ESXi安全引导如何提升vSphere安全性?

简介:

VMware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性,并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。

管理员可以使用这些vSphere安全工具阻止非授权窥探、篡改虚拟机,并接收更详细的可能意味着是恶意活动的变更告警,结果就是能够更快地牵制并纠正恶意行为。

与任何新特性一样,了解其使用要求、对新行为进行测试以积累经验、识别并解决任何部署问题—尤其是针对vSphere安全性而言更是如此—并在生产环境中部署新特性之前建立管理流程是很重要的。

对微软Windows或者VMware ESXi操作系统进行未授权的变更或修改可能意味着严重的安全违规,但如果没有进行精心的扫描以及其他仔细的调查可能很难甚至无法发现上述行为。

使用ESXi安全引导改进vSphere安全性
一种正在涌现出来的在操作系统启动时保护其完整性的方法是通过可信源,如数字证书对内核进行验证。统一可扩展固件接口(UEFI)固件提供的安全引导特性能够验证操作系统内核以及其他组件的数字签名,与包含在UEFI固件中受信的数字证书进行对比。

通常情况,支持UEFI安全引导的主要操作系统组件都会有签名。这可能包括引导程序、内核以及驱动。微软提供了一些适合引导Windows以及某些第三方代码比如Linux引导程序的UEFI认证。VMware还提供了在虚拟机内引导ESXi的证书。在启动时,如果证书与签名相匹配,那么操作系统会被认为是经过确认的,能够继续启动。

VMware vSphere安全性使用ESXi安全引导进一步应用了这一验证过程,针对所有ESXi组件增加了密码验证。其想法是ESXi由一系列数字签名包构成,被整合到vSphere安装包(VIB)中。一旦UEFI安全引导对ESXi内核进行了验证,ESXi内核将会使用某些数字证书对每个VIB进行验证—确保虚拟机内的所有ESXi组件完整、未被篡改。

如何部署ESXi安全引导
当主机操作系统安装了UEFI固件,虚拟机操作系统支持UEFI安全引导,并且hypervisor支持版本号为13或更高版本的虚拟硬件时,你可以在vSphere Web Client中部署ESXi安全组件。

选中目标虚拟机,打开编辑设置对话框,确认固件被设置为EFI—不是UEFI—检查启用安全引导复选框,然后选择确定。

满足了所有必要条件后,你需要在启用安全引导前关闭虚拟机。在启用安全引导后必须重启虚拟机,这样安全引导才能够生效。

记住一旦启用了ESXi安全引导,只有带有合法制造商签名的操作系统组件才能够引导。如果签名丢失或者任一操作系统组件不合法,那么虚拟机引导过程将会中断并返回错误—无法强制安装未签名的操作系统组件。

生产环境尝试启用安全引导前在测试环境进行安全引导测试是个不错的主意。这允许IT管理员更高效地进行故障诊断并修复可能存在的安全错误。

本文转自d1net(转载)

相关文章
|
存储 虚拟化 文件存储
VMware vSphere 5.x 与 vSphere 6.0各版本功能特性对比
VMware vSphere 5.x 与 vSphere 6.0各版本功能特性对比 各版本中的新特性及功能对比:   VMware vSphere 5.0 VMware vSphere 5.
2168 0
|
虚拟化 网络虚拟化 Windows
|
存储 虚拟化 数据安全/隐私保护
|
存储 API 虚拟化
VMware 虚拟化编程(10) — VMware 数据块修改跟踪技术 CBT
目录 目录 前文列表 数据块修改跟踪技术 CBT 为虚拟机开启 CBT CBT 修改数据块偏移量获取函数 QueryChangedDiskAreas changeId 一个 QueryChangedDiskAreas 的 DEMO 应用 QueryChanged...
2536 0
|
存储 虚拟化
《VMware Virtual SAN权威指南》一2.1.3 ESXi主机引导的考虑因素
本节书摘来华章计算机《VMware Virtual SAN权威指南》一书中的第2章 ,第2.1.3节, [美] 科马克·霍根(Cormac Hogan)邓肯·埃平(Duncan Epping)  著 徐 炯 译译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2339 0
|
存储 缓存 虚拟化
《深入学习VMware vSphere 6》——1.5 主流服务器的RAID配置
在创建逻辑磁盘时,最少创建两个逻辑磁盘,其中第一个逻辑磁盘创建得比较小,用于安装操作系统(如果是安装Windows Server 2008 R2或Windows Server 2012 R2,则创建60GB~100GB;如果用于安装VMware ESXi,则只需要10GB就够了)。
3392 0

热门文章

最新文章