虚拟化核心技术和安全概述

第二章：虚拟化核心技术和安全虚拟化的核心技术VMotionVMotion是什么?通过VMotion可以实现虚拟机的动态迁移,而服务不中断客户优势零宕机时间:进行有计划的服务器维护和升级迁移工作负载，资源利用率最大化服务器的持续可用性,完整的交易集成支持FibreChannel和iSCSISAN环境以及NASx86ArchitectureHypervisorx86ArchitectureHypervisorVMotion迁移虚拟机SAN、iSCSI或NASStorageVMotion虚拟机磁盘存储独立迁移无需虚拟机停机LUN独立支持光纤通道SAN应用程序操作

系统应用程序操作

系统应用程序操作

系统无中断：刷新到新阵列

迁移到不同类别的存储器升级到新文件系统格式虚拟机粒度，LUN独立分布式资源调度（DRS）功能跨资源池动态调整计算资源基于预定义的规则智能分配资源优势使IT和业务优先级对应动态提高系统管理效率自动化的硬件维护动态负载均衡和连续智能优化，保证所有应用需要的的资源资源池ResourcePool业务需求BusinessDemand围绕业务进行组织和规划…而不是您的硬件!负载分配规则设定一次，永远有效，自动执行易于添加更多的资源避免业务繁忙时段的过载DRS动态获得硬件资源动态添加硬件资源池CPU36GHz,Mem58GB优先级：

高资源池CPU50GHz,Mem70GB优先级：高分布式电源管理(DPM)资源池业务需求下电当整个群集需要资源减少时，整合所有负载到少数几台服务器上将不需要的服务器置于备用模式当负载增加时，DPM自动将处于备用状态的服务器唤醒在确保服务级别的同时，最大限度降低了数据中心服务器的耗电量虚拟机没有中断或停机利用UpdateManager和DRS无中断地升级HypervisorUpdateManager升级整个DRS群集DRS群集中的每个Hypervisor主机依次进入维护模式虚拟机被VMotion到其他HypervisorHypervisor升级并重启虚拟机重新VMotion回来下一台Hypervisor重复以上步骤VMotionVMotionUpdateManagerserver大批量地升级Hypervisor并且不影响任何应用的运行，虽然Hypervisor会重启，但确保虚拟机永不停机UpdateManager对Hypervisor和Microsoft及RHEL虚拟机的自动补丁管理扫描和更新在线和非在线的虚拟机，以及在线的Hypervisor补丁更新前先对虚拟机做快照，允许随时回退到补丁前状态UpdateManager不需手工跟踪补丁版本和更新情况使用标准或自定义的补丁列表，批量更新虚拟机补丁利用快照技术降低应用补丁的风险离线补丁技术可以避免网络上的干扰，还可以对模板应用补丁OFFLINE描述用于ESX虚拟机的高性能集群文件系统优势简化虚拟机的部署和管理利用共享存储确保数据完整性可运行多个ESX实例同时访问

同一个虚拟机存储支持基于虚拟化的分布式

基础架构服务vStorageVMFSESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB100GBLUN扩展10G的虚拟磁盘添加新的虚拟磁盘增加VMFS卷

可扩大数据存储扩展8G的虚拟磁盘20GB数据存储不改变增加VMFS卷

可扩大数据存储40GB描述通过分配比实际购买容量更多的存储容量，来实现更高的存储利用率优势简化了管理延长了应用程序正常运行时间提高了存储利用率vStorageThinProvisioningESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB40GB20GB20GB60GB20GB100GB厚精简精简40GB100GBvHA功能当服务器故障时，自动重新启动虚拟机优势经济有效的适用于所有应用的高可用不需要独占的stand-by硬件没有集群软件的成本和复杂性经济有效的适用于所有应用的高可用解决方案XFaultTolerance(FT)在不同的主机上同步运行相同的虚拟机出现硬件故障时，所有虚拟机均可实现零停机时间、零数据损失故障切换零停机时间、零数据损失无需复杂的群集或专用硬件所有应用程序和操作系统通用的单一机制VDCOS操作系统应用程序操作系统应用程序操作系统应用程序X操作系统应用程序XDataRecovery虚拟机的无代理、基于磁盘的备份和恢复虚拟机或文件级别的恢复增量备份和消除重复数据以

