這些安全性控制提供了一組基礎的 vSphere 系統設計最佳做法。
消除 vCenter Server 第三方外掛程式
減少或消除第三方 vCenter Server 外掛程式。
在系統之間安裝外掛程式和其他第三方交叉連線會侵蝕不同基礎結構系統之間的邊界,從而為入侵一個系統的攻擊者提供橫向移動到另一個系統的機會。將其他系統與 vSphere 緊密耦合也常常會阻礙及時修補和升級。確保 vSphere 元件的任何第三方外掛程式或附加元件都能夠創造價值。如果您選擇使用外掛程式而不是個別管理主控台,請確保使用外掛程式可抵消它們帶來的風險。
謹慎使用基礎結構管理介面
將基礎結構管理介面連線到通用驗證和授權來源時要謹慎。
集中式企業目錄是攻擊者的目標,因為它們在整個企業的授權中扮演著重要角色。一旦目錄遭到入侵,攻擊者就可以在組織內部自由行動。事實證明,將 IT 基礎結構連線到集中式目錄會給勒索軟體和其他攻擊製造巨大的機會。隔離所有基礎結構系統的驗證和授權。
對於 ESXi:
- 透過 vCenter Server 執行所有主機管理
- 停用 ESXi Shell
- 將 ESXi 置於一般鎖定模式
- 將 ESXi root 密碼設定為複雜密碼
啟用 vSphere Distributed Resource Scheduler
在全自動模式下啟用 vSphere Distributed Resource Scheduler (DRS)。
vSphere DRS 使用 vMotion 在實體主機之間移動工作負載,以確保效能和可用性。全自動模式可確保 vSphere Lifecycle Manager 能夠與 DRS 協同運作,以啟用修補和更新作業。
如果需要特定的虛擬機器至主機對應,請使用 DRS 規則。如果可能,請使用「應當」而不是「必須」規則,以便可以在修補和高可用性復原期間暫時暫停該規則。
啟用 vSphere High Availability
如果 ESXi 主機突然出現故障,vSphere High Availability (HA) 會在叢集中的其他 ESXi 主機上重新啟動工作負載。確保已為您的環境正確設定 HA 設定。
啟用 Enhanced vMotion Compatibility
vSphere Enhanced vMotion Compatibility (EVC) 可確保工作負載在執行不同代 CPU 的叢集中的 ESXi 主機之間使用 vMotion 進行即時移轉。在 CPU 存在漏洞的情況下,EVC 也能提供協助。在這種情況下,CPU 可能會引入新的微碼指令,使它們暫時互不相容。
保護系統免遭竄改
確保 ESXi 主機及相關儲存區和網路元件免遭竄改、未經授權的存取和未經授權的移除。此外,還要保護主機免受環境因素的損害,例如洪水、極端溫度 (低溫或高溫) 以及灰塵和碎片。
使用 vSphere Native Key Provider 和 ESXi 金鑰持續性等安全性功能可能會導致安全材料本機儲存在 ESXi 主機上,從而使攻擊者能夠開機和解除鎖定原本受保護的叢集。考慮實體安全性和適當的威脅 (例如竊取) 非常重要。
除了竊取之外,保持安全意識還意味著要向自己和組織提出以下問題:
- 可能出了什麼問題?
- 如果出了問題,我怎麼知道?
在處理無人值守的資料中心位置和配置設施時,這些問題顯得更加重要。對於資料中心和機架組態,請提出以下問題:
- 資料中心的門是否會自動關閉並自行正確鎖定?
- 如果門沒關好,會主動發出警示嗎?
- 如果機架門已上鎖,是否還能從側面或頂部伸入機架斷開纜線?未經授權的人是否可以將纜線連接到網路交換器?
- 是否可以移除裝置,例如儲存裝置,甚至整個伺服器?在這種情況下會發生什麼?
要問的其他問題包括:
- 有人能從伺服器上的資訊顯示器 (例如 LCD 面板或主控台) 取得有關環境或業務的資訊嗎?
- 如果這些資訊顯示器處於非作用中狀態,是否可以從機架外部觸發,例如,用一根堅硬的金屬線?
- 是否有其他按鈕 (例如電源按鈕) 可能被按下,從而導致公司服務中斷?
最後,問問自己,是否存在其他實體威脅,例如洪水、冰凍或高溫的可能性,或環境中的灰塵和碎片會影響可用性?
