VMware vSphere 6.5增加了很多功能旨在改進(jìn)虛擬機(jī)的安全性，并采用日志、報(bào)表以及被稱為ESXi安全引導(dǎo)以及虛擬機(jī)安全引導(dǎo)的新特性增強(qiáng)安全細(xì)節(jié)信息。

[[193655]]

管理員可以使用這些vSphere安全工具阻止非授權(quán)窺探、篡改虛擬機(jī)，并接收更詳細(xì)的可能意味著是惡意活動(dòng)的變更告警，結(jié)果就是能夠更快地牽制并糾正惡意行為。

與任何新特性一樣，了解其使用要求、對(duì)新行為進(jìn)行測(cè)試以積累經(jīng)驗(yàn)、識(shí)別并解決任何部署問題—尤其是針對(duì)vSphere安全性而言更是如此—并在生產(chǎn)環(huán)境中部署新特性之前建立管理流程是很重要的。

對(duì)微軟Windows或者VMware ESXi操作系統(tǒng)進(jìn)行未授權(quán)的變更或修改可能意味著嚴(yán)重的安全違規(guī)，但如果沒有進(jìn)行精心的掃描以及其他仔細(xì)的調(diào)查可能很難甚至無法發(fā)現(xiàn)上述行為。

使用ESXi安全引導(dǎo)改進(jìn)vSphere安全性

一種正在涌現(xiàn)出來的在操作系統(tǒng)啟動(dòng)時(shí)保護(hù)其完整性的方法是通過可信源，如數(shù)字證書對(duì)內(nèi)核進(jìn)行驗(yàn)證。統(tǒng)一可擴(kuò)展固件接口(UEFI)固件提供的安全引導(dǎo)特性能夠驗(yàn)證操作系統(tǒng)內(nèi)核以及其他組件的數(shù)字簽名，與包含在UEFI固件中受信的數(shù)字證書進(jìn)行對(duì)比。

通常情況，支持UEFI安全引導(dǎo)的主要操作系統(tǒng)組件都會(huì)有簽名。這可能包括引導(dǎo)程序、內(nèi)核以及驅(qū)動(dòng)。微軟提供了一些適合引導(dǎo)Windows以及某些第三方代碼比如Linux引導(dǎo)程序的UEFI認(rèn)證。VMware還提供了在虛擬機(jī)內(nèi)引導(dǎo)ESXi的證書。在啟動(dòng)時(shí)，如果證書與簽名相匹配，那么操作系統(tǒng)會(huì)被認(rèn)為是經(jīng)過確認(rèn)的，能夠繼續(xù)啟動(dòng)。

VMware vSphere安全性使用ESXi安全引導(dǎo)進(jìn)一步應(yīng)用了這一驗(yàn)證過程，針對(duì)所有ESXi組件增加了密碼驗(yàn)證。其想法是ESXi由一系列數(shù)字簽名包構(gòu)成，被整合到vSphere安裝包(VIB)中。一旦UEFI安全引導(dǎo)對(duì)ESXi內(nèi)核進(jìn)行了驗(yàn)證，ESXi內(nèi)核將會(huì)使用某些數(shù)字證書對(duì)每個(gè)VIB進(jìn)行驗(yàn)證—確保虛擬機(jī)內(nèi)的所有ESXi組件完整、未被篡改。

如何部署ESXi安全引導(dǎo)

當(dāng)主機(jī)操作系統(tǒng)安裝了UEFI固件，虛擬機(jī)操作系統(tǒng)支持UEFI安全引導(dǎo)，并且hypervisor支持版本號(hào)為13或更高版本的虛擬硬件時(shí)，你可以在vSphere Web Client中部署ESXi安全組件。

選中目標(biāo)虛擬機(jī)，打開編輯設(shè)置對(duì)話框，確認(rèn)固件被設(shè)置為EFI—不是UEFI—檢查啟用安全引導(dǎo)復(fù)選框，然后選擇確定。

滿足了所有必要條件后，你需要在啟用安全引導(dǎo)前關(guān)閉虛擬機(jī)。在啟用安全引導(dǎo)后必須重啟虛擬機(jī)，這樣安全引導(dǎo)才能夠生效。

記住一旦啟用了ESXi安全引導(dǎo)，只有帶有合法制造商簽名的操作系統(tǒng)組件才能夠引導(dǎo)。如果簽名丟失或者任一操作系統(tǒng)組件不合法，那么虛擬機(jī)引導(dǎo)過程將會(huì)中斷并返回錯(cuò)誤—無法強(qiáng)制安裝未簽名的操作系統(tǒng)組件。

生產(chǎn)環(huán)境嘗試啟用安全引導(dǎo)前在測(cè)試環(huán)境進(jìn)行安全引導(dǎo)測(cè)試是個(gè)不錯(cuò)的主意。這允許IT管理員更高效地進(jìn)行故障診斷并修復(fù)可能存在的安全錯(cuò)誤。