vSphere安全性 Auto Deploy和镜像配置文件特权212 证书特权213 内容库特权213 加密操作特权214 数据中心特权215 数据存储特权216 数据存储群集特权217 Distributed Switch特权217 ESX Agent Manager特权218 扩展特权218 外部统计信息提供程序特权218 文件夹特权219 全局特权219 运行状况更新提供程序特权220 主机cM特权220 主机配置特权220 机清单221 主机本地操作特权222 主机 vSphere Replication特权222 主机配置文件特权223 网络特权223 性能特权223 权限特权224 配置文件驱动的存储特权224 资源特权224 已调度任务特权225 会话特权225 存储视图特权226 任务特权226 Transfer Service特权226 虚拟机配置特权227 虚拟机客户机操作特权228 虚拟机交互特权229 虚拟机清单特权233 虚拟机置备特权234 虚拟机服务配置特权234 虚拟机快照管理特权235 虚拟机 vSphere Replication特权235 dePort组特权236 vApp特权236 sErvices特权237 VMware,lc保留所有权利
Auto Deploy 和镜像配置文件特权 212 证书特权 213 内容库特权 213 加密操作特权 214 数据中心特权 215 数据存储特权 216 数据存储群集特权 217 Distributed Switch 特权 217 ESX Agent Manager 特权 218 扩展特权 218 外部统计信息提供程序特权 218 文件夹特权 219 全局特权 219 运行状况更新提供程序特权 220 主机 CIM 特权 220 主机配置特权 220 主机清单 221 主机本地操作特权 222 主机 vSphere Replication 特权 222 主机配置文件特权 223 网络特权 223 性能特权 223 权限特权 224 配置文件驱动的存储特权 224 资源特权 224 已调度任务特权 225 会话特权 225 存储视图特权 226 任务特权 226 Transfer Service 特权 226 虚拟机配置特权 227 虚拟机客户机操作特权 228 虚拟机交互特权 229 虚拟机清单特权 233 虚拟机置备特权 234 虚拟机服务配置特权 234 虚拟机快照管理特权 235 虚拟机 vSphere Replication 特权 235 dvPort 组特权 236 vApp 特权 236 vServices 特权 237 vSphere 安全性 VMware, Inc. 保留所有权利。 6
vSphere安全性 vSphere标记特权237 VMware,lc保留所有权利
vSphere 标记特权 237 vSphere 安全性 VMware, Inc. 保留所有权利。 7
关于 VSphere安全性 vSphere安全性提供了有关确保 Mware vCenter Server和 Mware ESXi的 vSphere环境安全的信息。 为了帮助保护 vSphere环境,本文档介绍了可用的安全功能,以及可采取的保护该环境免受攻击的措施。 表1.《 vSphere安全性》内容要点 主题 内容要点 权限和用户管理 权限模型(角色、组、对象) 创建自定义角色 是置权限。 ■管理全局权限。 主机安全功能 锁定模式和其他安全配置文件功能 主机智能卡身份验证 vSphere Authentication Proxy EF安全引导。 ■可信平台模块(TPM) 虚拟机加密 ■虚拟机加密的工作方式是什么? KMs设置。 ■故障排除和最佳做法。 客户机操作系统安全 ■虚拟可信平台模块(TPM ■基于虚拟化的安全VBS)a 管理TLS协议配置 使用命令行实用程序更改TLS协议配置 最佳做法和wae安全专家的建议 vCenter Server安全 虚拟机安全 ■网络安全 vSphere特权 此版本中支持的所有 vSphere特权的完整列表。 相关文档 相关文档 Platform services controller管理说明了如何使用 Platform Services Controller服务,例如,管理 向 vCenter Single Sign-On进行身份验证以及管理 vSphere环境中的证书。 VMware,lc保留所有权利
关于 vSphere 安全性 vSphere 安全性提供了有关确保 VMware® vCenter® Server 和 VMware ESXi 的 vSphere® 环境安全的信息。 为了帮助保护 vSphere 环境,本文档介绍了可用的安全功能,以及可采取的保护该环境免受攻击的措施。 表 1. 《 vSphere 安全性 》内容要点 主题 内容要点 权限和用户管理 n 权限模型(角色、组、对象)。 n 创建自定义角色。 n 设置权限。 n 管理全局权限。 主机安全功能 n 锁定模式和其他安全配置文件功能。 n 主机智能卡身份验证。 n vSphere Authentication Proxy。 n UEFI 安全引导。 n 可信平台模块 (TPM)。 虚拟机加密 n 虚拟机加密的工作方式是什么? n KMS 设置。 n 加密和解密虚拟机。 n 故障排除和最佳做法。 客户机操作系统安全 n 虚拟可信平台模块 (vTPM)。 n 基于虚拟化的安全 (VBS)。 管理 TLS 协议配置 使用命令行实用程序更改 TLS 协议配置。 安全性最佳做法与强化 最佳做法和 VMware 安全专家的建议。 n vCenter Server 安全 n 主机安全 n 虚拟机安全 n 网络安全 vSphere 特权 此版本中支持的所有 vSphere 特权的完整列表。 相关文档 相关文档 Platform Services Controller 管理说明了如何使用 Platform Services Controller 服务,例如,管理 向 vCenter Single Sign-On 进行身份验证以及管理 vSphere 环境中的证书。 VMware, Inc. 保留所有权利。 8
