虚拟化安全基础知识

虚拟化安全是综合安全策略的重要组成部分。在当今超过 80% 虚拟化的环境中，虚拟化安全需要应用于所有层——物理层、虚拟层和云层。本文解释了您需要了解的一些关键流程和配置策略：

• 最重要的虚拟化安全问题

  • 外部攻击
• 在虚拟机上保留快照
• 在虚拟机和主机之间共享文件，或在主机和远程控制台之间复制粘贴
• 虚拟机蔓延
• 病毒、勒索软件和其他恶意软件

最重要的虚拟化安全问题

外部攻击

如果攻击者获得对您的主机级或 VMware vCenter 服务器的访问权限，这将为他们访问其他重要虚拟机打开大门，甚至创建具有管理员权限的用户帐户，该帐户可在很长一段时间内用于收集或破坏敏感公司数据。

在虚拟机上保留快照

快照只能保留很短的时间。攻击者或恶意内部人员可以从快照中收集有价值的数据。

在虚拟机和主机之间共享文件，或在主机和远程控制台之间复制粘贴

默认情况下，虚拟机和主机之间的文件共享被禁用，虚拟机和远程管理控制台之间的复制粘贴也是如此。虽然可以使用高级 ESXi 主机系统设置覆盖这些默认值，但不建议这样做。获得管理控制台访问权限的攻击者将能够在虚拟环境之外复制敏感数据或将恶意软件引入虚拟机。

虚拟机蔓延

另一个重要的安全风险是虚拟机的激增，这通常是由于开发人员或 IT 管理员出于测试目的创建虚拟机但在测试期结束后未能删除它们而造成的。事实上，虚拟机的创建非常容易，以至于 IT 团队面临着跟踪虚拟机数量以及部署时间和地点的艰巨挑战。因此，这些虚拟机通常未打补丁且未受到保护。除了漏洞之外，它们还消耗宝贵的硬件和其他资源。使用虚拟机库存报告软件定期进行适当的生命周期管理是控制虚拟机蔓延的最佳方法。

病毒、勒索软件和其他恶意软件

虚拟机容易受到多种不同类型的攻击。最常见的一种是勒索软件，例如 Cryptolocker。定期对异地数据进行备份非常重要，因为异地数据无法加密；如果没有备份，您可能需要向黑客付费以提供解密密钥。然而，即使有适当的备份管理，恢复许多虚拟机也是困难且耗时的。因此，您还应该定期培训所有用户，以尽量减少引入勒索软件的风险。

确保虚拟环境安全的最佳实践

遵循一般安全最佳实践至关重要。此外，以下是正确保护虚拟环境的两个最重要的策略：

使用命名用户和最小权限

对于日常用途，请确保仅使用非 root 用户帐户连接到 ESXi 主机。在 vCenter Server 中创建指定管理员用户，并为特定用户分配管理员角色，以便您可以准确确定哪个用户在什么时间登录到哪个主机等，并让他们对您的环境所做的更改负责。

最大限度地减少打开的 ESXi 防火墙端口数量

坚持使用默认端口设置。打开更多端口会扩大攻击面，从而增加虚拟网络受到威胁的风险。

确保基础设施所有部分的安全

基础设施的所有部分都必须得到适当的保护，从物理基础设施（主机、交换机、路由器、物理存储）到虚拟基础设施和来宾操作系统，以及您使用的任何云环境。尤其：

• 主机应安装最新的固件，虚拟化基础设施（VMware vSphere 或 Microsoft Hyper-V）应安装最新的安全补丁。让虚拟机上的 VMware 工具保持最新也很重要。
• 所有活动网络元件（交换机、路由器、用于平衡工作负载的负载平衡器等）都应部署最新的固件。
• 每个操作系统都应该通过自动更新进行全面修补。补丁安装应安排在工作时间之外并自动重新启动。
• 安装专为虚拟化环境设计的适当的防病毒和反恶意软件解决方案。

拥有强大的备份和灾难恢复 (DR) 计划

无论您是遭受恶意软件攻击还是飓风导致生产数据中心瘫痪，适当的备份和灾难恢复计划对于确保业务连续性至关重要。在远程数据中心或云中拥有灾难恢复站点有助于降低长时间停机的风险。在创建灾难恢复计划时，请记住以下两个重要提示：

• 备份虚拟机和物理服务器 - 虽然无法备份 ESXi 本身，但可以通过 VMware 命令行和脚本应用程序备份其配置电源 CLI。如今，您可以使用相同的工具来备份运行 Windows 或 Linux 的物理系统以及运行任何操作系统的虚拟机。
• 使用 3-2-1 备份规则 - 创建并保留至少 3 个数据副本，并将 2 个备份副本存储在不同的存储介质上，其中 1 个位于异地。
• 考虑复制 - 为了获得更多灾难恢复保护，您可以将生产虚拟机复制到另一个数据中心，如果需要，您可以快速故障转移到该数据中心。

保护您环境的虚拟化安全工具

防病毒和反恶意软件

我推荐 TrendMicro，它与 VMware 具有良好的集成，并为同时拥有本地和云（Amazon AWS 或 Microsoft Azure）环境的组织提供混合云安全性。趋势科技的趋势科技深度安全防护软件在虚拟机管理程序级别运行，并在来宾操作系统中安装一个小型代理。它提供可选的集成防火墙、入侵防御系统 (IPS) 以及在代理级别运行的完整性监控。它是一种端到端的一体化解决方案，具有单一仪表板和远程部署功能，因此您可以从一个位置将轻量级代理部署到所有虚拟机。 为了防止 AV 风暴（AV 软件同时或在启动时扫描虚拟机），Windows 代理包含一个反恶意软件扫描缓存，其中包含以前扫描的经常访问的文件的哈希值，因此无需重新扫描它们每次。

McAfee、Sophos 和 Symantec 还提供与 VM 环境兼容的 AV 软件解决方案。

备份和复制软件

Veeam Backup and Replication 可以保护物理和虚拟机环境（包括混合环境和云环境），您可以从单个控制台管理所有内容，以确保提供适当的保护。您可以实施 3-2-1 备份规则，并根据最佳实践创建和维护异地备份文件。它还提供复制功能，以确保在主数据中心出现故障时快速恢复服务。

Nakivo、Vembu Technologies 和 Altaro 还提供与 VMware 兼容的数据备份解决方案。

更改审核软件

监控虚拟环境中的变化对于安全至关重要。 Netwrix Auditor for VMware 就是这样一种虚拟化安全工具。它跟踪整个数据中心及其各种对象（资源池、集群、文件夹、虚拟机）的配置更改，并监视虚拟环境的登录。

结论

现代组织需要保护其虚拟环境免受各种威胁。关键策略包括保持所有软件最新、使用反病毒软件、遵循配置最佳实践以及定期进行用户培训。但即使有最好的防御措施，一些威胁仍然会侵入，因此有必要投资能够跟踪更改和登录的安全工具，以帮助您始终维护各个级别的安全性。