VMware vSphere 6.5增加了很多功能旨在改進虛擬機的安全性，并采用日志、報表以及被稱為ESXi安全引導(dǎo)以及虛擬機安全引導(dǎo)的新特性增強安全細(xì)節(jié)信息。

[[193655]]

管理員可以使用這些vSphere安全工具阻止非授權(quán)窺探、篡改虛擬機，并接收更詳細(xì)的可能意味著是惡意活動的變更告警，結(jié)果就是能夠更快地牽制并糾正惡意行為。

與任何新特性一樣，了解其使用要求、對新行為進行測試以積累經(jīng)驗、識別并解決任何部署問題—尤其是針對vSphere安全性而言更是如此—并在生產(chǎn)環(huán)境中部署新特性之前建立管理流程是很重要的。

對微軟Windows或者VMware ESXi操作系統(tǒng)進行未授權(quán)的變更或修改可能意味著嚴(yán)重的安全違規(guī)，但如果沒有進行精心的掃描以及其他仔細(xì)的調(diào)查可能很難甚至無法發(fā)現(xiàn)上述行為。

使用ESXi安全引導(dǎo)改進vSphere安全性

一種正在涌現(xiàn)出來的在操作系統(tǒng)啟動時保護其完整性的方法是通過可信源，如數(shù)字證書對內(nèi)核進行驗證。統(tǒng)一可擴展固件接口(UEFI)固件提供的安全引導(dǎo)特性能夠驗證操作系統(tǒng)內(nèi)核以及其他組件的數(shù)字簽名，與包含在UEFI固件中受信的數(shù)字證書進行對比。

通常情況，支持UEFI安全引導(dǎo)的主要操作系統(tǒng)組件都會有簽名。這可能包括引導(dǎo)程序、內(nèi)核以及驅(qū)動。微軟提供了一些適合引導(dǎo)Windows以及某些第三方代碼比如Linux引導(dǎo)程序的UEFI認(rèn)證。VMware還提供了在虛擬機內(nèi)引導(dǎo)ESXi的證書。在啟動時，如果證書與簽名相匹配，那么操作系統(tǒng)會被認(rèn)為是經(jīng)過確認(rèn)的，能夠繼續(xù)啟動。

VMware vSphere安全性使用ESXi安全引導(dǎo)進一步應(yīng)用了這一驗證過程，針對所有ESXi組件增加了密碼驗證。其想法是ESXi由一系列數(shù)字簽名包構(gòu)成，被整合到vSphere安裝包(VIB)中。一旦UEFI安全引導(dǎo)對ESXi內(nèi)核進行了驗證，ESXi內(nèi)核將會使用某些數(shù)字證書對每個VIB進行驗證—確保虛擬機內(nèi)的所有ESXi組件完整、未被篡改。

如何部署ESXi安全引導(dǎo)

當(dāng)主機操作系統(tǒng)安裝了UEFI固件，虛擬機操作系統(tǒng)支持UEFI安全引導(dǎo)，并且hypervisor支持版本號為13或更高版本的虛擬硬件時，你可以在vSphere Web Client中部署ESXi安全組件。

選中目標(biāo)虛擬機，打開編輯設(shè)置對話框，確認(rèn)固件被設(shè)置為EFI—不是UEFI—檢查啟用安全引導(dǎo)復(fù)選框，然后選擇確定。

滿足了所有必要條件后，你需要在啟用安全引導(dǎo)前關(guān)閉虛擬機。在啟用安全引導(dǎo)后必須重啟虛擬機，這樣安全引導(dǎo)才能夠生效。

記住一旦啟用了ESXi安全引導(dǎo)，只有帶有合法制造商簽名的操作系統(tǒng)組件才能夠引導(dǎo)。如果簽名丟失或者任一操作系統(tǒng)組件不合法，那么虛擬機引導(dǎo)過程將會中斷并返回錯誤—無法強制安裝未簽名的操作系統(tǒng)組件。

生產(chǎn)環(huán)境嘗試啟用安全引導(dǎo)前在測試環(huán)境進行安全引導(dǎo)測試是個不錯的主意。這允許IT管理員更高效地進行故障診斷并修復(fù)可能存在的安全錯誤。