提高vmware vsphere 安全性建议

强化访问控制、制定严格的角色和权限划分

遵循角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。在 vCenter Server 环境中配置角色和权限时，请遵循以下最佳做法：

• 尽量向组分配角色，而不要向单个用户分配角色。
• 仅授予对被需要对象的权限，仅向必须拥有特权的用户或组分配特权。使用最少权限数以使了解和管理权限结构变得更容易。
• 如果要为组分配限制性角色，请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则，您可能无意识地限制了部分清单层次结构（已从中向该组分配了限制性角色）中管理员的特权。
• 使用文件夹对对象进行分组。例如，要授予对一组主机的修改权限并授予对另一组主机的查看权限，请将各组主机置于一个文件夹中。
• 考虑向对象分配权限时启用传播功能。传播可确保对象层次结构中的新对象继承权限。例如，可以将权限分配给虚拟机文件夹并启用传播，以确保权限应用于该文件夹中的所有虚拟机。
• 使用“无权访问”角色屏蔽层次结构的特定区域。“无权访问”角色会限制具有该角色的用户或组的访问权限。

esxi主机安全 配置建议

可如下降低主机的风险：

• 将ESXi Shell 和 SSH 处于禁用状态。
• 打开有限的防火墙端口数目。可以明确打开与特定服务关联的额外防火墙端口。
• ESXi 仅运行管理其功能所不可或缺的服务。分发仅限于运行 ESXi 所需的功能。
• 默认情况下，对主机进行管理访问时无需使用的所有端口均处于关闭状态。需要其他服务时，可以打开端口。
• 默认情况下，弱密码被禁用，来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。
• VMware 监控可能影响 ESXi 安全的所有安全警示，并根据需要发布安全修补程序，定期根据安全修补公告对esxi主机进行版本更新更新补丁，仅使用 VMware 源来升级 ESXi 组件。
• 如果必须使用不安全的服务，且已为主机实施了充分的保护措施，则可以明确打开相应端口以支持这些服务。
• 限制访问

启用对直接控制台用户界面 (DCUI)、 ESXi Shell 或 SSH 的访问，请实施严格的访问安全策略。

ESXi Shell 具有访问主机的某些部分的特权。只向信任的用户提供 ESXi Shell 登录访问权限。

请勿直接访问受管主机

使用 vSphere Client 来管理受 vCenter Server 管理的 ESXi 主机。切勿使用 VMware Host Client 直接访问受管主机，且不要从 DCUI 更改受管主机。

仅将 DCUI 用于进行故障排除

以 root 用户身份从 DCUI 或 ESXi Shell 访问主机仅能进行故障排除。使用任一 GUI 客户端或任一 VMware CLI 或 API 管理 ESXi 主机。如果使用 ESXi Shell 或 SSH，则限制具有访问权限的帐户并设置超时。

vCenter系统安全建议

遵循确保 vCenter Server 系统安全的所有最佳做法，进而确保 vCenter Server Appliance 安全。下述额外步骤将有助于提高设备的安全性。

• 配置 NTP

确保所有系统使用相同的相对时间源。此时间源必须与商定的时间标准（如协调世界时，UTC）同步。系统同步对于证书验证至关重要。使用 NTP，还可以更轻松地跟踪日志文件中的入侵者。错误的时间设置难以检查和关联日志文件以检测攻击，使得审核不准确。

• 限制 vCenter Server Appliance 网络访问，限制对与 vCenter Server Appliance 通信所需的组件进行访问。阻止不必要的系统访问可降低操作系统遭受攻击的可能性。通过vcenterf防火墙功能配置允许访问白名单。
• 针对VCSA禁用禁用DCUI、禁用SSH 、禁用控制台CLI、bashsahell等，只在对vcenter系统进行故障维护时打开。

虚拟机安全配置建议

遵循虚拟机安全性最佳做法有助于确保 vSphere 部署的完整性。

• 虚拟机在大多数情况下等同于物理服务器。在虚拟机中采用与物理系统相同的安全措施。
• 在虚拟机上手动安装客户机操作系统和应用程序时，会带来配置错误的风险。通过使用模板捕捉未安装任何应用程序的强化基础操作系统映像，可以确保通过已知的安全基准级别创建所有虚拟机。
• 虚拟机控制台为虚拟机提供的功能与物理服务器上的监视器相同。具有虚拟机控制台访问权限的用户可以访问虚拟机电源管理和可移除的设备连接控制。因此，控制台访问权限可能造成对虚拟机的恶意攻击。
• 防止虚拟机取代资源

当一个虚拟机消耗过多主机资源而使主机上的其他虚拟机无法执行其预期功能时，可能会出现拒绝服务 (DoS)。为防止虚拟机造成 DoS 问题，请使用主机资源管理功能（例如设置份额和使用资源池）。

• 禁用虚拟机中不必要的功能

虚拟机中运行的任何服务都有可能引发攻击。通过禁用支持系统上运行的应用程序或服务非必需的系统组件，可以降低这种风险。

vsphere网络安全建议

• 确保仅授权管理员可以使用基于角色的访问控制来访问虚拟网络连接组件。例如，虚拟机管理员只能访问其虚拟机驻留的端口组。网络管理员可以访问所有虚拟网络连接组件，但不能访问虚拟机。限制访问可降低意外或恶意配置错误的风险，并强制执行职责分离和最小特权的主要安全概念。
• 确保未将端口组配置为本机 VLAN 的值。物理交换机通常配置一个本机 VLAN，默认情况下，该本机 VLAN 通常为 VLAN 1。ESXi 没有本机 VLAN。在端口组中指定了 VLAN 的帧具有标记，而在端口组中未指定 VLAN 的帧则没有标记。此配置可能会导致出现问题，因为标记为 1 的虚拟机最终会属于物理交换机的本机 VLAN。
• 确保未将端口组配置为上游物理交换机预留的 VLAN 值。物理交换机预留了某些 VLAN ID 以供内部使用，并且通常会禁止接收配置为这些值的流量。例如，Cisco Catalyst 交换机通常会预留 VLAN 1001–1024 和 4094。使用预留的 VLAN 可能会导致网络上出现拒绝服务问题。
• 确保未将端口组配置为 VLAN 4095（采用虚拟客户机标记 (VGT) 时除外）。将端口组设置为 VLAN 4095 会激活 VGT 模式。在此模式下，虚拟交换机会将所有网络帧传递给虚拟机，而不会修改 VLAN 标记，相反，它会将其留给虚拟机进行处理。
• 限制分布式虚拟交换机上的端口级配置替代。默认情况下，端口级配置替代处于禁用状态。如果启用了替代，则可以为虚拟机使用与端口组级设置不同的安全设置。某些虚拟机需要采用唯一配置，但必须进行监控。如果不对替代进行监控，则在虚拟机采用安全性较低的分布式虚拟交换机配置时，任何用户只要能够访问该虚拟机，就可能试图利用该访问权限漏洞。