛擬機(jī)拷貝出數(shù)據(jù)中心，并且通過可移動(dòng)存儲(chǔ)設(shè)備帶走。一旦擁有了虛擬磁盤文件的拷貝，簡(jiǎn)單加載后就可以訪問其文件系統(tǒng)，或在工作站上借助VMware Player軟件就能運(yùn)行。

要彌補(bǔ)這種安全漏洞，需要對(duì)虛擬機(jī)數(shù)據(jù)存儲(chǔ)所在的物理存儲(chǔ)層和宿主機(jī)層進(jìn)行保護(hù)。確保存儲(chǔ)網(wǎng)絡(luò)的安全性，保證只有vSphere宿主機(jī)才可以訪問存放虛擬機(jī)數(shù)據(jù)的LUN.

一些如管理界面或vSphere Client等常用工具可以把虛擬機(jī)從宿主機(jī)拷貝出來。通過vSphere Client的Datastore Browser可以對(duì)文件進(jìn)行訪問，并限制其訪問范圍。如果使用D2D的備份程序，由于備份的數(shù)據(jù)也是完整的，也要對(duì)它做好保護(hù)。

預(yù)防VLAN存在的VMware安全漏洞

虛機(jī)的網(wǎng)絡(luò)配置很容易修改，這是導(dǎo)致安全漏洞頻發(fā)的原因之一。

當(dāng)我們?cè)赩LAN（virtual local area networks）之間遷移物理機(jī)的時(shí)候，通常是在交換機(jī)端修改VLAN的端口設(shè)置。虛擬主機(jī)使用VLAN便簽，也就是說同一個(gè)物理交換機(jī)端口支持多個(gè) VLAN,然后配置虛擬機(jī)的虛擬網(wǎng)卡對(duì)應(yīng)主機(jī)上的多個(gè)端口組。主機(jī)的虛擬網(wǎng)絡(luò)設(shè)置方法方便了虛擬機(jī)在VLAN之間的遷移，只需編輯虛擬機(jī)配置為vNIC重新選擇VLAN就可以了。

這種設(shè)計(jì)方式意味著可以輕易地把虛擬機(jī)從一個(gè)網(wǎng)絡(luò)遷移到另一個(gè)，或通過增加多個(gè)虛擬網(wǎng)卡讓虛擬機(jī)同時(shí)屬于多個(gè)網(wǎng)絡(luò)。這樣，可能會(huì)有人把虛擬機(jī)從安全的被保護(hù)網(wǎng)絡(luò)遷移出來（例如，從內(nèi)部網(wǎng)絡(luò)遷移到了DMZ，導(dǎo)致被攻擊）。

甚至可能是虛擬機(jī)橫跨多個(gè)虛擬機(jī)網(wǎng)絡(luò)，從而為來自外網(wǎng)的攻擊者提供了內(nèi)網(wǎng)訪問路徑。為防止這種安全漏洞，需要鎖定對(duì)虛擬機(jī)虛擬網(wǎng)絡(luò)的修改權(quán)限。最好是只有網(wǎng)絡(luò)管理員才可以，而不是擁有虛擬機(jī)操作權(quán)限的服務(wù)器或應(yīng)用管理員。

通過隔離避免VMware安全漏洞

當(dāng)虛擬網(wǎng)絡(luò)數(shù)據(jù)流和存儲(chǔ)及管理數(shù)據(jù)流都在同一個(gè)物理路徑上傳輸時(shí)，也同時(shí)意味著虛擬機(jī)被暴漏在安全風(fēng)險(xiǎn)之下。這些終端之間的數(shù)據(jù)流并不全是加密的，所以任何有權(quán)限的人員都可以對(duì)線路進(jìn)行監(jiān)控，獲取包括在vMotion進(jìn)行主機(jī)遷移時(shí)的內(nèi)存數(shù)據(jù)和傳輸給存儲(chǔ)設(shè)備等的敏感信息。

