1. esxi的安全架构
简单地说就是三层三组件,至上而下分别是:虚拟机,虚拟化层(VMKernel)和虚拟网络连接层
1) 虚拟机之间通过隔离层包含,可以达到互不干涉
2)VMkerel的安全:内存强化安全,内存模块完整性(第三方软件)和可信平台模块TPM(第三方硬件)
3)虚拟网络层通过VLAN及独立虚拟交换机来实现DMZ等功能
2. 安全的网络
1)esxi本身是不含防火墙的,所以需要通过部署防火墙来控制进出主机的流量。
常用的端口
2) VLAN
3) 虚拟交换机的端口安全
4)启用ipsec
vicfg-ipsec –add –sa
5) iSCSI的存储安全
VLAN, CHAP
3. 用户管理和验证
esxi使用用户,密码和权限的组合控制
1)用户的类型
分通过vCenter来管理的和直连主机管理两种
2)密码复杂度要求
大小写,数字及特殊字符,主机通过pam_passwdqc.so模块检查
3)角色权限
root用户:直连主机具有管理员权限。注意:即使限制了root用户的权限,也不会影响到用户远程通过使用vicfg命令行
vpxuser用户:通过VCenter来管理时,具有管理员权限
dcui用户:Direct Console User Interface,以管理员权限在主机上操作,该用户的主要目的是从直接控制台上来配置锁定模式的主机
4)加密和证书
4. 安全最佳实践
1)不同客户模式下的部署
单用户部署、多客户限制部署和多客户开发部署
2)esxi锁定模式
启用锁定模式时,除vpxuser以外的任何用户都没有身份认证的权限,也无法直接对主机进行操作,但此不会影响主机服务的可用性。锁定模式强制所有操作都通过vCenter Server来执行,但root用户仍可直接登录控制台。
故障排除服务只有在需要时才启用,启用后所有登录用户都可以完全控制主机。
3)虚拟机建议
- 安装防火墙,杀毒软件
- 禁用虚拟机和控制台之间的拷贝,粘贴功能
- 移除或端口不必要的硬件
- 通过修改配置文件来限制虚拟机对主机内存的写入 (比如虚拟机通过vmware tools向主机发送配置消息,虚拟机向VMFS中写入日志)
转载于:https://blog.51cto.com/jackiechen/412376