防止 VMware 服务器出现安全漏洞的十种简单方法

VMware 是领先的虚拟化产品开发商之一。虚拟化有助于充分利用硬件资源。实施和管理 VMware 基础架构非常简单，并通过简化的灾难恢复解决方案提供卓越的性能、高可用性和业务连续性。大多数关键应用程序（例如 Exchange、SQL 或 SharePoint）都存在于 VMware 环境中，因此保护其免受安全漏洞非常重要。以下是保护 VMware 服务器的十种简单方法：

1.在高安全模式下安装VMware(ESXi)

默认情况下，它应用 ESXi 主机上的所有安全设置。通过这些设置，敏感数据永远不会以明文形式发送，并且所有流量都会被加密。

2.在 VMware 控制台上应用限制

仅允许管理员连接到虚拟机控制台并对其进行管理；应限制用户访问。如果需要，可以使用基于角色的访问模型来提供“来宾操作系统所有者”权限。这允许用户仅登录和管理他们拥有的虚拟机。与 Active Directory 集成的身份验证可以更轻松地创建本地帐户并检测这些帐户是否被滥用。

3.保护来宾虚拟机

使用最新的服务包和补丁进行更新。通过消除不必要的服务和端口来加强服务器的安全性。使用最新的防病毒软件版本进行更新，并确保启用默认服务器防火墙。

4.使用VLAN限制对VM主机和Guest机器的访问

将虚拟机主机和来宾计算机放置到单独的 VLAN 中来保护它们非常重要。如果入侵者进入访客计算机，则很容易连接到另一台主机或访客计算机（如果它们都位于同一网络中）。

5.启用远程系统日志

将 VMware 服务器配置为使用远程系统日志服务器转发系统日志消息。它有助于在集中位置维护日志，还有助于确定 VMware 基础架构的运行状况和状态。监控可帮助管理员积极主动并遵守合规性法规（例如 PCI DSS、HIPAA 和 SOX 等），这些法规需要集中式日志记录系统。

6.限制未经授权的设备连接

限制未经授权的设备连接到主机，并防止用户从访客计算机内连接设备。始终断开未使用的物理设备与主机的连接。例如。连接到主机的 USB 设备可以被任何客户机访问。如果它包含业务关键信息或未扫描的防病毒软件，数据丢失几乎是不可避免的。

7.记录环境

记录环境架构，详细说明每台主机和来宾计算机上的配置。这也称为配置管理。实施的任何更改在应用之前都会经过彻底测试。确保在成功更改后立即更新文档。对环境进行任何更改时制定回滚计划也是一个很好的做法。

8.加密虚拟机

对存储在虚拟机上的数据进行加密，以防止未经授权的使用。在虚拟机上拍摄的快照也应该加密。

9.加密远程控制连接

作为默认安装过程的一部分，ESXi 服务器会自动对证书进行自签名。这些证书容易受到中间人攻击。要加密远程控制连接并正确使用证书，请安装由有效内部证书颁发机构签名的新证书或从受信任的证书颁发机构购买证书。

10.通过 SSH 禁用根级别访问

默认情况下禁用 SSH 远程访问。如果启用 SSH 远程 root 登录，您可以跟踪 root 登录的发起位置，但无法跟踪谁使用 root 帐户登录或执行了哪些命令。因此，建议禁用 SSH 远程 root 登录访问。 SU 登录时执行的任何命令都会被记录。 或者，您也可以使用 sudo 命令，该命令允许普通用户以 root 权限运行命令。

VMware平台支持越来越多的关键业务应用程序。 VMware 知识是 IT 管理员的常用技能之一，了解该流程以及如何保护 VMware 环境免受安全威胁对于他们来说非常重要。

请毫不犹豫地了解如何避免 Active Directory、Exchange 2010、File Server 2012、Windows Server 2012 和 SharePoint 中的安全漏洞。