1. esxi的安全架构

简单地说就是三层三组件,至上而下分别是:虚拟机,虚拟化层(VMKernel)和虚拟网络连接层

p_w_picpath

1) 虚拟机之间通过隔离层包含,可以达到互不干涉

2)VMkerel的安全:内存强化安全,内存模块完整性(第三方软件)和可信平台模块TPM(第三方硬件)

3)虚拟网络层通过VLAN及独立虚拟交换机来实现DMZ等功能

 

2. 安全的网络

1)esxi本身是不含防火墙的,所以需要通过部署防火墙来控制进出主机的流量。

p_w_picpath

常用的端口

p_w_picpath

p_w_picpath

 

 

2) VLAN

p_w_picpath 

3) 虚拟交换机的端口安全

4)启用ipsec

vicfg-ipsec –add –sa

5) iSCSI的存储安全

VLAN, CHAP

 

3. 用户管理和验证

esxi使用用户,密码和权限的组合控制

1)用户的类型

分通过vCenter来管理的和直连主机管理两种

2)密码复杂度要求

大小写,数字及特殊字符,主机通过pam_passwdqc.so模块检查

3)角色权限

root用户:直连主机具有管理员权限。注意:即使限制了root用户的权限,也不会影响到用户远程通过使用vicfg命令行

vpxuser用户:通过VCenter来管理时,具有管理员权限

dcui用户:Direct Console User Interface,以管理员权限在主机上操作,该用户的主要目的是从直接控制台上来配置锁定模式的主机

4)加密和证书

 

4. 安全最佳实践

1)不同客户模式下的部署

单用户部署、多客户限制部署和多客户开发部署

2)esxi锁定模式

   启用锁定模式时,除vpxuser以外的任何用户都没有身份认证的权限,也无法直接对主机进行操作,但此不会影响主机服务的可用性。锁定模式强制所有操作都通过vCenter Server来执行,但root用户仍可直接登录控制台。

p_w_picpath

故障排除服务只有在需要时才启用,启用后所有登录用户都可以完全控制主机。

3)虚拟机建议

  • 安装防火墙,杀毒软件
  • 禁用虚拟机和控制台之间的拷贝,粘贴功能
  • 移除或端口不必要的硬件
  • 通过修改配置文件来限制虚拟机对主机内存的写入 (比如虚拟机通过vmware tools向主机发送配置消息,虚拟机向VMFS中写入日志)