VMware vSphere 6.7 ESXi and vCenter Server CHS 12.vSphere 安全性-vsphere-esxi-vcenter-server-671-security-guide

vSphere安全性 Update 1 2018年10月16日 VMware vSphere 6.7 VMware EsXi 6.7 vCenter Server 6.7 VmWare

vSphere 安全性 Update 1 2018 年 10 月 16 日 VMware vSphere 6.7 VMware ESXi 6.7 vCenter Server 6.7

vSphere安全性 您可以从 VMware网站下载最新的技术文档 https://docs.vmwarecom/cn/o VMware网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议,请将反馈信息发送至 docfeedback(@vmware.com VMware, Inc. 北京办公室 上海办公室 广州办公室 3401 Hillview Ave 上海市 广州市 Palo Alto. CA 94304 朝阳区新源南路8号 淮海中路333号 天河路385号 www.vmware.com 启皓北京东塔8层801 瑞安大厦804809室 vmware. com/cn ww.vmware.com/cn ww. vmware. com/cn 版权所有e2009-2018 VMware,nc.保留所有权利。版权和商标信息。 VMware,lc保留所有权利

vSphere 安全性 VMware, Inc. 保留所有权利。 2 您可以从 VMware 网站下载最新的技术文档： https://docs.vmware.com/cn/。 VMware 网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议，请将反馈信息发送至： docfeedback@vmware.com 版权所有 © 2009–2018 VMware, Inc. 保留所有权利。 版权和商标信息。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 北京办公室 北京市 朝阳区新源南路 8 号 启皓北京东塔 8 层 801 www.vmware.com/cn 上海办公室 上海市 淮海中路 333 号 瑞安大厦 804-809 室 www.vmware.com/cn 广州办公室 广州市 天河路 385 号 太古汇一座 3502 室 www.vmware.com/cn

目录 关于 vSphere安全性8 vSphere环境中的安全性10 确保ESX虚拟化管理程序安全10 确保 vCenter Server系统及关联服务安全12 确保虚拟机安全13 虚拟网络连接层安全13 安全性最佳做法与资源16 2 vSphere权限和用户管理任务18 了解 vSphere中的授权18 管理 vCenter组件的权限24 全局权限26 使用角色分配特权29 角色和权限的最佳做法31 常见任务的所需特权32 3确保ESX主机安全35 常规ESX安全建议35 EsXi主机的证书管理45 使用安全配置文件自定义主机60 为EsXi主机分配特权74 使用 Active Directory管理EsX用户76 使用 vSphere Authentication Proxy78 配置ESXi的智能卡身份验证85 使用 ESXi Shell87 EsXi主机的UEF安全引导91 使用可信平台模块保护ESX主机94 SXi日志文件96 4确保 VCenter server系统安全 vCenter Server安全性最佳做法 验证旧版ESX主机的指纹10 验证“对网络文件复制的SSL证书验证”是否已启用106 vCenter server和 Platform services Controller所需的端口106 其他 vCenter Server TCP和UDP端口110 VMware,lc保留所有权利

目录 关于 vSphere 安全性 8 1 vSphere 环境中的安全性 10 确保 ESXi 虚拟化管理程序安全 10 确保 vCenter Server 系统及关联服务安全 12 确保虚拟机安全 13 确保虚拟网络连接层安全 13 vSphere 环境中的密码 15 安全性最佳做法与资源 16 2 vSphere 权限和用户管理任务 18 了解 vSphere 中的授权 18 管理 vCenter 组件的权限 24 全局权限 26 使用角色分配特权 29 角色和权限的最佳做法 31 常见任务的所需特权 32 3 确保 ESXi 主机安全 35 常规 ESXi 安全建议 35 ESXi 主机的证书管理 45 使用安全配置文件自定义主机 60 为 ESXi 主机分配特权 74 使用 Active Directory 管理 ESXi 用户 76 使用 vSphere Authentication Proxy 78 配置 ESXi 的智能卡身份验证 85 使用 ESXi Shell 87 ESXi 主机的 UEFI 安全引导 91 使用可信平台模块保护 ESXi 主机 94 ESXi 日志文件 96 4 确保 vCenter Server 系统安全 99 vCenter Server 安全性最佳做法 99 验证旧版 ESXi 主机的指纹 105 验证“对网络文件复制的 SSL 证书验证”是否已启用 106 vCenter Server 和 Platform Services Controller 所需的端口 106 其他 vCenter Server TCP 和 UDP 端口 110 VMware, Inc. 保留所有权利。 3

