2.7 安全性
下面的小节讨论与vSphere 5安全性相关的重要特性。
2.7.1 vShield Zones
VMware vShield是一套安全虚拟用具和API,用于与vSphere一起工作,保护虚拟数据中心免遭攻击和误用。vShield Zones由一个管理器和一个虚拟用具组成,管理器提供管理界面,可进行策略部署,而虚拟用具提供如图2-14所示的安全性。这一用具自动集成到vCenter Server。各个分区(zone)和外部世界之间的所有活动都得到监控,根据采用的策略过滤网络帧。
vShield套件包括vShield Zones、vShield Edge、vShield App和vShield Endpoint。
vShield Zones:为VM之间的流量提供防火墙保护。对于每条Zones防火墙规则,你可以指定源IP、目标IP、源端口、目标端口和服务。vShield Zones是一个VM保护虚拟防火墙,采用用具的形式,也可以用于分析网络流量。利用vShield Zones,可以创建逻辑分区,例如保证互联网流量与服务器内部流量隔离的非军事区(demilitarized zone,DMZ)。因为有了vShield Zones,不再需要为DMZ创建专用的ESXi服务器。可以创建包含数百个VM的独立分区,而不需要管理复杂的vSwitch和VLAN配置。vShield Zones防火墙位于vSwitch级,使用阻止或者允许某些端口或者协议/网络流量的规则。
vShield Edge:提供网络边界安全性和网关服务,用端口组、分布式端口组或者Cisco Nexus 1000V隔离VM。vShield Edge提供常见的网关服务,如动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、虚拟专用网(Virtual Private Networking,VPN)、网络地址转换(Network area Translation,NAT)以及负载均衡,将独立的末端网络连接到共享的上联网络。vShield Edge的常见部署包括DMZ、VPN外联网和多租户云环境,为虚拟数据中心(Virtual Datacenter,VDC)提供边界安全性。
vShield App:一个内部vNIC级防火墙,允许你创建访问控制策略而无需考虑网络拓扑。vShield App监控ESXi主机所有出站和入站流量,包括同一个端口组的VM之间的流量。vShield App包括流量分析和基于容器的策略创建。
vShield Endpoint:一个基于内省的防病毒解决方案。vShield Endpoint使用虚拟化管理器从外部扫描客户VM,不需要代理。vShield Endpoint避免资源瓶颈,同时优化内存的使用。
2.7.2 需要监控的组件
从安全的角度看,下列ESX组件必须受到监控:
虚拟化层
虚拟机
网络
1.虚拟化层安全性
VMkernel专用于支持VM,而不用于任何其他目的。VMkernel接口严格地限制在用于管理VM的API。VMkernel的保护已经得到加强,以保证其完整性。磁盘保护和完整性技术利用了硬件之素,如可信任平台模块(Trusted Platform Module,TPM)。
2.虚拟机安全性
VM互相隔离。这确保多个VM即使在共享物理资源的情况下仍能并发而安全地运行。如果一个VM崩溃或者遭到病毒感染,其他VM不会受到影响。
3.网络安全性
网络是所有系统中最敏感和最脆弱的元素之一,它必须得到保护。VM在共享服务器资源(CPU内存)方面是相互隔离的,但是可能通过网络进行通信。和任何物理网络一样,网络的这部分必须用VLAN、DMZ等技术加强安全。还可以在vSwitch端口组级别上配置和实施安全策略。
2.8 发展的解决方案
VMware解决方案是行业中最为成熟和成功的。在1998年,它曾经为机构部署和管理服务器的方法带来变革。从简单的虚拟化管理器开始,VMware已经构建一个全面的产品系列,远远超出了基础的虚拟化管理器。有了组成VM的许多组件,管理工具变得至关重要,VMware在这个领域也是出类拔萃的。
vSphere 5.0是一个云操作系统,也是构建虚拟数据中心的基础。它虚拟化了整个IT基础架构,如服务器、存储和网络,集合这些异构资源,并将这些缺乏灵活性的基础架构转化为虚拟化环境中简单且可以统一管理的一组元素。
你可能会认为,具有如此之多的特性,VMware ESXi的规模肯定很大。但ESXi 5的大小只有144MB。VMware已经尽可能地从虚拟化管理器中删除多余的代码,减少攻击面,从而改进安全性。看到这样高级的设计,就不难理解VMware vSphere持续地在这个市场上占据绝对的领先地位。