管理員通常采用VMware hypervisor默認的安全設置。

vSphere相當安全，但是VMware安全漏洞仍然可能發生。尤其是在IT管理者更關注管理的便利而不是加強hypervisor、主機以及虛擬機的安全時。

為避免安全漏洞導致的混亂，VMware提供了以下五種方法確保hypervisor足夠安全：

防火墻保護VMware hypervisor安全

物理防火墻為連接到物理網絡中的服務器和設備提供保護，但是在保護連接到虛擬網絡的虛擬機時，物理防火墻并不總是有效。使用虛擬防火墻與物理防火墻相結合，確保每個層的網絡流量都被監控到并且是安全的。

有時，虛擬機網絡流量在主機內部，也就是不通過物理網絡傳輸。虛擬機之間的流量在同一個虛擬交換機（vSwitch）和端口組上傳輸時，不會經過物理網絡而只經過在主機內存中的虛擬網絡。因此，網絡流量是在物理防火墻保護區域之外的。

為了在網絡層為虛擬機提供最大化的保護，使用為虛擬基礎設施設計的安全產品，比如VMware vShield。虛擬防火墻服務使用VMsafe 應用程序接口（VMsafe API）在虛擬機的虛擬網卡層獲取并查看網絡流

明智地分配主機資源

在vSphere中實現資源控制，預防內部類似分布式拒絕服務（DDOS）攻擊。配置資源控制能夠幫助避免惡意虛擬機終止運行而導致的資源破壞。

默認情況下，所有虛擬機對主機提供的有限的資源有相同的使用權。新添加的虛擬機將競爭使用主機提供的資源以提供工作負載。因此，主機沒有策略來治理主機資源的使用。不太重要的虛擬機可能會約束重要的虛擬機使用相應的資源，這會導致重要的虛擬機崩潰，重要的虛擬機崩潰和物理服務器在分布式拒絕服務攻擊時將崩潰的情形非常像。

vSphere內置的資源控制，比如共享、限制以及預約，能夠保證或者優先保證虛擬機訪問主機資源。新的存儲I/O控制以及即將提供的網絡I/O控制特性在主機上提供了新的存儲和網絡使用控制。

你可以隔離主機資源進入池中，并把主機資源分配給選定的虛擬機，防止一個資源池中的虛擬機偷用另一個資源池中的資源。

除此之外，資源池能夠配置用來隔離主機資源，進入只能被分配給選定的虛擬機的池中。
 

擴大VMware hypervisor安全到遠程控制臺

同一時刻只允許一個用戶訪問虛擬機控制臺。當多用戶登錄時，這種設置能夠防止較低權限的用戶訪問敏感信息。

和Windows遠程桌面每個用戶獲取一個單獨的會話不同，虛擬機的遠程控制臺允許多人同時連接。如果具有較高權限的用戶登錄進入遠程控制臺，第二個登錄的用戶將獲得第一個用戶具有的較高權限，對VMware hypervisor安全來說，這可能是一個大問題。

為了避免上述風險，移除特定用戶的控制臺交互特權。你也可以把遠程管理控制臺的會話數限制限制為1，只需要在虛擬機的配置中添加這個高級配置：“RemoteDisplay.maxConnections=1”。

另一個風險是虛擬機客戶操作系統和通過遠程控制臺連接到虛擬機的計算機操作系統之間的拷貝和粘貼功能。如果某個人連接到虛擬機并且拷貝信息到虛擬機的剪切板上，那么通過遠程管理控制臺或者其他方式連接到虛擬機的任何人都可以使用剪切板上的信息。

為了避免VMware hypervisor安全的這個脆弱性，通過給虛擬機增加如下高級配置設置，禁用連接到虛擬機的計算機遠程管理控制臺的拷貝和粘貼功能：
 

通過限制特權減少VMware hypervisor的安全缺陷

在vSphere中，相比花費時間分配更多細粒度的權限，給一個用戶管理員權限既簡單又方便。但是冒著有用戶執行危險操作的風險也就是對VMware hypervisor安全進行了妥協。用戶有全部的權限能夠重新配置虛擬機，改變網絡配置，拷貝數據到數據中心或者從數據中心拷貝數據，改變權限乃至更多。

和給用戶分配所有權限相反，創建相應的角色，只包含用戶需要的權限。vSphere具有非常細粒度的權限，分為不同的類別，可以將這些類別分配給相應的角色—然后你可以把這些角色分配給用戶。

獲取正合適的權限需要進行反復試驗，因為vSphere中的一些操作可能影響多個角色。最好是開始時不分配權限，然后再增加權限，而不是移除具有所有特權的用戶的權限。這么操作能夠確保只分配所需要的權限。

在給用戶分配權限之前，創建一個測試用戶帳戶，分配給它一個角色，然后再增加相應的權限。這個步驟能夠幫助你測試權限是否分配正確。

為VMware hypervisor安全啟用鎖定模式

使用戶通過vCenter Server訪問ESXi主機，vCenter Server提供了集中的安全和日志記錄。啟用鎖定模式能夠防止用戶連接ESXi主機時繞過vCenter Server安全機制。

對管理員來說，松散管理VMware hypervisor安全使管理更簡單（舉例來說，啟用遠程Tech Support Mode），這是很常見的，但是和管理員應該做的是相違背的。管理員應該通過減少受攻擊面使ESXi更加安全，并且更好的保護虛擬機。

為了加強ESXi安全，通過vCenter Server或控制臺用戶界面在主機安全配置中啟用特別的鎖定模式。鎖定模式防止通過任何方式直接訪問主機，包括通過APIs（也就是vCLI和PowerCLI）以及vSphere客戶端。鎖定模式同樣可以封鎖本地以及遠程訪問Tech Support Mode。因此，訪問主機必須通過vCenter Server。

如果你不想如此極端，可以只禁用本地和遠程訪問Tech Support Mode。最終，相對于安全，易用性應該占次要地位。不要盲目削弱VMware hypervisor安全，以確保虛擬機被很好的保護。

【編輯推薦】

1. VMware View 4.5體驗之旅（上）
2. VMware View 4.5體驗之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現了！
4. VMware View虛擬桌面遷移：數據存儲注意事項
5. VMware View難管理？四個突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構建 親密接觸VMware View
8. VMware View進軍iPad市場 通過App Store下載