VMware的安全漏洞不容忽视,尤其是在对法规遵从和云计算的关注日益提高的背景下。
虚拟宿主机上会运行多个工作负载,所以一旦发生未授权的访问,入侵者会危害到所有的虚拟机。因此,虚拟管理员需要额外关注VMware的安全漏洞。下面是几个易发生潜在风险的方面。
让VMware的安全屏障成为蜂窝
基本上讲,VMware vSphere是相当安全的,但是如果您忽略了对它的配置和远程访问管理,就会像蜂窝一样存在很多的漏洞。
默认情况下,VMware关闭了很多方便管理员的服务,启用这些服务会影响安全性。例如,在ESX中,管理员们通常使用Web用户界面。而在ESXi中,IT专家们喜欢通过SSH启用远程连接界面。这些虽然都可以简化工作方式,但同时也为非授权的访问开了后门。
另外宿主机的管理界面也是薄弱环节之一。通过它可以访问整个虚拟架构,而无需破解多个密码。我们要更加严格地控制该界面的使用,只在迫不得已的时候再使用——这样的时候不会太多。其它需要关注的方面包括:虚拟机的数据存储、管理和存储区域网络,虚拟网络,API,宿主机相关的连接器,vCenter Server角色服务器和许可服务器,以及第三方附加软件等等。
最起码要做到:知晓系统弱点并进行重点加强。
虚拟机的可移动性带来的VMware安全漏洞
虚拟机的可移动性增加了失窃的概率,不过通过完善的备份策略我们可以轻松弥补这些安全漏洞。
虚拟化的过程,把操作系统、应用和设置等等,都压缩成一个磁盘文件中。这是虚拟化的优势之一,但同时也很容易成为缺陷。
在传统环境中,想偷走一台服务器,需要进入数据中心物理环境并带走物理机。如果是虚拟机,通过网络就可以把整个虚拟机拷贝出数据中心,并且通过可移动存储设备带走。一旦拥有了虚拟磁盘文件的拷贝,简单加载后就可以访问其文件系统,或在工作站上借助VMware Player软件就能运行。
要弥补这种安全漏洞,需要对虚拟机数据存储所在的物理存储层和宿主机层进行保护。确保存储网络的安全性,保证只有vSphere宿主机才可以访问存放虚拟机数据的LUN。
一些如管理界面或vSphere Client等常用工具可以把虚拟机从宿主机拷贝出来。通过vSphere Client的Datastore Browser可以对文件进行访问,并限制其访问范围。如果使用D2D的备份程序,由于备份的数据也是完整的,也要对它做好保护。
虚拟宿主机上会运行多个工作负载,所以一旦发生未授权的访问,入侵者会危害到所有的虚拟机。因此,虚拟管理员需要额外关注VMware的安全漏洞。在上文中,我们介绍了如何让VMware的安全屏障成为蜂窝以及虚拟机的可移动性带来的VMware安全漏洞的解决方法,下面继续介绍其他三个常见VMware安全漏洞。
预防VLAN存在的VMware安全漏洞
虚机的网络配置很容易修改,这是导致安全漏洞频发的原因之一。
当我们在VLAN(virtual local area networks)之间迁移物理机的时候,通常是在交换机端修改VLAN的端口设置。虚拟主机使用VLAN便签,也就是说同一个物理交换机端口支持多个VLAN,然后配置虚拟机的虚拟网卡对应主机上的多个端口组。主机的虚拟网络设置方法方便了虚拟机在VLAN之间的迁移,只需编辑虚拟机配置为vNIC重新选择VLAN就可以了。
这种设计方式意味着可以轻易地把虚拟机从一个网络迁移到另一个,或通过增加多个虚拟网卡让虚拟机同时属于多个网络。这样,可能会有人把虚拟机从安全的被保护网络迁移出来(例如,从内部网络迁移到了DMZ,导致被攻击)。
甚至可能是虚拟机横跨多个虚拟机网络,从而为来自外网的攻击者提供了内网访问路径。为防止这种安全漏洞,需要锁定对虚拟机虚拟网络的修改权限。最好是只有网络管理员才可以,而不是拥有虚拟机操作权限的服务器或应用管理员。
通过隔离避免VMware安全漏洞
当虚拟网络数据流和存储及管理数据流都在同一个物理路径上传输时,也同时意味着虚拟机被暴漏在安全风险之下。这些终端之间的数据流并不全是加密的,所以任何有权限的人员都可以对线路进行监控,获取包括在vMotion进行主机迁移时的内存数据和传输给存储设备等的敏感信息。
路径隔离的方式为宿主机、存储设备、vCenter服务器和管理员之间的核心数据流提供了一个保护层。没有这一层也就增加了您的私人数据泄露的风险。我们可以隔离在物理网络上传输的大量虚拟系统数据流。例如,保持管理和存储数据流位于独立的网络上,使其跟常规的虚拟机数据隔离。
同样也适用于ESX服务控制台、ESXi管理控制台、VMkernel和vCenter Server所在的网络。这些组件相互之间的数据交互非常多,而跟外网的交互需求相对很少。
通过防火墙来保护私有网络,限制管理员、DNS服务、升级和其它动作。虽然多数数据流都是加密的,隔离依然为安全漏洞增加了防护层。例如,当通过vMotion进行虚拟机迁移时,包括宿主机内存数据等都是以最简单的文本方式传输的。
当然,还有隔离宿主机和SAN存储(iSCSI或NAS存储)设备之间的流量。对于iSCSI而言,它的安全可以通过双向握手认证协议来防止未经授权的访问出现。隔离不仅保护存储数据流,也防止对同一网络上的其它设备带来性能影响。
用户账号改善VMware安全性
保护好ESX服务控制台和ESXi管理控制台root账号。一旦它被泄露,主机包括所有虚拟机就都存在危险。
ESX服务控制台和ESXi管理控制台都是Linux系统的一个变种,所以它们都有拥有完整权限的超级账户——root用户。尽量减少root账号的使用,为每个用户创建一个受限的账号,同时对每个账户的使用情况进行跟踪。
在ESX中,安装sudo可以为用户账号指定受限的特殊权限。而ESX和ESXi都支持使用su命令赋予某个账户临时的超级用户权限。
默认情况下,root账号不能通过SSH连接远程登录使用。即使您可以启用通过SSH进行root账号登录,千万不要这么做。
VMware禁止它是有一定考虑的。您还可以通过安装AD认证实现对控制台的访问,无需单独对每台宿主机上的账号分开来管理。
最后一点,保护好root账号。经常修改密码,并尽可能地限制它的使用。
网友评论