vSphere安全性 5确保虚拟机安全113 为虚拟机启用或禁用∪EF安全引导113 限制信息性消息从虚拟机流向VMX文件114 防止虚拟磁盘压缩115 虚拟机安全性最佳做法115 6虚拟机加密124 vSphere虚拟机加密如何保护您的环境124 vSphere虚拟机加密组件126 加密过程流128 虚拟磁盘加密129 加密任务的必备条件和必需特权130 加密 vSphere vMotion131 加密最佳做法、局限性和互操作性132 7在 vSphere环境中使用加密137 置密钥管理服务器群集137 创建加密存储策略144 以显式方式启用主机加密模式145 禁用主机加密模式146 创建加密虚拟机146 克隆加密虚拟机147 加密现有虚拟机或虚拟磁盘148 解密加密虚拟机或虚拟磁盘149 更改虚拟磁盘的加密策略150 解决缺少密钥问题151 解锁锁定的虚拟机152 解决ESX主机加密模式问题153 重新启用EsXi主机加密模式153 设置密钥管理服务器证书过期阈值154 vSphere虚拟机加密和核心 154 8使用虚拟可信平台模块保护虚拟机158 将虚拟可信平台模块添加到虚拟机159 为现有虚拟机启用虚拟可信平台模块160 从虚拟机中移除虚拟可信平台模块161 确定已启用虚拟可信平台的虚拟机16 查看vTPM模块设备证书162 导出和替换vTPM模块设备证书162 VMware,lc保留所有权利

5 确保虚拟机安全 113 为虚拟机启用或禁用 UEFI 安全引导 113 限制信息性消息从虚拟机流向 VMX 文件 114 防止虚拟磁盘压缩 115 虚拟机安全性最佳做法 115 6 虚拟机加密 124 vSphere 虚拟机加密 如何保护您的环境 124 vSphere 虚拟机加密 组件 126 加密过程流 128 虚拟磁盘加密 129 加密任务的必备条件和必需特权 130 加密 vSphere vMotion 131 加密最佳做法、局限性和互操作性 132 7 在 vSphere 环境中使用加密 137 设置密钥管理服务器群集 137 创建加密存储策略 144 以显式方式启用主机加密模式 145 禁用主机加密模式 146 创建加密虚拟机 146 克隆加密虚拟机 147 加密现有虚拟机或虚拟磁盘 148 解密加密虚拟机或虚拟磁盘 149 更改虚拟磁盘的加密策略 150 解决缺少密钥问题 151 解锁锁定的虚拟机 152 解决 ESXi 主机加密模式问题 153 重新启用 ESXi 主机加密模式 153 设置密钥管理服务器证书过期阈值 154 vSphere 虚拟机加密和核心转储 154 8 使用虚拟可信平台模块保护虚拟机 158 将虚拟可信平台模块添加到虚拟机 159 为现有虚拟机启用虚拟可信平台模块 160 从虚拟机中移除虚拟可信平台模块 161 确定已启用虚拟可信平台的虚拟机 161 查看 vTPM 模块设备证书 162 导出和替换 vTPM 模块设备证书 162 vSphere 安全性 VMware, Inc. 保留所有权利。 4

vSphere安全性 9使用基于虚拟化的安全保护 Windows客户机操作系统164 基于虚拟化的安全最佳做法164 在虚拟机上启用基于虚拟化的安全165 在现有虚拟机上启用基于虚拟化的安全166 在客户机操作系统上启用基于虚拟化的安全167 禁用基于虚拟化的安全167 标识已启用VBS的虚拟机168 10确保 vSphere网络安全169 vSphere网络安全简介169 使用防火墙确保网络安全170 确保物理交换机安全173 使用安全策略确保标准交换机端口安全173 确保 vSphere标准交换机的安全174 标准交换机保护和VLAN175 确保 vSphere Distributed Switch和分布式端口组的安全176 通过ⅥLAN确保虚拟机安全177 在单台ESXi主机中创建多个网络179 nternet协议安全181 确保SNMP配置正确184 vSphere网络连接安全性最佳做法184 11涉及多个 vSphere组件的最佳做法189 同步 vSphere网络连接上的时钟189 存储安全性最佳做法192 验证是否已禁止向客户机发送主机性能数据195 为 ESXi She和 vSphere Web Client设置超时1 12使用 TLS Configurator Utility管理TLS协议配置196 支持禁用TLS版本的端口196 在 vSphere中启用或禁用TLs版本198 执行可选手动备份198 在 vCenter Server系统上启用或禁用TLS版本200 在ESXi主机上启用或禁用TLS版本201 在外部 Platform services controller系统上启用或禁用TLS版本202 扫描 VCenter Server上已启用的TLS协议203 恢复TLS配置更改204 在 Windows上的 vSphere Update Manager上启用或禁用TLS版本206 13定义的特权210 VMware,lc保留所有权利

