ESX与ESXi安全管理Word格式.docx
《ESX与ESXi安全管理Word格式.docx》由会员分享,可在线阅读,更多相关《ESX与ESXi安全管理Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
对于每一个VMwareESX主机来讲有四个可能网络:
服务控制台或者管理设备、存储网络、VMwareVMotion或者存储VMotion网络和虚拟机网络。
前三个网络是关键性网络,不能部署在隔离区内。
最后一个网络是唯一个可以部署在隔离区内的网络。
很多人都认为最好的实现方式就是不要把前三个网络部署在隔离区内,但是却没有合适的理由。
以下是我的理由:
但都是基于这样一个假设,在持续威胁和可能性攻击情况下,隔离区可以会成为一个恶意网络环境。
它一旦被攻破,就会成为对保护的网络进一步攻击的枢纽。
服务控制台
服务控制台或者管理设备是虚拟网关上的portgroups的门户,并且部署在它们自身虚拟网关上的portgroups内。
所有的管理性的工作都在这个网络上完成,所谓管理性的工作通常包括登录每一个系统的认证信息。
这个网络一般通过SSL得到保护,访问这个网络可以给予攻击者从最基本的层次渗透到虚拟环境中的可能性,悄无声息地窃取数据的机会也会有很大增长(所谓的数据,我这里是指虚拟磁盘文件及其内容)。
进一步来讲,这也就提供一个直接攻击VMwareESX主机和VMwareESXi主机上账户的机会,也就等于是给了攻击者访问所有信息的权限。
存储网络
存储网络是另外一个经常部署在其自身虚拟网关内部的重要网络。
当前所有负责存储的协议在物理线路上都以不加密形式传送数据。
攻击者获得访问这个网络的权限就可以访问虚拟磁盘数据。
进一步来讲,如果使用的是iSCSI,就会有另外一种攻击服务控制台或者管理设备的可能,这是因为服务控制台或者管理设备也参与iSCSI网络。
VMotion和存储VMotion网络
VMwareVMotion和StorageVMotion网络通常情况下在其自身的虚拟网关上,一般以明文方式在物理线路上传送虚拟机的内容和磁盘信息。
由于攻击者可以获得虚拟机内存和磁盘内容的信息,所以这个网络是不安全位置中最危险的一处。
通过这些信息,攻击者可以得到访问认证信息的权限。
通过收集到的认证信息,这个网络也就成了攻击用户网络的枢纽。
虚拟机网络
获得虚拟机网络访问控制权限不会带来获得其它三个网络访问控制权限同样的风险。
有必要进一步阅读VMware其它文档,因为我发现在一个隔离区内开始部署VMwareESX主机和VMwareESXi主机之前,阅读这些文档是相当重要的。
列举部分如下:
∙VMwarewhitepaperonvirtualnetworkingconcepts
∙VMwarewhitepaperonVMwareESX802.1qVLANsolutions
∙VMwarewhitepaperoniSCSIdesignanddeployment
∙VMwarewhitepaperonplacingaVMwareESXhostwithinaDMZ
如何在VMware虚拟融合网络中防止安全漏洞?
2008-12-24
VMwareESX与ESXi虚拟网络变换的安全级别应该在融合网络上隔离否则容易引起安全问题。
VMware虚拟网络安全融合网络
【TechTarget中国原创】在各种融合网络环境下运行VMware容易导致数据混合,尽管从直观上看这种混合并没有坏处,但是如果有错误的数据混合进来的话,就会出现问题了。
之所以出现融合网络是因为并不是很多人都完全利用10Gb以太网网络带宽,甚至很多人都没有充分利用1Gb的以太网连接。
融合网络的目的就是让网络的其他方面充分利用未使用的带宽,这是由于缺少网卡(NIC,即NetworkInterfaceCard),部署新的电缆不太可能,并且时间成本和资金成本也比较高。
最简单的解决方案就是在同一条光缆上不仅仅传输一类数据信息,这就是所谓的数据混合。
只要所有的数据具有同样的安全等级和安全区域,在数据混合中就没有必要考虑安全问题。
然而,如果同一条线路上传输的数据不属于相同的安全等级或者安全区域的话,数据融合就会成为一个比较令人头疼的问题。
安全等级定义不同主体可以访问同一传输线路上的不同数据,而安全区域指的是传输线路所连接的区域,也可能包括对其如何使用。
例如,与称为生产的安全区域相比,一个DMZ(隔离区)很有可能是一个敌对环境。
两个区域的数据融合将会提高系统正常风险级别,正常风险级别是指在一个融合网络中没有数据混合的情况下的风险级别。
对每一台VMwareESX主机来讲,使用虚拟化的话,至少有四种可能的网络:
服务控制台或者管理设备、存储网络、VMwareVMotion或StorageVMtion网络和虚拟机网络。
另外至少有四个不同的安全区域:
管理程序(Hypervisor)、虚拟机、存储和管理。
如何合理地融合网络和安全区域?