路徑隔離的方式為宿主機(jī)、存儲(chǔ)設(shè)備、vCenter服務(wù)器和管理員之間的核心數(shù)據(jù)流提供了一個(gè)保護(hù)層。沒有這一層也就增加了您的私人數(shù)據(jù)泄露的風(fēng)險(xiǎn)。我們可以隔離在物理網(wǎng)絡(luò)上傳輸?shù)拇罅刻摂M系統(tǒng)數(shù)據(jù)流。例如，保持管理和存儲(chǔ)數(shù)據(jù)流位于獨(dú)立的網(wǎng)絡(luò)上，使其跟常規(guī)的虛擬機(jī)數(shù)據(jù)隔離。

同樣也適用于ESX服務(wù)控制臺(tái)、ESXi管理控制臺(tái)、VMkernel和vCenter Server所在的網(wǎng)絡(luò)。這些組件相互之間的數(shù)據(jù)交互非常多，而跟外網(wǎng)的交互需求相對(duì)很少。

通過防火墻來保護(hù)私有網(wǎng)絡(luò)，限制管理員、DNS服務(wù)、升級(jí)和其它動(dòng)作。雖然多數(shù)數(shù)據(jù)流都是加密的，隔離依然為安全漏洞增加了防護(hù)層。例如，當(dāng)通過vMotion進(jìn)行虛擬機(jī)遷移時(shí)，包括宿主機(jī)內(nèi)存數(shù)據(jù)等都是以最簡(jiǎn)單的文本方式傳輸?shù)摹?/p>

當(dāng)然，還有隔離宿主機(jī)和SAN存儲(chǔ)（iSCSI或NAS存儲(chǔ)）設(shè)備之間的流量。對(duì)于iSCSI而言，它的安全可以通過雙向握手認(rèn)證協(xié)議來防止未經(jīng)授權(quán)的訪問出現(xiàn)。隔離不僅保護(hù)存儲(chǔ)數(shù)據(jù)流，也防止對(duì)同一網(wǎng)絡(luò)上的其它設(shè)備帶來性能影響。

用戶賬號(hào)改善VMware安全性

保護(hù)好ESX服務(wù)控制臺(tái)和ESXi管理控制臺(tái)root賬號(hào)。一旦它被泄露，主機(jī)包括所有虛擬機(jī)就都存在危險(xiǎn)。

ESX服務(wù)控制臺(tái)和ESXi管理控制臺(tái)都是Linux系統(tǒng)的一個(gè)變種，所以它們都有擁有完整權(quán)限的超級(jí)賬戶--root用戶。盡量減少root賬號(hào)的使用，為每個(gè)用戶創(chuàng)建一個(gè)受限的賬號(hào)，同時(shí)對(duì)每個(gè)賬戶的使用情況進(jìn)行跟蹤。

在ESX中，安裝sudo可以為用戶賬號(hào)指定受限的特殊權(quán)限。而ESX和ESXi都支持使用su命令賦予某個(gè)賬戶臨時(shí)的超級(jí)用戶權(quán)限。

默認(rèn)情況下，root賬號(hào)不能通過SSH連接遠(yuǎn)程登錄使用。即使您可以啟用通過SSH進(jìn)行root賬號(hào)登錄，千萬不要這么做。

VMware禁止它是有一定考慮的。您還可以通過安裝AD認(rèn)證實(shí)現(xiàn)對(duì)控制臺(tái)的訪問，無需單獨(dú)對(duì)每臺(tái)宿主機(jī)上的賬號(hào)分開來管理。

最后一點(diǎn)，保護(hù)好root賬號(hào)。經(jīng)常修改密碼，并盡可能地限制它的使用。

【編輯推薦】

1. VMware View 4.5體驗(yàn)之旅（上）
2. VMware View 4.5體驗(yàn)之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現(xiàn)了！
4. VMware View虛擬桌面遷移：數(shù)據(jù)存儲(chǔ)注意事項(xiàng)
5. VMware View難管理？四個(gè)突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構(gòu)建 親密接觸VMware View
8. VMware View進(jìn)軍iPad市場(chǎng) 通過App Store下載
9. 全方位比拼 Windows Azure VS VMware vFabric