9 使用基于虚拟化的安全保护 Windows 客户机操作系统 164 基于虚拟化的安全最佳做法 164 在虚拟机上启用基于虚拟化的安全 165 在现有虚拟机上启用基于虚拟化的安全 166 在客户机操作系统上启用基于虚拟化的安全 167 禁用基于虚拟化的安全 167 标识已启用 VBS 的虚拟机 168 10 确保 vSphere 网络安全 169 vSphere 网络安全简介 169 使用防火墙确保网络安全 170 确保物理交换机安全 173 使用安全策略确保标准交换机端口安全 173 确保 vSphere 标准交换机的安全 174 标准交换机保护和 VLAN 175 确保 vSphere Distributed Switch 和分布式端口组的安全 176 通过 VLAN 确保虚拟机安全 177 在单台 ESXi 主机中创建多个网络 179 Internet 协议安全 181 确保 SNMP 配置正确 184 vSphere 网络连接安全性最佳做法 184 11 涉及多个 vSphere 组件的最佳做法 189 同步 vSphere 网络连接上的时钟 189 存储安全性最佳做法 192 验证是否已禁止向客户机发送主机性能数据 195 为 ESXi Shell 和 vSphere Web Client 设置超时 195 12 使用 TLS Configurator Utility 管理 TLS 协议配置 196 支持禁用 TLS 版本的端口 196 在 vSphere 中启用或禁用 TLS 版本 198 执行可选手动备份 198 在 vCenter Server 系统上启用或禁用 TLS 版本 200 在 ESXi 主机上启用或禁用 TLS 版本 201 在外部 Platform Services Controller 系统上启用或禁用 TLS 版本 202 扫描 vCenter Server 上已启用的 TLS 协议 203 恢复 TLS 配置更改 204 在 Windows 上的 vSphere Update Manager 上启用或禁用 TLS 版本 206 13 定义的特权 210 警报特权 211 vSphere 安全性 VMware, Inc. 保留所有权利。 5

vSphere安全性 Auto Deploy和镜像配置文件特权212 证书特权213 内容库特权213 加密操作特权214 数据中心特权215 数据存储特权216 数据存储群集特权217 Distributed Switch特权217 ESX Agent Manager特权218 扩展特权218 外部统计信息提供程序特权218 文件夹特权219 全局特权219 运行状况更新提供程序特权220 主机cM特权220 主机配置特权220 机清单221 主机本地操作特权222 主机 vSphere Replication特权222 主机配置文件特权223 网络特权223 性能特权223 权限特权224 配置文件驱动的存储特权224 资源特权224 已调度任务特权225 会话特权225 存储视图特权226 任务特权226 Transfer Service特权226 虚拟机配置特权227 虚拟机客户机操作特权228 虚拟机交互特权229 虚拟机清单特权233 虚拟机置备特权234 虚拟机服务配置特权234 虚拟机快照管理特权235 虚拟机 vSphere Replication特权235 dePort组特权236 vApp特权236 sErvices特权237 VMware,lc保留所有权利

Auto Deploy 和镜像配置文件特权 212 证书特权 213 内容库特权 213 加密操作特权 214 数据中心特权 215 数据存储特权 216 数据存储群集特权 217 Distributed Switch 特权 217 ESX Agent Manager 特权 218 扩展特权 218 外部统计信息提供程序特权 218 文件夹特权 219 全局特权 219 运行状况更新提供程序特权 220 主机 CIM 特权 220 主机配置特权 220 主机清单 221 主机本地操作特权 222 主机 vSphere Replication 特权 222 主机配置文件特权 223 网络特权 223 性能特权 223 权限特权 224 配置文件驱动的存储特权 224 资源特权 224 已调度任务特权 225 会话特权 225 存储视图特权 226 任务特权 226 Transfer Service 特权 226 虚拟机配置特权 227 虚拟机客户机操作特权 228 虚拟机交互特权 229 虚拟机清单特权 233 虚拟机置备特权 234 虚拟机服务配置特权 234 虚拟机快照管理特权 235 虚拟机 vSphere Replication 特权 235 dvPort 组特权 236 vApp 特权 236 vServices 特权 237 vSphere 安全性 VMware, Inc. 保留所有权利。 6