vSphere安全性 除上述文档外, VMware还针对每个 vSphere版本发布了《 vSphere安全性配置指南》(以前称为强化指 南),网址为:http://www.vmware.com/security/hardening-guides.htm。《vSphere安全性配置指南》中 包含有关以下安全设置的准则:客户可以或应设置的安全设置,以及 VMware提供且应由客户审核以确保仍 设置为默认值的安全设置。 目标读者 本信息的目标读者为熟悉虚拟机技术和数据中心操作且具有丰富经验的 Windows或LinuⅨ系统管理员。 vSphere Client #A vSphere Web Client 本指南中的说明反映 vSphere Client(基于HTML5的GU)。您也可以使用这些说明通过 vSphere Web Client (基于Fex的GU1)执行任务。 vSphere Client和 vSphere Web Client之间工作流明显不同的任务具有重复过程,其根据相应客户端界面提 步骤。与 vSphere Web Client有关的过程在标题中包含 vSphere Web Client. 注在 vSphere67 Update1中,几乎所有 vSphere Web Client功能在 vSphere Client中得以实现。有关 其他不受支持的功能的最新列表,请参见《 vSphere Client功能更新说明》。 VMware,lc保留所有权利
除上述文档外,VMware 还针对每个 vSphere 版本发布了《vSphere 安全性配置指南》(以前称为强化指 南),网址为:http://www.vmware.com/security/hardening-guides.html。《vSphere 安全性配置指南》中 包含有关以下安全设置的准则:客户可以或应设置的安全设置,以及 VMware 提供且应由客户审核以确保仍 设置为默认值的安全设置。 目标读者 本信息的目标读者为熟悉虚拟机技术和数据中心操作且具有丰富经验的 Windows 或 Linux 系统管理员。 vSphere Client 和 vSphere Web Client 本指南中的说明反映 vSphere Client(基于HTML5 的 GUI)。您也可以使用这些说明通过vSphere Web Client (基于 Flex 的 GUI)执行任务。 vSphere Client 和 vSphere Web Client 之间工作流明显不同的任务具有重复过程,其根据相应客户端界面提 供步骤。与 vSphere Web Client 有关的过程在标题中包含 vSphere Web Client。 注 在 vSphere 6.7 Update 1 中,几乎所有 vSphere Web Client 功能在 vSphere Client 中得以实现。有关 其他不受支持的功能的最新列表,请参见《vSphere Client 功能更新说明》。 vSphere 安全性 VMware, Inc. 保留所有权利。 9
vSphere环境中的安全性 通过身份验证、授权、每个ESⅪi主机上的防火墙等大量功能, vSphere环境的组件安装即可确保安全。您 可以通过多种方式修改默认设置。例如,可以在 VCenter对象上设置权限、打开防火墙端口或更改默认证 书。可以针对 vCenter对象层次结构中的不同对象采取安全措施,例如, vCenter Server系统、ESⅪi主机、 虚拟机以及网络和存储对象。 您可以关注 vSphere各领域的高级别概述,这有助于规划安全策略。也可以从Mare网站的其他 vSphere 全资源中获取帮助。 本章讨论了以下主题 确保ESXi虚拟化管理程序安全 确保 vCenter Server系统及关联服务安全 确保虚拟机安全 确保虚拟网络连接层安全 vSphere环境中的密码 安全性最佳做法与资源 确保EsXi虚拟化管理程序安全 ESXi虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以 通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。 您可以通过以下操作提高对 vCenter Server管理的ESXi主机的保护。请参见《 Mware vSphere Hypervisor 的安全性》白皮书了解背景和详细信息。 限制EsX访问 默认情况下, ESXi She和SSH服务不会运行, root用户才能登录到直 接控制台用户界面(DCU)。如果决定启用Esx或SSH访问,则可以设置超 时以限制未经授权的访问风险 VMware,lc保留所有权利
vSphere 环境中的安全性 1 通过身份验证、授权、每个 ESXi 主机上的防火墙等大量功能,vSphere 环境的组件安装即可确保安全。您 可以通过多种方式修改默认设置。例如,可以在 vCenter 对象上设置权限、打开防火墙端口或更改默认证 书。可以针对 vCenter 对象层次结构中的不同对象采取安全措施,例如,vCenter Server 系统、ESXi 主机、 虚拟机以及网络和存储对象。 您可以关注 vSphere 各领域的高级别概述,这有助于规划安全策略。也可以从 VMware 网站的其他 vSphere 安全资源中获取帮助。 本章讨论了以下主题: n 确保 ESXi 虚拟化管理程序安全 n 确保 vCenter Server 系统及关联服务安全 n 确保虚拟机安全 n 确保虚拟网络连接层安全 n vSphere 环境中的密码 n 安全性最佳做法与资源 确保 ESXi 虚拟化管理程序安全 ESXi 虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护 ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以 通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。 您可以通过以下操作提高对 vCenter Server 管理的 ESXi 主机的保护。请参见《VMware vSphere Hypervisor 的安全性》白皮书了解背景和详细信息。 限制 ESXi 访问 默认情况下,ESXi Shell 和 SSH 服务不会运行,只有 root 用户才能登录到直 接控制台用户界面 (DCUI)。如果决定启用 ESXi 或 SSH 访问,则可以设置超 时以限制未经授权的访问风险。 VMware, Inc. 保留所有权利。 10