讓VMware的安全屏障成為蜂窩

基本上講，VMware vSphere是相當安全的，但是如果您忽略了對它的配置和遠程訪問管理，就會像蜂窩一樣存在很多的漏洞。

默認情況下，VMware關閉了很多方便管理員的服務，啟用這些服務會影響安全性。例如，在ESX中，管理員們通常使用Web用戶界面。而在ESXi中，IT專家們喜歡通過SSH啟用遠程連接界面。這些雖然都可以簡化工作方式，但同時也為非授權的訪問開了后門。

另外宿主機的管理界面也是薄弱環節之一。通過它可以訪問整個虛擬架構，而無需破解多個密碼。我們要更加嚴格地控制該界面的使用，只在迫不得已的時候再使用——這樣的時候不會太多。其它需要關注的方面包括：虛擬機的數據存儲、管理和存儲區域網絡，虛擬網絡，API，宿主機相關的連接器，vCenter Server角色服務器和許可服務器，以及第三方附加軟件等等。

最起碼要做到：知曉系統弱點并進行重點加強。

虛擬機的可移動性帶來的VMware安全漏洞

虛擬機的可移動性增加了失竊的概率，不過通過完善的備份策略我們可以輕松彌補這些安全漏洞。

虛擬化的過程，把操作系統、應用和設置等等，都壓縮成一個磁盤文件中。這是虛擬化的優勢之一，但同時也很容易成為缺陷。

在傳統環境中，想偷走一臺服務器，需要進入數據中心物理環境并帶走物理機。如果是虛擬機，通過網絡就可以把整個虛擬機拷貝出數據中心，并且通過可移動存儲設備帶走。一旦擁有了虛擬磁盤文件的拷貝，簡單加載后就可以訪問其文件系統，或在工作站上借助VMware Player軟件就能運行。

要彌補這種安全漏洞，需要對虛擬機數據存儲所在的物理存儲層和宿主機層進行保護。確保存儲網絡的安全性，保證只有vSphere宿主機才可以訪問存放虛擬機數據的LUN。

一些如管理界面或vSphere Client等常用工具可以把虛擬機從宿主機拷貝出來。通過vSphere Client的Datastore Browser可以對文件進行訪問，并限制其訪問范圍。如果使用D2D的備份程序，由于備份的數據也是完整的，也要對它做好保護。

VMware漏洞有很多，我們還會在以后的文章中繼續介紹其他三個VMware常見漏洞及其解決方法。

【編輯推薦】

1. 預防交換機漏洞攻擊防護
2. 留意數據泄露的七種主要途徑
3. 漏洞掃描工具選擇技巧大揭秘
4. 從堵住系統漏洞開始 保護Linux系統安全 續
5. 淺析漏洞攻擊與惡意程序植入的合作關系 續
6. 安全沙箱程序：深度防御還是分層漏洞？（1）