选择要融合网络和安全区域取决于很多方面,但是为了简化问题,我们这里忽略硬件限制。
沿着当前的思路往下走:
为什么各种各样的安全区域和网络需要保持隔离?
这并不表示我不喜欢虚拟局域网(VLAN),但是VLAN确实不能保证安全性。
VLAN是一个网络中(物理的或者虚拟的)确保一个数据包传送到合适端点的工具,但并不是一种保护网络的方法。
最近在VMware社区,“SecuredwithVLANs”这个词谈论得非常热。
RFC(RequestforComment)802.1q中并没有提及到安全问题。
VLAN并不保证安全性,但是可以被安全地使用。
然而,为了确保安全地使用融合网络,有一些问题还是需要注意的:
∙直接(vmkernel虚拟网卡)或者间接地(管理设备与应用)通过网络连接对Hypervisor的任何访问都必须受到严格的控制。
因为取得对Hypervisor的访问控制权限就会带来对VMwareESX主机或VMwareESXi主机内任何信息取得访问控制权限的风险。
∙对VMotion网络的任何访问也会带来风险:
由于正在使用的内存信息以明文方式在线路上传输,虚拟机内的证书和身份数据很容易暴露。
∙通过一台虚拟机、备份服务器,或者是间接地通过Hypervisor和管理工具对存储网络的访问控制必须受到严格的控制。
由于可以对存储网络信息以明文的方式访问,对虚拟存储网络的访问可能会带来暴露虚拟机内虚拟硬盘上内容的风险。
最好的实现方式
鉴于所有的上述信息,对于使用融合网络的虚拟网最好的建议是什么呢?
理想的情况就是不融合VMwareESX主机和VMwareESXi主机内的任何网络,但是这个似乎有点不太现实。
用户可以选择不融合从VMwareESX主机和VMwareESXi主机到物理网关的网络,但是如果这样的话,虚拟网就会形成集群来穿越整个公司交换结构中的其它物理网关。
交换结构中的薄弱环节实际上可能是物理网络,因为虚拟网关可以防止当前来自VLAN第二层攻击,尽管攻击不是来自第三层。
不过也不是所有的物理网关都可以阻止来自第二层VLAN的攻击。
人们通常混合来自同一条线路上VMwareESX主机和VMwareESXi主机管理设备的数据和VMotion的数据,因为他们认为这两者应该是和其它任何网络一样具有同样的风险程度。
VMotion是具有最高风险的网络,然而如果有恶意用户可以攻破VMwareESX主机和VMwareESXi主机管理设备的话,就可以获得对所有磁盘数据的访问控制权限,然而未必是VMotion数据。
但是如果这两者在通一条线路上传输的话,风险就比较高了。
其它经常混合的数据是存储数据和虚拟机数据。
换句话说,虚拟机可以和ESX主机访问到同样的存储空间。
如果虚拟机不是一个存储管理节点或者形式的管理节点,也可能导致虚拟环境中安全漏洞出现的高风险性。
当前没有减轻这个问题的好方法。
VMwareESX和VMwareESXi现在都不支持IPsec(InternetProtocolSecurity)。
IPsec使用预置共享密钥和一个很好的公钥密码体系可以对融合网络上的所有数据完成强加密,加密过程基于不同数据来源使用不同的密钥体系。
这个方法可以在很大程度上降低整体风险性。
选择融合何种网络需要对要传输的数据有一个很详尽的了解,如这些数据传送的目的地、传送方式、加密的可能性以及数据传输错误带来的风险等。
如何最小化混合模式端口组安全漏洞?