vSphere安全性 vSphere标记特权237 VMware,lc保留所有权利

vSphere 标记特权 237 vSphere 安全性 VMware, Inc. 保留所有权利。 7

关于 VSphere安全性 vSphere安全性提供了有关确保 Mware vCenter Server和 Mware ESXi的 vSphere环境安全的信息。 为了帮助保护 vSphere环境,本文档介绍了可用的安全功能,以及可采取的保护该环境免受攻击的措施。 表1.《 vSphere安全性》内容要点 主题 内容要点 权限和用户管理 权限模型(角色、组、对象) 创建自定义角色 是置权限。 ■管理全局权限。 主机安全功能 锁定模式和其他安全配置文件功能 主机智能卡身份验证 vSphere Authentication Proxy EF安全引导。 ■可信平台模块(TPM) 虚拟机加密 ■虚拟机加密的工作方式是什么? KMs设置。 ■故障排除和最佳做法。 客户机操作系统安全 ■虚拟可信平台模块(TPM ■基于虚拟化的安全VBS)a 管理TLS协议配置 使用命令行实用程序更改TLS协议配置 最佳做法和wae安全专家的建议 vCenter Server安全 虚拟机安全 ■网络安全 vSphere特权 此版本中支持的所有 vSphere特权的完整列表。 相关文档 相关文档 Platform services controller管理说明了如何使用 Platform Services Controller服务,例如,管理 向 vCenter Single Sign-On进行身份验证以及管理 vSphere环境中的证书。 VMware,lc保留所有权利

关于 vSphere 安全性 vSphere 安全性提供了有关确保 VMware® vCenter® Server 和 VMware ESXi 的 vSphere® 环境安全的信息。 为了帮助保护 vSphere 环境，本文档介绍了可用的安全功能，以及可采取的保护该环境免受攻击的措施。 表 1. 《 vSphere 安全性 》内容要点 主题 内容要点 权限和用户管理 n 权限模型（角色、组、对象）。 n 创建自定义角色。 n 设置权限。 n 管理全局权限。 主机安全功能 n 锁定模式和其他安全配置文件功能。 n 主机智能卡身份验证。 n vSphere Authentication Proxy。 n UEFI 安全引导。 n 可信平台模块 (TPM)。 虚拟机加密 n 虚拟机加密的工作方式是什么？ n KMS 设置。 n 加密和解密虚拟机。 n 故障排除和最佳做法。 客户机操作系统安全 n 虚拟可信平台模块 (vTPM)。 n 基于虚拟化的安全 (VBS)。 管理 TLS 协议配置 使用命令行实用程序更改 TLS 协议配置。 安全性最佳做法与强化 最佳做法和 VMware 安全专家的建议。 n vCenter Server 安全 n 主机安全 n 虚拟机安全 n 网络安全 vSphere 特权 此版本中支持的所有 vSphere 特权的完整列表。 相关文档 相关文档 Platform Services Controller 管理说明了如何使用 Platform Services Controller 服务，例如，管理 向 vCenter Single Sign-On 进行身份验证以及管理 vSphere 环境中的证书。 VMware, Inc. 保留所有权利。 8

vSphere安全性 除上述文档外, VMware还针对每个 vSphere版本发布了《 vSphere安全性配置指南》(以前称为强化指 南),网址为:http://www.vmware.com/security/hardening-guides.htm。《vSphere安全性配置指南》中 包含有关以下安全设置的准则:客户可以或应设置的安全设置,以及 VMware提供且应由客户审核以确保仍 设置为默认值的安全设置。 目标读者 本信息的目标读者为熟悉虚拟机技术和数据中心操作且具有丰富经验的 Windows或LinuⅨ系统管理员。 vSphere Client #A vSphere Web Client 本指南中的说明反映 vSphere Client(基于HTML5的GU)。您也可以使用这些说明通过 vSphere Web Client (基于Fex的GU1)执行任务。 vSphere Client和 vSphere Web Client之间工作流明显不同的任务具有重复过程,其根据相应客户端界面提 步骤。与 vSphere Web Client有关的过程在标题中包含 vSphere Web Client. 注在 vSphere67 Update1中,几乎所有 vSphere Web Client功能在 vSphere Client中得以实现。有关 其他不受支持的功能的最新列表,请参见《 vSphere Client功能更新说明》。 VMware,lc保留所有权利

