解決五大VMware不容忽視的安全漏洞
VMware的安全漏洞不容忽視,尤其是在對法規遵從和云計算的關注日益提高的背景下。
虛擬宿主機上會運行多個工作負載,所以一旦發生未授權的訪問,入侵者會危害到所有的虛擬機。因此,虛擬管理員需要額外關注VMware的安全漏洞。下面是幾個易發生潛在風險的方面。
讓VMware的安全屏障成為蜂窩
基本上講,VMware vSphere是相當安全的,但是如果您忽略了對它的配置和遠程訪問管理,就會像蜂窩一樣存在很多的漏洞。
默認情況下,VMware關閉了很多方便管理員的服務,啟用這些服務會影響安全性。例如,在ESX中,管理員們通常使用Web用戶界面。而在ESXi中,IT專家們喜歡通過SSH啟用遠程連接界面。這些雖然都可以簡化工作方式,但同時也為非授權的訪問開了后門。
另外宿主機的管理界面也是薄弱環節之一。通過它可以訪問整個虛擬架構,而無需破解多個密碼。我們要更加嚴格地控制該界面的使用,只在迫不得已的時候再使用--這樣的時候不會太多。其它需要關注的方面包括:虛擬機的數據存儲、管理和存儲區域網絡,虛擬網絡,API,宿主機相關的連接器,vCenter Server角色服務器和許可服務器,以及第三方附加軟件等等。
最起碼要做到:知曉系統弱點并進行重點加強。
虛擬機的可移動性帶來的VMware安全漏洞
虛擬機的可移動性增加了失竊的概率,不過通過完善的備份策略我們可以輕松彌補這些安全漏洞。
虛擬化的過程,把操作系統、應用和設置等等,都壓縮成一個磁盤文件中。這是虛擬化的優勢之一,但同時也很容易成為缺陷。
在傳統環境中,想偷走一臺服務器,需要進入數據中心物理環境并帶走物理機。如果是虛擬機,通過網絡就可以把整個虛擬機拷貝出數據中心,并且通過可移動存儲設備帶走。一旦擁有了虛擬磁盤文件的拷貝,簡單加載后就可以訪問其文件系統,或在工作站上借助VMware Player軟件就能運行。
要彌補這種安全漏洞,需要對虛擬機數據存儲所在的物理存儲層和宿主機層進行保護。確保存儲網絡的安全性,保證只有vSphere宿主機才可以訪問存放虛擬機數據的LUN.
一些如管理界面或vSphere Client等常用工具可以把虛擬機從宿主機拷貝出來。通過vSphere Client的Datastore Browser可以對文件進行訪問,并限制其訪問范圍。如果使用D2D的備份程序,由于備份的數據也是完整的,也要對它做好保護。
預防VLAN存在的VMware安全漏洞
虛機的網絡配置很容易修改,這是導致安全漏洞頻發的原因之一。
當我們在VLAN(virtual local area networks)之間遷移物理機的時候,通常是在交換機端修改VLAN的端口設置。虛擬主機使用VLAN便簽,也就是說同一個物理交換機端口支持多個 VLAN,然后配置虛擬機的虛擬網卡對應主機上的多個端口組。主機的虛擬網絡設置方法方便了虛擬機在VLAN之間的遷移,只需編輯虛擬機配置為vNIC重新選擇VLAN就可以了。
這種設計方式意味著可以輕易地把虛擬機從一個網絡遷移到另一個,或通過增加多個虛擬網卡讓虛擬機同時屬于多個網絡。這樣,可能會有人把虛擬機從安全的被保護網絡遷移出來(例如,從內部網絡遷移到了DMZ,導致被攻擊)。
甚至可能是虛擬機橫跨多個虛擬機網絡,從而為來自外網的攻擊者提供了內網訪問路徑。為防止這種安全漏洞,需要鎖定對虛擬機虛擬網絡的修改權限。最好是只有網絡管理員才可以,而不是擁有虛擬機操作權限的服務器或應用管理員。
通過隔離避免VMware安全漏洞
當虛擬網絡數據流和存儲及管理數據流都在同一個物理路徑上傳輸時,也同時意味著虛擬機被暴漏在安全風險之下。這些終端之間的數據流并不全是加密的,所以任何有權限的人員都可以對線路進行監控,獲取包括在vMotion進行主機遷移時的內存數據和傳輸給存儲設備等的敏感信息。
路徑隔離的方式為宿主機、存儲設備、vCenter服務器和管理員之間的核心數據流提供了一個保護層。沒有這一層也就增加了您的私人數據泄露的風險。我們可以隔離在物理網絡上傳輸的大量虛擬系統數據流。例如,保持管理和存儲數據流位于獨立的網絡上,使其跟常規的虛擬機數據隔離。
同樣也適用于ESX服務控制臺、ESXi管理控制臺、VMkernel和vCenter Server所在的網絡。這些組件相互之間的數據交互非常多,而跟外網的交互需求相對很少。
通過防火墻來保護私有網絡,限制管理員、DNS服務、升級和其它動作。雖然多數數據流都是加密的,隔離依然為安全漏洞增加了防護層。例如,當通過vMotion進行虛擬機遷移時,包括宿主機內存數據等都是以最簡單的文本方式傳輸的。
當然,還有隔離宿主機和SAN存儲(iSCSI或NAS存儲)設備之間的流量。對于iSCSI而言,它的安全可以通過雙向握手認證協議來防止未經授權的訪問出現。隔離不僅保護存儲數據流,也防止對同一網絡上的其它設備帶來性能影響。
用戶賬號改善VMware安全性
保護好ESX服務控制臺和ESXi管理控制臺root賬號。一旦它被泄露,主機包括所有虛擬機就都存在危險。
ESX服務控制臺和ESXi管理控制臺都是Linux系統的一個變種,所以它們都有擁有完整權限的超級賬戶--root用戶。盡量減少root賬號的使用,為每個用戶創建一個受限的賬號,同時對每個賬戶的使用情況進行跟蹤。
在ESX中,安裝sudo可以為用戶賬號指定受限的特殊權限。而ESX和ESXi都支持使用su命令賦予某個賬戶臨時的超級用戶權限。
默認情況下,root賬號不能通過SSH連接遠程登錄使用。即使您可以啟用通過SSH進行root賬號登錄,千萬不要這么做。
VMware禁止它是有一定考慮的。您還可以通過安裝AD認證實現對控制臺的訪問,無需單獨對每臺宿主機上的賬號分開來管理。
最后一點,保護好root賬號。經常修改密碼,并盡可能地限制它的使用。
【編輯推薦】
