ESXi怎样提升vSphere安全性

　　欢迎各位阅读本篇文章，ESXi专为运行虚拟机、最大限度降低配置要求和简化部署而设计。只需几分钟时间，客户便可完成从安装到运行虚拟机的全过程，特别是在下载并安装预配置虚拟设备的时候。本篇文章讲述了ESXi怎样提升vSphere安全性。

　　Vmware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性，并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。

　　管理员可以使用这些vSphere安全工具阻止非授权窥探、篡改虚拟机，并接收更详细的可能意味着是恶意活动的变更告警，结果就是能够更快地牵制并纠正恶意行为。

　　与任何新特性一样，了解其使用要求、对新行为进行测试以积累经验、识别并解决任何部署问题—尤其是针对vSphere安全性而言更是如此—并在生产环境中部署新特性之前建立管理流程是很重要的。

　　对微软Windows或者VMware ESXi操作系统进行未授权的变更或修改可能意味着严重的安全违规，但如果没有进行精心的扫描以及其他仔细的调查可能很难甚至无法发现上述行为。

　　使用ESXi安全引导改进vSphere安全性

　　一种正在涌现出来的在操作系统启动时保护其完整性的方法是通过可信源，如数字证书对内核进行验证。统一可扩展固件接口(UEFI)固件提供的安全引导特性能够验证操作系统内核以及其他组件的数字签名，与包含在UEFI固件中受信的数字证书进行对比。

　　通常情况，支持UEFI安全引导的主要操作系统组件都会有签名。这可能包括引导程序、内核以及驱动。微软提供了一些适合引导Windows以及某些第三方代码比如Linux引导程序的UEFI认证。VMware还提供了在虚拟机内引导ESXi的证书。在启动时，如果证书与签名相匹配，那么操作系统会被认为是经过确认的，能够继续启动。

　　VMware vSphere安全性使用ESXi安全引导进一步应用了这一验证过程，针对所有ESXi组件增加了密码验证。其想法是ESXi由一系列数字签名包构成，被整合到vSphere安装包(VIB)中。一旦UEFI安全引导对ESXi内核进行了验证，ESXi内核将会使用某些数字证书对每个VIB进行验证—确保虚拟机内的所有ESXi组件完整、未被篡改。

　　如何部署ESXi安全引导

　　当主机操作系统安装了UEFI固件，虚拟机操作系统支持UEFI安全引导，并且hypervisor支持版本号为13或更高版本的虚拟硬件时，你可以在vSphere Web Client中部署ESXi安全组件。

　　选中目标虚拟机，打开编辑设置对话框，确认固件被设置为EFI—不是UEFI—检查启用安全引导复选框，然后选择确定。

　　满足了所有必要条件后，你需要在启用安全引导前关闭虚拟机。在启用安全引导后必须重启虚拟机，这样安全引导才能够生效。

　　记住一旦启用了ESXi安全引导，只有带有合法制造商签名的操作系统组件才能够引导。如果签名丢失或者任一操作系统组件不合法，那么虚拟机引导过程将会中断并返回错误—无法强制安装未签名的操作系统组件。

　　生产环境尝试启用安全引导前在测试环境进行安全引导测试是个不错的主意。这允许IT管理员更高效地进行故障诊断并修复可能存在的安全错误。

　　知识分享：ESXi

　　体系结构

　　VMware vSphere 的虚拟化管理程序体系结构在虚拟基础架构的管理中起关键作用。 2001 年推出的裸机 ESX 体系结构大幅增强了性能和可靠性，客户可借此将虚拟化的优势扩展到他们的关键任务应用上。 新的 ESXi 体系结构去除了基于 Linux 的服务控制台，这代表着可靠性和虚拟化管理向前发生了类似的飞跃。 新的 vSphere ESXi 体系结构的大小不足 ESX 的 5%，从安全、部署和配置以及日常管理等方面改进了虚拟化管理程序的管理。

　　提高可靠性和安全性

　　vSphere 5.0 之前的版本中提供的 ESX 体系结构依赖基于 Linux 的控制台操作系统 (COS) 来实现可维护性和基于代理的合作伙伴集成。 在独立于操作系统的新 ESXi 体系结构中，去除了大约 2 GB 的 COS，并直接在核心 VMkernel 中实现了必备的管理功能。 去除 COS 使 vSphere ESXi 虚拟化管理程序的安装占用空间急剧减小到约 150 MB，并因消除了与通用操作系统相关的安全漏洞而提高了安全性和可靠性。

　　简化部署和配置

　　新的 ESXi 体系结构的配置项要少得多，因此可以极大地简化部署和配置，并且更容易保持一致性。

　　减少管理开销

　　ESXi 体系结构采用基于 API 的合作伙伴集成模型，因此不再需要安装和管理第三方管理代理。 利用远程命令行脚本编写环境(例如 vCLI 或 PowerCLI)，可以自动执行日常任务。

　　简化程序的修补和更新

　　简化虚拟化管理程序的修补和更新由于占用空间小并且组件数量有限，ESXi 体系结构所需的补丁程序比早期版本少得多，从而缩短了维护时段，并减少了安全漏洞。 在其生命周期中，ESXi 体系结构所需的补丁程序约为与 COS 一起运行的 ESX 虚拟化管理程序的 1/10。