2008-12-30
本文说明设置防火墙和编辑VMware基础设施以避免混合模式端口组所造成的安全漏洞。
防火墙VMware混合模式端口安全漏洞
【TechTarget中国原创】如何让VMware虚拟架构里的混合模式端口组不受到威胁?
许多网络安全工具,如BlueLane、Catbird和ReflexSystems都可用,不过它们需要激活。
另外,一些检查网络数据包的新工具,如VMwarevCenterAppSpeed,也需要激活混合模式设置。
这些程序也需要你设置端口组的VLANID为4095。
这个特殊的VLANID用于直接传递数据到虚拟机,而不需要通过vSwitch里VLAN进程的解释(通常用于执行虚拟子标记)。
不过这个端口组也允许混合模式的虚拟机看见所有的数据包,这是由于它们不通过VLAN而穿过vSwitch。
如果端口组的VLANID不是设置成4095,混合模式的以太网适配器只能看见某个端口组的数据,而不是整个vSwitch。
不过你如何安全地执行?
你如何激活混合模式端口组并且保持其他的都没影响?
由于从一个端口组移动虚拟机到另一个的颗粒度保护不存在于目前的VMwareESX或ESXi版本里,所以这是个棘手的问题。
有几种方法可以将虚拟机从一个端口组移动到另一个。
∙关闭虚拟机后手动编辑虚拟机VMX文件,或者直接在虚拟机文件系统上或使用远程命令行接口VIF工具得到原始文件,然后将修改后的文件放回系统。
∙使用VMwareConverter或其他工具执行虚拟到虚拟(V2V)迁移。
∙使用VMwareInfrastructureClient(VIClient)连接到VirtualCenter(现在叫做vCenterServer)以作修改。
∙在VIClient里连接到主机虚拟机以作修改。
有如此多的方法将虚拟机移动到混合模式端口组,一些角色和权限设置的安全性降低了。
信任
安全,尤其是没有阻止同事管理员做一些无意识(或有意)的破坏性事件的安全设置,需要信任其他管理员。
除了信任其他系统管理员,你需要经常审计你的架构以获取可能的安全威胁。
不幸的是,在虚拟架构里没有设置用来监控这些问题的告警,所以你需要依赖手动监控或第三方工具。
防火墙
由于每个行为都需要管理员权限,宿主vCenter、管理工作站和VMwareESXManagement设备(服务器控制台和VMwareESXi管理设备)的虚拟化管理网络应该位于自身防火墙的后面。
这样的话,你能控制哪个工作站能够访问基础设施管理工具,哪个不能,也包括如何访问这些工具。
理想中,你想让管理员使用VPN访问他们的内部——虚拟化管理——网络虚拟机。
这就是说一般情况下,工作站不是每天都在网络里。
换句话说,保护虚拟化管理网络类似保护数据中心,要尽可能多的控制。
这种类型的设置也可能有助于远程到虚拟化主机的访问。
远程控制台
由于也可以通过控制台发生一些变更,所以保护对远程控制台的访问也很重要。
远程控制台应该是网络里另外一个需要隔离的部分。
VMwareConverter
VMwareConverter是能轻易饶过安全防护的工具之一,所以唯一的方法是通过增加审计减少风险。
角色与权限
最后一个需要实施的控制是限制对能宿主虚拟机的网络的修改。
对非管理员设置以下权限控制这些功能:
∙主机、配置及网络配置
∙主机、配置及变更设置
∙虚拟机、相互影响及设备连接
∙虚拟机、配置及添加或移除设备
∙虚拟机、配置及修改设备设置
∙虚拟机、配置及高级设置
总结
不幸的是,这些更改都不能最终防止恶意虚拟机对混合模式端口组的攻击,但是可以减少这种可能。
不过,没有什么方法能够取代定期地对基础设施作出更改。
有几家公司的产品可以做到:
Tripwire和Configuresoft。
其他公司的产品通过在虚拟机周围放置Catbird与ReflexSecurity,防止有疑问的虚拟机输入输出信息。
威胁安全性的十大虚拟化问题
2008-11-10
很多系统管理员都在某些共同方面无意识地破坏了他们的计算架构的安全性,导致了可能受攻击的漏洞。