除上述文档外，VMware 还针对每个 vSphere 版本发布了《vSphere 安全性配置指南》（以前称为强化指 南），网址为：http://www.vmware.com/security/hardening-guides.html。《vSphere 安全性配置指南》中 包含有关以下安全设置的准则：客户可以或应设置的安全设置，以及 VMware 提供且应由客户审核以确保仍 设置为默认值的安全设置。 目标读者 本信息的目标读者为熟悉虚拟机技术和数据中心操作且具有丰富经验的 Windows 或 Linux 系统管理员。 vSphere Client 和 vSphere Web Client 本指南中的说明反映 vSphere Client（基于HTML5 的 GUI）。您也可以使用这些说明通过vSphere Web Client （基于 Flex 的 GUI）执行任务。 vSphere Client 和 vSphere Web Client 之间工作流明显不同的任务具有重复过程，其根据相应客户端界面提 供步骤。与 vSphere Web Client 有关的过程在标题中包含 vSphere Web Client。 注 在 vSphere 6.7 Update 1 中，几乎所有 vSphere Web Client 功能在 vSphere Client 中得以实现。有关 其他不受支持的功能的最新列表，请参见《vSphere Client 功能更新说明》。 vSphere 安全性 VMware, Inc. 保留所有权利。 9

vSphere环境中的安全性 通过身份验证、授权、每个ESⅪi主机上的防火墙等大量功能, vSphere环境的组件安装即可确保安全。您 可以通过多种方式修改默认设置。例如,可以在 VCenter对象上设置权限、打开防火墙端口或更改默认证 书。可以针对 vCenter对象层次结构中的不同对象采取安全措施,例如, vCenter Server系统、ESⅪi主机、 虚拟机以及网络和存储对象。 您可以关注 vSphere各领域的高级别概述,这有助于规划安全策略。也可以从Mare网站的其他 vSphere 全资源中获取帮助。 本章讨论了以下主题 确保ESXi虚拟化管理程序安全 确保 vCenter Server系统及关联服务安全 确保虚拟机安全 确保虚拟网络连接层安全 vSphere环境中的密码 安全性最佳做法与资源 确保EsXi虚拟化管理程序安全 ESXi虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以 通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。 您可以通过以下操作提高对 vCenter Server管理的ESXi主机的保护。请参见《 Mware vSphere Hypervisor 的安全性》白皮书了解背景和详细信息。 限制EsX访问 默认情况下, ESXi She和SSH服务不会运行, root用户才能登录到直 接控制台用户界面(DCU)。如果决定启用Esx或SSH访问,则可以设置超 时以限制未经授权的访问风险 VMware,lc保留所有权利

vSphere 环境中的安全性 1 通过身份验证、授权、每个 ESXi 主机上的防火墙等大量功能，vSphere 环境的组件安装即可确保安全。您 可以通过多种方式修改默认设置。例如，可以在 vCenter 对象上设置权限、打开防火墙端口或更改默认证 书。可以针对 vCenter 对象层次结构中的不同对象采取安全措施，例如，vCenter Server 系统、ESXi 主机、 虚拟机以及网络和存储对象。 您可以关注 vSphere 各领域的高级别概述，这有助于规划安全策略。也可以从 VMware 网站的其他 vSphere 安全资源中获取帮助。 本章讨论了以下主题： n 确保 ESXi 虚拟化管理程序安全 n 确保 vCenter Server 系统及关联服务安全 n 确保虚拟机安全 n 确保虚拟网络连接层安全 n vSphere 环境中的密码 n 安全性最佳做法与资源 确保 ESXi 虚拟化管理程序安全 ESXi 虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能，可以进一步保护 ESXi 主机。为了保持一致性，您可以设置引用主机，并将所有主机与引用主机的主机配置文件保持同步。也可以 通过执行脚本式管理保护您的环境，以便确保将更改应用到所有主机。 您可以通过以下操作提高对 vCenter Server 管理的 ESXi 主机的保护。请参见《VMware vSphere Hypervisor 的安全性》白皮书了解背景和详细信息。 限制 ESXi 访问 默认情况下，ESXi Shell 和 SSH 服务不会运行，只有 root 用户才能登录到直 接控制台用户界面 (DCUI)。如果决定启用 ESXi 或 SSH 访问，则可以设置超 时以限制未经授权的访问风险。 VMware, Inc. 保留所有权利。 10