作者:佚名 2017-06-12 08:47:14
云计算
虚拟化 VMware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性,并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。
专注于为中小企业提供成都网站建设、网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业班戈免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了近1000家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
VMware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性,并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。
管理员可以使用这些vSphere安全工具阻止非授权窥探、篡改虚拟机,并接收更详细的可能意味着是恶意活动的变更告警,结果就是能够更快地牵制并纠正恶意行为。
与任何新特性一样,了解其使用要求、对新行为进行测试以积累经验、识别并解决任何部署问题—尤其是针对vSphere安全性而言更是如此—并在生产环境中部署新特性之前建立管理流程是很重要的。
对微软Windows或者VMware ESXi操作系统进行未授权的变更或修改可能意味着严重的安全违规,但如果没有进行精心的扫描以及其他仔细的调查可能很难甚至无法发现上述行为。
使用ESXi安全引导改进vSphere安全性
一种正在涌现出来的在操作系统启动时保护其完整性的方法是通过可信源,如数字证书对内核进行验证。统一可扩展固件接口(UEFI)固件提供的安全引导特性能够验证操作系统内核以及其他组件的数字签名,与包含在UEFI固件中受信的数字证书进行对比。
通常情况,支持UEFI安全引导的主要操作系统组件都会有签名。这可能包括引导程序、内核以及驱动。微软提供了一些适合引导Windows以及某些第三方代码比如Linux引导程序的UEFI认证。VMware还提供了在虚拟机内引导ESXi的证书。在启动时,如果证书与签名相匹配,那么操作系统会被认为是经过确认的,能够继续启动。
VMware vSphere安全性使用ESXi安全引导进一步应用了这一验证过程,针对所有ESXi组件增加了密码验证。其想法是ESXi由一系列数字签名包构成,被整合到vSphere安装包(VIB)中。一旦UEFI安全引导对ESXi内核进行了验证,ESXi内核将会使用某些数字证书对每个VIB进行验证—确保虚拟机内的所有ESXi组件完整、未被篡改。
如何部署ESXi安全引导
当主机操作系统安装了UEFI固件,虚拟机操作系统支持UEFI安全引导,并且hypervisor支持版本号为13或更高版本的虚拟硬件时,你可以在vSphere Web Client中部署ESXi安全组件。
选中目标虚拟机,打开编辑设置对话框,确认固件被设置为EFI—不是UEFI—检查启用安全引导复选框,然后选择确定。
满足了所有必要条件后,你需要在启用安全引导前关闭虚拟机。在启用安全引导后必须重启虚拟机,这样安全引导才能够生效。
记住一旦启用了ESXi安全引导,只有带有合法制造商签名的操作系统组件才能够引导。如果签名丢失或者任一操作系统组件不合法,那么虚拟机引导过程将会中断并返回错误—无法强制安装未签名的操作系统组件。
生产环境尝试启用安全引导前在测试环境进行安全引导测试是个不错的主意。这允许IT管理员更高效地进行故障诊断并修复可能存在的安全错误。
新闻标题:ESXi安全引导如何提升vSphere安全性?
URL分享:http://www.gawzjz.com/qtweb/news45/178745.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联