这些问题涵盖了不恰当的网络到过分信任SSL和VLAN技术等一系列方面。
管理员漏洞SSL虚拟化
【TechTarget中国原创】我在编撰下一本书的过程中,对虚拟化安全性做了调查,发现很多系统管理员都在某些共同方面无意识地破坏了他们的计算架构的安全性,导致了可能受攻击的漏洞。
这里,我将列举我发现的最普遍的十大问题。
1.虚拟化管理员不是安全性管理员
虚拟化管理员既不是安全性管理员,也不时常听取安全性管理员的意见或和他们协商。
要解决这个问题,可以给安全性管理员培训一些虚拟化的知识,同时也给虚拟化管理员一些安全性方面的培训。
2.虚拟服务器的管理设备处于保护不当或未受保护的网络中
我曾经在英特网、生产和DMZ网络上发现过服务控制台。
服务控制台和所有的管理工具是应该放在自己的管理网络中的,而不能到处随便放。
3.绝对信任SSL
SSL并不是绝对安全的,有一种针对SSL的攻击可以在两秒钟之内轻松攻破SSL。
不要以为SSL足够安全。
除非使用了预共享证书,否则它就会有风险。
如果你一定要使用基于SSL的管理工具,就在管理网络中使用这些工具,在管理网络中你可以信任网络中的用户。
另外,从外部网络接入管理网络时,使用好一点的VPN。
4.误以为虚拟机是安全的环境
隔离区(DMZ)的虚拟机或其它面向Internet的虚拟机不是一个安全的环境,但是对于虚拟化来说所有虚拟机都是危险的。
对一个虚拟机的攻击永远不应该直接或间接指向虚拟主机。
5.NFS和iSCSI存储网络没有与其它网络分开
NFS、iSCSI和SAN存储都是采用明码传输数据,这就意味着磁盘数据可能被其它用户读取。
如果一个虚拟机从用于存储虚拟磁盘的存储网络载入了一个iSCSI对象,那么这就有可能成为一个攻击点。
6.VirtualCenter放在管理网络之外
尽管VMwareESX有防火墙保护,但VirtualCenter是在防火墙之外的,它应该和虚拟主机一样受到保护。
利用VIClient、RemoteCLI或SDK对VirtualCenter或主机的访问都应该只能来自管理网络内部。
7.存在额外的服务控制台端口
连接NFS服务器与ESX时,会创建一个服务控制台端口。
这是一个错误,iSCSI需要的是服务控制台的参与,而不是ESX。
服务控制台应该通过路由器、网关访问存储网络,最好是通过防火墙。
因为,没增加一个服务卡控制台端口,当前的攻击向量(attackvectors)就会增加一倍。
8.服务控制台放在DMZ或不安全环境
这是大家的一个通病,服务控制台绝对不应该放在不安全的环境中。
这包括Internet或DMZ。
9.误以为VLAN会保护网络
尽管使用vSwitch可以防止由虚拟机发出的VLAN攻击和对虚拟机的攻击,但使用虚拟化不会阻止来自虚拟主机之外的VLAN攻击。
你需要非常好的交换硬件来阻止大多数有名的VLAN攻击。
VLANRFC并不意味着VLAN是可以保障安全性。
而且,使用VLAN还会导致线缆中的数据混杂(dataco-mingling)。
10.不了解hypervisor中的安全性
如果你不了解hypervisor的安全性,你将很难清楚如何保护好你的虚拟化环境。
这十大问题决不是仅有的安全性问题,只是最具代表性的问题。
不久前,我向VMware公司讨教了28个安全性问题,请他们做出评论和回答,只有两个问题我没有得到答案。
所以,我建议大家向值得信赖的人或机构询问自己所有不清楚的安全性问题,以便为自己的环境建立最好的安全性。
总之,安全性决不应该是一个可有可无的附带考虑,而是至始至终都应该慎重对待的一部分。
关于作者:
EdwardL.Haletky是企业级VMwareESXServer方面的作者:
PlanningandSecuringVirtualizationServers。
他最近离开了惠普公司,以前他在虚拟化、Linux和高性能计算部门里工作。
Haletky自己拥有AstroArchConsulting公司,他还是VMware社区论坛的拥护者和版主。
如何安全地管理VMwareESXi?
