本节书摘来自华章出版社《虚拟化安全解决方案》一书中的第2章,第2.1节,作者[美]戴夫·沙克尔福(Dave Shackleford),更多章节内容可以访问云栖社区“华章计算机”公众号查看
2.1 管理程序配置和安全
一个虚拟管理程序平台,就像在第1章中描述的,是将物理硬件模拟为许多客户操作系统和应用程序的软件,使它们能够并行在一个物理机器上。每个管理程序平台有它自己的架构特点,但多数管理程序(也称为虚拟机管理器或VMM)具有与如图2.1相似的设计。
正如你在图中看到的,虚拟机管理器是一个底层的组件,在很多方面作为虚拟主机平台的操作系统运行。为了确保整个虚拟环境免受攻击、漏洞或运营事故的威胁,保持它尽可能处在最新状态和配置一些基本控制是最重要的。
保护任何类型的管理程序系统都有许多不同的方面,最常见的管理程序平台,如VMware ESXi、Microsoft Hyper-V和Citrix XenServer等都有多个配置控制,它们应该由系统管理员实现和维护。
当评估VMM安全性的时候,有两个原则需要记住:
在许多情况下,VMM对它自己来说几乎就是一个操作系统,它有许多类似一个操作系统的特性。
VMM与物理平台上的所有硬件互连,当虚拟机请求资源的时候,它是所有诸如存储器、网络、CPU和内存之类资源的连接管道。
而且,VMM自己必须由管理员使用客户端或中央控制台进行管理,这个主题我们将在本书的第5章进行深入讨论。
任何VMM安全配置活动关注的主要领域如下:
打补丁 在多数情况下,尤其是对类型I的管理程序,VMM与其他操作系统组件分离,因此VMM必须独立打补丁。给管理程序打补丁在IT部门应该被看作一个核心运营工作,应该与当前高优先级打补丁周期一致。打补丁过程和最优实践的更多细节将在第8章中讲述。
建立安全通信 许多管理程序使用安全套接字层(Secure Sockets Layer,SSL)或更新的传输层安全(Transport Layer Security,TLS)与数字证书一起来建立与远程客户和管理平台的安全通信方式。在许多情况下,初始安装的数字证书是不安全的,应该在生产运营前被配置或替换。另一个管理程序或虚拟机安全通信常用的控制是安全(IPSec)加密。
更改默认设置 许多管理程序配置设置默认是不安全的,一些管理程序使用可被删除的默认内容交付。例如,旧版的VMware ESX管理程序有许多Linux网络服务组件、二进制文件和甚至不需要的用户账户。更改设置、删除通用默认内容占了VMM强化活动的很大比例。
开启运营安全 常用的工具和协议如简单网络管理协议(Simple Network Management Protocol,SNMP)和网络定时协议(Network Time Protocol,NTP)用于在日志文件、监控等其他运营活动中提供一致性和准确性。配置这些服务和协议,使它们在IT环境中正常运行是确保虚拟系统和应用程序长期连续性的重要一步。
保护和监控关键配置文件 每个管理程序平台都有许多文件,它们对配置和控制VMM系统和服务非常关键。这些文件应该非常小心地受权限和监控控制保护。
保护用户和组 管理程序平台有一组本地用户和组,它们可以用于访问系统和控制服务。在多数情况下,默认用户和组设置是不安全的,比如有太多的访问权限和根本不需要激活的用户。限制它们、控制它们能访问的事务是全面保护系统的另一个关键步骤。
锁定访问管理程序平台 多数管理程序平台有本地控制台接口,它可被本地和远程访问。要小心地控制它,确保不发生未授权的访问。如果有本地防火墙的话,那么另一个管理程序访问控制的主要方面是配置该防火墙。