描述性地命名 vSphere 物件
確保對 vSphere 物件進行描述性命名,變更物件的預設名稱以確保準確性並減少混淆。
對 vSphere 物件使用良好的命名實踐,變更預設名稱,例如「Datacenter」、「vSAN Datastore」、「DSwitch」、「VM Network」等,以包含更多資訊。這有助於在制定、實作和稽核安全性原則和營運流程時提高準確性並減少錯誤。
使用 802.1Q VLAN 標記的連接埠群組可能包含 VLAN 編號。資料中心和叢集名稱可以反映位置和用途。資料存放區和虛擬分散式交換器名稱可以反映其連結到的資料中心和叢集名稱。金鑰提供者名稱尤為重要,尤其是在透過複寫到備用站台來保護加密虛擬機器時。努力避免與其他資料中心和叢集中的物件發生潛在的「名稱衝突」。
某些組織不會使用實體位置識別碼 (例如街道地址) 命名系統,寧願透過使用「站台 A」、「站台 B」等術語來掩蓋資料中心的實體位置。這也有助於站台重新放置,避免重新命名所有內容或忍受不準確的資訊。
在決定命名配置時,請記住,許多物件可能具有類似的內容。例如,兩個連接埠群組可以指派相同的 VLAN,但具有不同的流量篩選和標記規則。在名稱中包含專案名稱或簡短說明可能有助於消除此類物件的模糊性。
最後,在制定命名配置時要考慮自動化。在進行指令碼處理和自動執行工作時,可以透過程式設計方式衍生的名稱通常非常有用。
隔離基礎結構管理介面
確保 IT 基礎結構管理介面在各自的網路區段上或作為隔離管理網路的一部分進行隔離。
確保為虛擬化元件設定的所有管理介面都位於僅專用於虛擬化管理的網路區段 (VLAN 等) 上,不含工作負載和不相關的系統。確保透過周邊安全性控制對管理介面進行控制,只有經授權的 vSphere 管理員才能從經授權的工作站存取這些介面。
某些系統設計將 vCenter Server 和其他管理工具放置在自己的網路區段上,從而與 ESXi 隔離,因為這樣可以更好地監控這些系統。在其他設計中,由於兩種產品之間的關係以及防火牆組態錯誤或中斷可能會造成服務中斷,因此將 vCenter Server 放入 ESXi 管理中。無論選擇哪種設計,都要深思熟慮。
正確使用 vMotion
確保 vMotion 使用傳輸中資料加密 (對於虛擬機器設定為「必要」),或者確保用於 vMotion 的 VMkernel 網路介面隔離在具有周邊控制的獨立網路區段上。
vMotion 和 Storage vMotion 可分別跨網路複製虛擬機器記憶體和儲存區資料。確保資料在傳輸過程中進行加密,從而保證資料的機密性。透過適當的周邊控制將網路隔離到專用網路區段,可以增加深度防禦,還可以進行網路流量管理。
與所有形式的加密一樣,vMotion 加密確實會帶來效能損失,但這種效能變化發生在背景 vMotion 程序中,不會影響虛擬機器運作。
正確使用 vSAN
確保 vSAN 使用傳輸中資料加密,或者確保用於 vSAN 的 VMkernel 網路介面隔離在具有周邊控制的獨立網路區段上。
vSAN 具有傳輸中資料加密功能,有助於在 vSAN 節點通訊時保持機密性。與許多安全性控制一樣,在效能方面也要有所權衡。啟用傳輸中資料加密時監控儲存區延遲和效能。未啟用或無法啟用 vSAN 傳輸中資料加密的組織應將網路流量隔離到具有適當周邊控制的專用網路區段。
啟用 Network I/O Control
透過啟用 Network I/O Control (NIOC),確保您具有抵禦網路拒絕服務的能力。
vSphere Network I/O Control (NIOC) 是一種流量管理技術,可在 Hypervisor 層級提供服務品質,透過在多承租人雲端和共用工作負載環境中對資源進行優先排序來提高網路效能。NIOC 合併到 vSphere Distributed Switch (vDS) 中,將網路介面卡頻寬劃分為「網路資源集區」,這些資源集區與不同的流量類型 (例如 vMotion 和管理流量) 相對應。透過使用 NIOC,使用者可以為這些集區配置共用率、限制和保留。
NIOC 可保留基本服務的網路可用性,並透過限制不太重要的流量來防止壅塞。為此,可以根據業務需求建立網路控制原則,確保流量類型隔離,並允許根據優先順序和使用情況進行動態資源重新配置。