2008-12-5
本文学习安全管理ESXi虚拟机的方法。
ESXi虚拟机安全
【TechTarget中国原创】使用VMwareESXi也有不方便的情况,比如在没有VMware技术支持人员帮助的情况下,你就不能使用DropbearSSH客户端或者其它技术支持模式。
可是,系统管理员为了解决问题或者管理空闲网络连接,可能会倾向于使用技术支持模式(或者激活的Dropbear)。
但是打破这一层安全防护可能会导致VMwareESXi的证书的失效和技术支持合同的破坏。
TechTarget中国的特约作者EdwardL.Haletky在本文中将介绍另外一种管理ESXi虚拟机的方法。
这个方法不会影响到虚拟机的安全,但是可能会破坏技术支持合同。
我曾经写文章明确提出,和VMwareESX相比,VMwareESXi存在的安全缺陷,写那篇评论文章主要是由于一些ESXi用户立即使用了DropbearSSH客户端。
如果这样做的话,就等于是打破了这个防护层。
这样做将会导致VMware证书无效,进而导致技术支持合同失效,所以一般不推荐使用。
VMware进一步声称只有在VMware技术支持人员的严格指导下,用户才可以使用技术支持模式。
然而,系统管理员经常需要或者希望使用技术支持模式解决他们的特定问题,所以说这个界限如何设置是一个问题。
那么是不是在没有VMware技术支持人员的帮助下,一旦触及到这个界限就会导致证书的失效?
如果在用户的VMwareESXi主机上有ILO(IntergratedLightsOut)或者是DRACs(DellRemoteAssitantCards)的话,这个问题又如何处理?
在对这些问题提出一些解决方案之前,我们可以先看一下VMwareESXi内置的安全属性。
VMwareESXi确实考虑到了安全问题
ESXi的安全防护层是这样的:
除非用户可以使用SSH或者通过技术支持模式登录到系统,否则当前是没有其它的方法进入系统内部的。
VMwareESXi安全方面另外一个新颖之处是引导过程的特性:
在引导过程中,ESXi首先创建一个RAM磁盘,然后在这个磁盘上运行一个操作系统。
数据存储设备挂载在个RAM磁盘上,虚拟机从这个磁盘加载系统运行。
这样做的话就可以保证对操作系统的任何改动在重启之后将不会被保存,除非这些改动是在永久性存储设备上的。
但是,众所周知,有一些改动在系统重启后还是会保存下来的。
通过VMwareInfrastructureClient(VIClient)、远程命令行接口(RemoteCLI:
RemoteCommandLineInterface)、控制台、或者CLI的vicfg命令,可以完成可接受的改动。
其它任何形式的改动,如添加一个新的守护进程、新增一个文件夹等,在重启后都不被保存。
管理VMwareESXi
VMware在通过一个新型的控制台来创建一个VMwareESXi方面没有做太多的工作,其中用户可以通过这个控制台做诸多与安全相关的配置工作。
另外,也有一些对VIClient做出的修改,通过这些修改可以允许配置部分操作,这些操作主要涉及用来规定手动修改的,如网络时间协议(NTP:
NetworkTimeProtocol)。
最后,VMwareESXi使用vicfg命令作为RemoteCLI的一部分。
各种方法的组合导致用户对于正常的配置工作根本不需要CLI。
现在用户可以远程控制VMwareESXi了。
保护ESXi
针对如何保护VMwareESXi,我只做简单介绍。
在VMwareESXi内需要有一个审计迹、深度防御以及对一个目录的访问控制权限,这些都是我们在保护VMwareESX中经常使用到的方法。
那么如何保护VMwareESXi呢?
在回答这个问题之前,需要先分析一下VMwareESXi基础架构内部的网络部署和外部的为虚拟机创建的配套服务。
主要有四个网络架构:
∙把管理工具相互连接起来的管理网
∙为ILO、DRAC等提供服务