提高vmware vsphere 安全性建議

強化通路控制、制定嚴格的角色和權限劃分

遵循角色和權限的最佳做法可充分提高 vCenter Server 環境的安全性和易管理性。在 vCenter Server 環境中配置角色和權限時，請遵循以下最佳做法：

• 盡量向組配置設定角色，而不要向單個使用者配置設定角色。
• 僅授予對被需要對象的權限，僅向必須擁有特權的使用者或組配置設定特權。使用最少權限數以使了解和管理權限結構變得更容易。
• 如果要為組配置設定限制性角色，請檢查該組是否不包括管理者使用者或其他具有管理特權的使用者。否則，您可能無意識地限制了部厘清單層次結構（已從中向該組配置設定了限制性角色）中管理者的特權。
• 使用檔案夾對對象進行分組。例如，要授予對一組主機的修改權限并授予對另一組主機的檢視權限，請将各組主機置于一個檔案夾中。
• 考慮向對象配置設定權限時啟用傳播功能。傳播可確定對象層次結構中的新對象繼承權限。例如，可以将權限配置設定給虛拟機檔案夾并啟用傳播，以確定權限應用于該檔案夾中的所有虛拟機。
• 使用“無權通路”角色屏蔽層次結構的特定區域。“無權通路”角色會限制具有該角色的使用者或組的通路權限。

esxi主機安全 配置建議

可如下降低主機的風險：

• 将ESXi Shell 和 SSH 處于禁用狀态。
• 打開有限的防火牆端口數目。可以明确打開與特定服務關聯的額外防火牆端口。
• ESXi 僅運作管理其功能所不可或缺的服務。分發僅限于運作 ESXi 所需的功能。
• 預設情況下，對主機進行管理通路時無需使用的所有端口均處于關閉狀态。需要其他服務時，可以打開端口。
• 預設情況下，弱密碼被禁用，來自用戶端的通信将通過 SSL 進行保護。用于保護通道安全的确切算法取決于 SSL 握手。在 ESXi 上建立的預設證書會使用帶有 RSA 加密的 PKCS#1 SHA-256 作為簽名算法。
• VMware 監控可能影響 ESXi 安全的所有安全警示，并根據需要釋出安全修補程式，定期根據安全修補公告對esxi主機進行版本更新更新更新檔，僅使用 VMware 源來更新 ESXi 元件。
• 如果必須使用不安全的服務，且已為主機實施了充分的保護措施，則可以明确打開相應端口以支援這些服務。
• 限制通路

啟用對直接控制台使用者界面 (DCUI)、 ESXi Shell 或 SSH 的通路，請實施嚴格的通路安全政策。

ESXi Shell 具有通路主機的某些部分的特權。隻向信任的使用者提供 ESXi Shell 登入通路權限。

請勿直接通路受管主機

使用 vSphere Client 來管理受 vCenter Server 管理的 ESXi 主機。切勿使用 VMware Host Client 直接通路受管主機，且不要從 DCUI 更改受管主機。

僅将 DCUI 用于進行故障排除

以 root 使用者身份從 DCUI 或 ESXi Shell 通路主機僅能進行故障排除。使用任一 GUI 用戶端或任一 VMware CLI 或 API 管理 ESXi 主機。如果使用 ESXi Shell 或 SSH，則限制具有通路權限的帳戶并設定逾時。

vCenter系統安全建議

遵循確定 vCenter Server 系統安全的所有最佳做法，進而確定 vCenter Server Appliance 安全。下述額外步驟将有助于提高裝置的安全性。

• 配置 NTP

確定所有系統使用相同的相對時間源。此時間源必須與商定的時間标準（如協調世界時，UTC）同步。系統同步對于證書驗證至關重要。使用 NTP，還可以更輕松地跟蹤日志檔案中的入侵者。錯誤的時間設定難以檢查和關聯日志檔案以檢測攻擊，使得稽核不準确。

• 限制 vCenter Server Appliance 網絡通路，限制對與 vCenter Server Appliance 通信所需的元件進行通路。阻止不必要的系統通路可降低作業系統遭受攻擊的可能性。通過vcenterf防火牆功能配置允許通路白名單。
• 針對VCSA禁用禁用DCUI、禁用SSH 、禁用控制台CLI、bashsahell等，隻在對vcenter系統進行故障維護時打開。

虛拟機安全配置建議

遵循虛拟機安全性最佳做法有助于確定 vSphere 部署的完整性。

• 虛拟機在大多數情況下等同于實體伺服器。在虛拟機中采用與實體系統相同的安全措施。
• 在虛拟機上手動安裝客戶機作業系統和應用程式時，會帶來配置錯誤的風險。通過使用模闆捕捉未安裝任何應用程式的強化基礎作業系統映像，可以確定通過已知的安全基準級别建立所有虛拟機。
• 虛拟機控制台為虛拟機提供的功能與實體伺服器上的螢幕相同。具有虛拟機控制台通路權限的使用者可以通路虛拟機電源管理和可移除的裝置連接配接控制。是以，控制台通路權限可能造成對虛拟機的惡意攻擊。
• 防止虛拟機取代資源

當一個虛拟機消耗過多主機資源而使主機上的其他虛拟機無法執行其預期功能時，可能會出現拒絕服務 (DoS)。為防止虛拟機造成 DoS 問題，請使用主機資源管理功能（例如設定份額和使用資源池）。

• 禁用虛拟機中不必要的功能

虛拟機中運作的任何服務都有可能引發攻擊。通過禁用支援系統上運作的應用程式或服務非必需的系統元件，可以降低這種風險。

vsphere網絡安全建議

• 確定僅授權管理者可以使用基于角色的通路控制來通路虛拟網絡連接配接元件。例如，虛拟機管理者隻能通路其虛拟機駐留的端口組。網絡管理者可以通路所有虛拟網絡連接配接元件，但不能通路虛拟機。限制通路可降低意外或惡意配置錯誤的風險，并強制執行職責分離和最小特權的主要安全概念。
• 確定未将端口組配置為本機 VLAN 的值。實體交換機通常配置一個本機 VLAN，預設情況下，該本機 VLAN 通常為 VLAN 1。ESXi 沒有本機 VLAN。在端口組中指定了 VLAN 的幀具有标記，而在端口組中未指定 VLAN 的幀則沒有标記。此配置可能會導緻出現問題，因為标記為 1 的虛拟機最終會屬于實體交換機的本機 VLAN。
• 確定未将端口組配置為上遊實體交換機預留的 VLAN 值。實體交換機預留了某些 VLAN ID 以供内部使用，并且通常會禁止接收配置為這些值的流量。例如，Cisco Catalyst 交換機通常會預留 VLAN 1001–1024 和 4094。使用預留的 VLAN 可能會導緻網絡上出現拒絕服務問題。
• 確定未将端口組配置為 VLAN 4095（采用虛拟客戶機标記 (VGT) 時除外）。将端口組設定為 VLAN 4095 會激活 VGT 模式。在此模式下，虛拟交換機會将所有網絡幀傳遞給虛拟機，而不會修改 VLAN 标記，相反，它會将其留給虛拟機進行處理。
• 限制分布式虛拟交換機上的端口級配置替代。預設情況下，端口級配置替代處于禁用狀态。如果啟用了替代，則可以為虛拟機使用與端口組級設定不同的安全設定。某些虛拟機需要采用唯一配置，但必須進行監控。如果不對替代進行監控，則在虛拟機采用安全性較低的分布式虛拟交換機配置時，任何使用者隻要能夠通路該虛拟機，就可能試圖利用該通路權限漏洞。