VMware 针对数据中心的虚拟化安全保护

VMware

构建灵活高效的数据中心

VMware vSphere 是业界领先的用于构建云计算基础架构的虚拟化平台。 vSphere 可让您胸有成竹地运行关键业务应用，以最低的总体拥有成本满足最严苛的服务级别协议的要求。

现在，VMware 提供 vSphere with Operations Management，它将全球领先的虚拟化平台与 VMware 屡获殊荣的管理功能结合在一起。这款新解决方案使 vSphere 用户能够洞悉运营状况，提高可用性和性能，同时优化容量。

云计算基础架构采购顾问

免费下载试用版获取定价查找合作伙伴

VMware vSphere 是业界领先的用于构建云计算基础架构的虚拟化平台，可让您胸有成竹地运行关键业务应用，更迅速地响应业务需求。（4 小时 15 分钟）

共享

功能概述
安全性概述
计算

vSphere ESXi 虚拟化管理程序

Distributed Resources Scheduler (DRS)、
Distributed Power Management (DPM)

vMotion

网络

网络 I/O 控制 (NIOC)

Distributed Switch

存储

Storage DRS

配置文件驱动的存储

Storage vMotion

存储 I/O 控制

Virtual Machine File System (VMFS)

Storage Thin Provisioning

存储 API
安全性

vShield Endpoint

可用性

High Availability (HA)

Fault Tolerance

vStorage API

复制

自动化

Auto Deploy

主机配置文件

Update Manager

管理

vCenter Server

vCenter Orchestrator

vCenter Operations Standard

保护虚拟基础架构安全

所有虚拟化平台均各不相同。当您决定采用虚拟基础架构解决方案来降低成本和提高 IT 运营效率时，请确保您了解所选择的虚拟化技术和平台会在安全方面产生怎样的影响。 VMware 提供了目前最强健、最安全的虚拟化平台。

托管与裸机虚拟化

常用的虚拟化方法有两种：托管和裸机。托管虚拟化软件作为应用或“客户操作系统”运行在一般用途的操作系统之上。裸机虚拟化则通过接口直接与计算机硬件相连，因此无需主机操作系统。通过以下内容，您可以了解常见的安全问题，同时还可以了解选用托管和裸机虚拟化平台各有哪些影响。

安全问题	托管	裸机
底层操作系统的薄弱点	托管虚拟化产品基于一般用途的操作系统运行，容易受到这类操作系统上的各种薄弱点及其所受攻击的影响。	VMware 裸机虚拟化围绕 VMkernel 构建。VMkernel 是一种特殊用途的微内核，其受攻击面比一般用途的操作系统小得多。
在客户机和主机之间共享文件和数据	大多数托管虚拟化产品均提供了从客户机向主机提供用户共享信息的方法（共享文件夹、剪贴板等）。这些方法虽然方便，但很容易造成数据泄露和遭到恶意代码入侵。	由于 vSphere 专为虚拟化而设计，因此无需在虚拟机及其主机之间共享用户信息，也不存在这样的机制。
资源分配	托管虚拟化产品以类似应用的方式在主机操作系统的进程空间中运行。它们受到主机操作系统和其他应用的制约。	VMware 裸机虚拟化采用智能方式分配资源，同时将虚拟机与底层硬件组件隔离。没有哪个虚拟机可以使用所有资源或造成系统崩溃。
目标用途	托管虚拟化面向的是其客户虚拟机可以信任的环境。这包括软件开发、测试、演示和故障排除。	vSphere 旨在用于生产环境，在这种环境中，客户虚拟机可能会暴露在恶意用户或网络流量面前。通过有力的隔离和严格的管理分离，可以极大地减少任何有害活动越过虚拟机边界的风险。

精简虚拟化：通过小型软件包获得高安全性

在 vSphere 5.1 等软件中提供的精简虚拟化可大幅提升安全性和可管理性，代表着虚拟化的下一步发展方向。

取消控制台操作系统可以显著减少软件占用空间，从而简化部署、降低维护量并大幅减少补丁程序。
通过缩减规模，可以消除无关的软件，大幅缩小受攻击面，从而减少潜在的薄弱点。
内置可阻止安装未授权软件的机制。 vSphere 主机上只能安装具有数字签名的软件包。
可靠的 API 支持无代理监控，因此无需直接在主机上安装第三方软件组件。

vSphere 5.1：市场上最安全的虚拟化管理程序

软件验收等级。vSphere 主机上只能安装满足用户定义的验收等级并包含可信数字签名的软件。

主机防火墙。vSphere 主机管理界面通过一种面向服务的无状态防火墙加以保护，您可以使用 vSphere Client 或在 ESXCLI 命令行界面对该防火墙进行配置。采用新型防火墙引擎，不再使用 iptables 和规则集为每个服务定义端口规则。对于远程主机，您可以指定允许访问每一项服务的 IP 地址或 IP 地址范围。

更高的安全性。从 ESXi Shell 中工作时不再依赖共享 root 用户帐户。具有管理特权的本地用户可自动获得 Shell 的完全访问权限。具有 Shell 的完全访问权限后，本地用户再也无需执行“su”命令成为 root 用户才能运行需要特权的命令。

改进了日志记录和审核。在 vSphere 5.1 中，Shell 和直接控制台用户界面 (DCUI) 中的所有主机活动都记录在登录用户的帐户之下，从而可以轻松地监控和审核主机上的活动。

安全 Syslog。所有日志消息都由 syslog 生成，而且现在消息可以记录到本地日志服务器和/或一个或多个远程日志服务器中。通过使用安全套接字层 (SSL) 或 TCP 连接，可以远程记录消息。可以将来自不同来源的日志消息配置为记录到不同的日志中。除了 vSphere Client 之外，还可以使用 ESXCLI 命令行界面完成消息日志记录的配置。

AD 集成。可以将主机配置为加入 Active Directory 域。系统将按照集中的用户目录对尝试访问主机的任何用户自动进行身份验证。此外，还可以使用主机为单位定义和管理本地用户，并使用 vSphere Client、vCLI 或 PowerCLI 配置本地用户。这第二种方法可用于取代或补充 Active Directory 集成。

vShield Endpoint 捆绑。现已纳入到 vSphere 5.1 中的 vShield Endpoint 可以将客户虚拟机内的防病毒和防恶意软件代理处理工作卸载到由 VMware 合作伙伴提供的专用安全虚拟设备上。