首页 > 代码库 > 【VMware虚拟化解决方案】浅议VMware虚拟化环境下的安全策略
【VMware虚拟化解决方案】浅议VMware虚拟化环境下的安全策略
浅议VMware虚拟化环境下的安全策略
刘志勇
通过多年的发展,VMware在虚拟化市场处于领军地位,很多企业部署了VMware虚拟化方案,笔者所在的企业同样也不例外。
经过多年来的信息化建设,出于对安全防护的高度重视,为了物理边界和终端安全,企业部署了安全系统,包含了安全网关、应用防护、防病毒软件等等。
但是,企业在信息化建设大量应用了VMware虚拟化的方案,虽然早先做到了物理边界和终端安全,但虚拟化系统的主机漏洞防护却面临着挑战,本文作者就尝试阐述在VMware虚拟化环境下如何制定安全策略。
企业现有十几台架式服务器、刀片服务器、存储硬件,通过VMware虚拟化进行部署,承载着企业众多信息化应用,涵盖Windows Server和Linux两大平台。由于操作系统包括各种数据库、中间件等都存在安全漏洞的可能性,跟其所在的服务器是物理的还是虚拟的并没有关系,通过这些漏洞,骇客和病毒、木马程序等都会通过未修补的漏洞来攻击服务器。
那么会有什么样的潜在风险呢?
答案是兼容性问题。如果采用传统方法——打实体补丁,需要确认补丁与应用软件的兼容性,而且很多Windows平台的补丁都要重启服务器,如果和每月微软发布的安全补丁同步不太现实,尤其对于业务量极大的、24x7全天候的应用系统。
针对虚拟化环境下的主机安全,网管员要用虚拟化的眼光来思考。如果按照传统方式来部署服务器的安全软件的话,安全软件是非常非常耗费资源的,特别是扫描、更新尤为如此。
所幸的是,VMware的虚拟交换机——VMware vSwitch,通过一些设置的变更,它能在最大限度保护虚拟基础设施的安全。
只要配置好VMware vSwitch安全策略,就可以在保证在安全最大化的同时,兼顾了兼容性、性能的问题。
不过默认情况下,VMware vSwitch的设定,是针对可用性而非安全性。通过一些设置的变更,就可以提高虚拟机的安全等级,降低了网络攻击的风险。
本文就阐述怎么在VMware环境下进行安全方面的策略设置。
决定配置之前,要评估最危险的环节。一般来说,那些为外界服务的虚拟主机是最脆弱的环节,必须加固、加强保护。虚拟网卡从OS层面来看,跟物理网卡是完全相同,针对物理网卡发动的D.D.o.S也会发生在虚拟网卡。
vSwitch可以限制接口上允许通过的最大网络流量,也有一些阻止恶意行为的措施,本文将讲述如何在vSwitch进行安全配置。
运行vSphere Client,进入主机的配置标签页,选择硬件列表中的网络连接,显示vSwitch当前的配置,然后在要配置的vSwitch上选择属性,在弹出的新窗口中,选择要配置安全设定的端口,点击编辑按钮,接着点击安全标签页,就会看到所选端口上的一些设定。
在vSwitch中,有三个安全策略可以考虑,笔者将分别详细阐述。
混杂模式(Promiscuous Mode)
混杂模式默认是关闭的。该模式会允许主机拦截、监测网卡经过虚拟交换机发送给其他节点所有的流量,用于分析网络中所有的活动,进行安全分析。要注意,这个模式会影响网络性能,除非进行安全分析,不建议开启混杂模式。
Mac地址变化(MAC Address Changes)
指定是否允许改变虚拟网卡的MAC地址。缺省是允许的,这表示允许虚拟机的OS变更MAC地址,应用于这类场合之下:连接iSCSI存储区域网络;启用网络负载均衡等等,该特性对网管员很有帮助。但是如果网络环境中没有这些场景的话,笔者建议关闭之,因为黑客有可能会通过改变MAC地址或者伪造虚拟主机的IP地址,发起攻击。关闭后就杜绝这种可能性。
欺骗传输(Forged Transmits)
这个特性缺省是开启的,它的作用是设置是允许是否拒绝欺骗传输,这个作用有什么意义?一般来说是用于软件授权相关问题,在企业中,往往有类似这样的场合:物理主机上的软件只授权给指定的MAC地址的主机,禁止在虚拟机上违法运行,因为两者的MAC地址不同。要想在虚拟主机上也使用这款软件,那么就在vSwitch开启欺骗传输特性,通过伪造虚拟主机的MAC地址来“合法”使用软件。工作机理是如果设置为拒绝(Reject)时,虚拟机将会对比数据包的源MAC地址和其网卡的真实MAC地址,是否匹配,否则,ESXi主机将为阻止虚拟机发送流量而丢弃这些数据包。
笔者建议应将欺骗传输设置为拒绝,因为如果网管员的安全策略是授权指定MAC地址访问网络,则黑客可能会通过这一特性,将自己未授权的MAC地址修改为已授权的MAC地址,从而带来极大的安全隐患。
流量整形(Traffice Shaping)
流量整形在安全标签页(Security)的右侧Traffic Shaping。你可以在这里设置是否允许流量整形,如果允许的话,设置限定连接到vSwitch虚拟网卡的可用带宽。对于防止D.D.o.S和D.o.S有一定的防御作用——限定平均带宽、最大带宽和突发值可以防止某一个节点占用交换机和网络的所有带宽。这个设定只是为每个网络接口设定限制值,并不会影响网络的整体性能。
信息技术的发展一日千里,企业信息化建设的虚拟化时代是全球的趋势。在新的技术体系架构下考虑企业网络的安全,是每一个网管员的责任。面对新技术和新架构带来的挑战,网管员们面对最新的网络安全威胁,就必须分析并掌握最新的技术原理,审视企业的网络安全体系,才能让信息技术更好服务企业的建设和发展。
本文出自 “✟lzy's blog” 博客,谢绝转载!