扩大VMware hypervisor安全到远程控制台
同一时刻只允许一个用户访问虚拟机控制台。当多用户登录时,这种设置能够防止较低权限的用户访问敏感信息。
和Windows远程桌面每个用户获取一个单独的会话不同,虚拟机的远程控制台允许多人同时连接。如果具有较高权限的用户登录进入远程控制台,第二个登录的用户将获得第一个用户具有的较高权限,对VMware hypervisor安全来说,这可能是一个大问题。
为了避免上述风险,移除特定用户的控制台交互特权。你也可以把远程管理控制台的会话数限制限制为1,只需要在虚拟机的配置中添加这个高级配置:“RemoteDisplay.maxConnections=1”。
另一个风险是虚拟机客户操作系统和通过远程控制台连接到虚拟机的计算机操作系统之间的拷贝和粘贴功能。如果某个人连接到虚拟机并且拷贝信息到虚拟机的剪切板上,那么通过远程管理控制台或者其他方式连接到虚拟机的任何人都可以使用剪切板上的信息。
为了避免VMware hypervisor安全的这个脆弱性,通过给虚拟机增加如下高级配置设置,禁用连接到虚拟机的计算机远程管理控制台的拷贝和粘贴功能:
通过限制特权减少VMware hypervisor的安全缺陷
在vSphere中,相比花费时间分配更多细粒度的权限,给一个用户管理员权限既简单又方便。但是冒着有用户执行危险操作的风险也就是对VMware hypervisor安全进行了妥协。用户有全部的权限能够重新配置虚拟机,改变网络配置,拷贝数据到数据中心或者从数据中心拷贝数据,改变权限乃至更多。
和给用户分配所有权限相反,创建相应的角色,只包含用户需要的权限。vSphere具有非常细粒度的权限,分为不同的类别,可以将这些类别分配给相应的角色-然后你可以把这些角色分配给用户。
获取正合适的权限需要进行反复试验,因为vSphere中的一些操作可能影响多个角色。最好是开始时不分配权限,然后再增加权限,而不是移除具有所有特权的用户的权限。这么操作能够确保只分配所需要的权限。
在给用户分配权限之前,创建一个测试用户帐户,分配给它一个角色,然后再增加相应的权限。这个步骤能够帮助你测试权限是否分配正确。
为VMware hypervisor安全启用锁定模式
使用户通过vCenter Server访问ESXi主机,vCenter Server提供了集中的安全和日志记录。启用锁定模式能够防止用户连接ESXi主机时绕过vCenter Server安全机制。
对管理员来说,松散管理VMware hypervisor安全使管理更简单(举例来说,启用远程Tech Support Mode),这是很常见的,但是和管理员应该做的是相违背的。管理员应该通过减少受攻击面使ESXi更加安全,并且更好的保护虚拟机。
为了加强ESXi安全,通过vCenter Server或控制台用户界面在主机安全配置中启用特别的锁定模式。锁定模式防止通过任何方式直接访问主机,包括通过APIs(也就是vCLI和PowerCLI)以及vSphere客户端。锁定模式同样可以封锁本地以及远程访问Tech Support Mode。因此,访问主机必须通过vCenter Server。
如果你不想如此极端,可以只禁用本地和远程访问Tech Support Mode。最终,相对于安全,易用性应该占次要地位。不要盲目削弱VMware hypervisor安全,以确保虚拟机被很好的保护。
1799
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
