ESXi安全引導如何提升vSphere安全性？

作者：佚名 2017-06-12 08:47:14

云計算

虛擬化 VMware vSphere 6.5增加了很多功能旨在改進虛擬機的安全性，并采用日志、報表以及被稱為ESXi安全引導以及虛擬機安全引導的新特性增強安全細節(jié)信息。

專注于為中小企業(yè)提供成都網(wǎng)站建設、網(wǎng)站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)班戈免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了近1000家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

VMware vSphere 6.5增加了很多功能旨在改進虛擬機的安全性，并采用日志、報表以及被稱為ESXi安全引導以及虛擬機安全引導的新特性增強安全細節(jié)信息。

管理員可以使用這些vSphere安全工具阻止非授權窺探、篡改虛擬機，并接收更詳細的可能意味著是惡意活動的變更告警，結果就是能夠更快地牽制并糾正惡意行為。

與任何新特性一樣，了解其使用要求、對新行為進行測試以積累經(jīng)驗、識別并解決任何部署問題—尤其是針對vSphere安全性而言更是如此—并在生產(chǎn)環(huán)境中部署新特性之前建立管理流程是很重要的。

對微軟Windows或者VMware ESXi操作系統(tǒng)進行未授權的變更或修改可能意味著嚴重的安全違規(guī)，但如果沒有進行精心的掃描以及其他仔細的調(diào)查可能很難甚至無法發(fā)現(xiàn)上述行為。

使用ESXi安全引導改進vSphere安全性

一種正在涌現(xiàn)出來的在操作系統(tǒng)啟動時保護其完整性的方法是通過可信源，如數(shù)字證書對內(nèi)核進行驗證。統(tǒng)一可擴展固件接口(UEFI)固件提供的安全引導特性能夠驗證操作系統(tǒng)內(nèi)核以及其他組件的數(shù)字簽名，與包含在UEFI固件中受信的數(shù)字證書進行對比。

通常情況，支持UEFI安全引導的主要操作系統(tǒng)組件都會有簽名。這可能包括引導程序、內(nèi)核以及驅(qū)動。微軟提供了一些適合引導Windows以及某些第三方代碼比如Linux引導程序的UEFI認證。VMware還提供了在虛擬機內(nèi)引導ESXi的證書。在啟動時，如果證書與簽名相匹配，那么操作系統(tǒng)會被認為是經(jīng)過確認的，能夠繼續(xù)啟動。

VMware vSphere安全性使用ESXi安全引導進一步應用了這一驗證過程，針對所有ESXi組件增加了密碼驗證。其想法是ESXi由一系列數(shù)字簽名包構成，被整合到vSphere安裝包(VIB)中。一旦UEFI安全引導對ESXi內(nèi)核進行了驗證，ESXi內(nèi)核將會使用某些數(shù)字證書對每個VIB進行驗證—確保虛擬機內(nèi)的所有ESXi組件完整、未被篡改。

如何部署ESXi安全引導

當主機操作系統(tǒng)安裝了UEFI固件，虛擬機操作系統(tǒng)支持UEFI安全引導，并且hypervisor支持版本號為13或更高版本的虛擬硬件時，你可以在vSphere Web Client中部署ESXi安全組件。

選中目標虛擬機，打開編輯設置對話框，確認固件被設置為EFI—不是UEFI—檢查啟用安全引導復選框，然后選擇確定。

滿足了所有必要條件后，你需要在啟用安全引導前關閉虛擬機。在啟用安全引導后必須重啟虛擬機，這樣安全引導才能夠生效。

記住一旦啟用了ESXi安全引導，只有帶有合法制造商簽名的操作系統(tǒng)組件才能夠引導。如果簽名丟失或者任一操作系統(tǒng)組件不合法，那么虛擬機引導過程將會中斷并返回錯誤—無法強制安裝未簽名的操作系統(tǒng)組件。

生產(chǎn)環(huán)境嘗試啟用安全引導前在測試環(huán)境進行安全引導測試是個不錯的主意。這允許IT管理員更高效地進行故障診斷并修復可能存在的安全錯誤。

新聞名稱：ESXi安全引導如何提升vSphere安全性？
URL鏈接：http://m.fisionsoft.com.cn/article/dhiohdc.html