不設定廠商保留的 VLAN
確保來自 ESXi 主機的實體交換器上行未設定廠商保留的 VLAN。
某些網路廠商會保留特定的 VLAN 識別碼以供內部或特定使用。確保您的 vSphere 網路組態不包含這些值。
將 ESXi 上行設定為存取連接埠
確保來自 ESXi 主機的實體交換器上行設定為指派給單一 VLAN 的「存取連接埠」,或者設定為沒有原生 VLAN 的標記 802.1Q VLAN 主幹。確保 vSphere 連接埠群組不允許存取 VLAN 1 或未標記的原生 VLAN。
將「原生」VLAN 設定為接受未標記流量的網路連線或有權存取 VLAN 1 的網路連線可能會使攻擊者有機會編寫破壞網路安全性控制的專用封包。依預設,VLAN 1 通常用於網路管理和通訊,應與工作負載隔離。確保連接埠群組未設定為存取原生 VLAN。確保 VLAN 主幹連接埠設定了特定的 VLAN 定義 (而不是「全部」)。最後,確保連接埠群組設定正確,使攻擊者無法利用虛擬化環境規避網路安全性控制。
正確設定儲存區網狀架構連線
確保儲存區網狀架構連線使用傳輸中資料加密,或隔離在自己的網路區段或具有周邊控制的 SAN 上。
在傳輸過程中保護儲存區資料有助於確保資料的機密性。通常出於可用性或效能方面的考慮,許多儲存區技術都不支援加密。在這些情況下,將網路隔離到具有適當周邊控制的專用網路區段可以成為一種有效的補償控制,並能增加深度防禦。
在儲存區系統上採用 LUN 遮罩
確保儲存區系統採用 LUN 遮罩、分區和其他儲存區端安全技術,以確保儲存區配置僅對在其中使用該儲存區的 vSphere 叢集可見。
存放控制器上的 LUN 遮罩和 SAN 分區有助於確保未經授權的主機無法看到儲存區流量,並且未經授權的主機也無法略過其他安全性控制來掛接資料存放區。
限制與授權系統的連線
請考慮使用 vCenter Server Appliance 防火牆限制與授權系統和管理員的連線。
vCenter Server Appliance 包含一個基本防火牆,可用於限制 vCenter Server 的傳入連線。這可以與周邊安全性控制一起成為有效的深度防禦層。
與往常一樣,在新增規則以封鎖連線之前,請確保已制定相關規則以允許從管理工作站存取。
不要將加密金鑰儲存在實際存取權沒有受到保護的 ESXi 主機上
在沒有同時確保主機實體存取安全的情況下,環境不得將加密金鑰儲存在 ESXi 主機上。
為防止出現相依性迴圈,vSphere Native Key Provider 會將解密金鑰直接儲存在 ESXi 主機上,可以儲存在信賴平台模組 (TPM) 中,也可以作為加密 ESXi 組態的一部分。但是,如果您無法對主機進行實體保護,並且攻擊者竊取了主機,則攻擊者將擁有解除鎖定和執行加密工作負載的手段。因此,確保實體安全性 (請參閱保護系統免遭竄改) 或選擇使用包含額外網路安全性控制的標準金鑰提供者 (請參閱什麼是標準金鑰提供者) 至關重要。
使用大小適當的持續性、非 SD、非 USB 裝置作為 ESXi 開機磁碟區
環境必須使用大小適當的持續性、非 SD、非 USB 裝置作為 ESXi 開機磁碟區。
快閃記憶體是一種會隨時間磨損的元件,每次資料寫入都會縮短其使用週期。SSD 和 NVMe 裝置具有可減少這種磨損的內建功能,使其更加可靠。但是,SD 卡和大多數 USB 快閃磁碟機沒有這些功能,可能會出現可靠性問題,例如壞磁區,通常沒有任何明顯的跡象。
為了減少磨損並延長 SD 和 USB 裝置的使用週期,在這些裝置上安裝 ESXi 時,可以將稽核和系統記錄儲存至 RAM 磁碟,而不是不斷寫入裝置。這意味著,您必須為這些記錄設定新的長期儲存位置,並變更記錄輸出以轉到這些新位置。
選擇可靠的開機裝置可以省去這些額外步驟,有助於 ESXi 自動通過安全性稽核。
正確設定 vSAN iSCSI 目標
確保 vSAN iSCSI 目標使用自己的 VMkernel 網路介面 (隔離在自己的網路區段上),並使用分散式連接埠群組流量篩選和標記、NSX 或外部網路安全性控制採用單獨的周邊控制。
由於 iSCSI 目標用戶端位於叢集外部,因此請在自己的網路介面上隔離它們。這樣一來,您可以單獨限制其他僅限內部的網路通訊。此類型的隔離還有助於診斷和管理效能。