节约磁盘空间为虚拟机提供快速、简单和

完整的数据保护通过vCenter实现集中式管理经济高效的存储管理消除重复数据存储设备Hypervisor操作系统应用程序操作系统应用程序描述为供应商提供的编程界面。由VCB演变的新一代产品优势支持虚拟机的增量、差异和完整

映像备份和恢复为Windows和Linux虚拟机提供

文件级备份支持提供不会对ESX造成负载的高效

备份用于数据保护的vStorageAPIvNetwork分布式交换机聚合数据中心级别虚拟网络简化的设置和更改轻松地进行故障排除、监视和调试支持第三方虚拟环境的透明管理操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序VDCOSvNetwork分布式交换机虚拟交换机虚拟交换机虚拟交换机CiscoNexus1000VvShieldZones安全遵从性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保护引擎VirtualDataCenterOSVMsafeAPI通过检查与管理程序一起使用的虚拟组件来保护虚拟机将保护引擎与恶意软件隔离广泛的覆盖范围，包括虚拟机CPU、内存、存储器和网络应用程序操作系统vApp—自我描述的应用系统可实现自动化SLA管理纵向扩展应用系统以实现有保证的QoS可扩展虚拟机热添加CPU内存热添加和删除存储设备网络设备热扩展虚拟磁盘以零停机时间横向扩展虚拟机64GB4个CPU255GB8个CPU操作系统应用程序P2VConverter说明VMwareConverter自动将物理机、其他格式的虚拟机和第三方映像格式转换为VMware虚拟机。优势简化升级到

VMwareInfrastructure的过程。

物理机

第三方映像格式

其他虚拟机格式虚拟机P2V

Converter虚拟数据中心的可靠性存储站点组件服务器避免计划内停机最大限度地减少计划外停机网络冗余、多路径StorageVMotionVMotion+DRS维护模式网卡和HBA绑定DataRecovery、

VMwareReady™

数据保护合作伙伴HA

FaultToleranceSiteRecoveryManager受保护站点恢复站点vCenterSiteRecovery

ManagervCenterSiteRecovery

Manager数据存储组阵列复制数据存储组XSiteRecoveryManager概览SiteRecoveryManager核心功能对灾难恢复的集中管理从单一管理点创建、测试、更新和执行恢复计划与VirtualCenter紧密集成灾难恢复自动化预先构建恢复流程自动测试恢复计划自动执行恢复流程简化的设置和集成分配和管理恢复资源与领先供应商的存储复制系统轻松集成存储设备服务器虚拟机HypervisorHypervisorHypervisorHypervisorvCenterSiteRecoveryManager虚拟化的安全虚拟化安全策略自我描述、自我

配置的安全性虚拟化的独特优势安全性虚拟化.OVF安全的虚拟机管理程序体系结构平台安全强化功能安全的开发生命

周期平台安全性针对部署和配置的说明性指导集成到企业的

现有策略、

流程和工具中安全的操作体系结构：服务器虚拟化类型托管虚拟化裸机虚拟化VMwareWorkstationVMwareServerVMwarePlayerVMwareFusionVMwareESX主机OS

改变安全

配置文件可在

客户虚拟机

可信时采用即使

客户虚拟机

不一定可信时也可采用体系结构：设计为隔离方式oryCPU和内存虚拟机不具有完全的CPU访问权内存隔离通过硬件实施内存页在由虚拟机使用前一律清零

虚拟网络

不存在链接虚拟交换机的代码虚拟交换机不会受到学习型或桥接型攻击虚拟存储

虚拟机只能看到虚拟SCSI设备，而看不到实际存储由VMFS使用SCSI文件锁强制实施虚拟机对虚拟磁盘的独占访问

ESX虚拟机管理程序：坚实可靠的基础MSFT/Xen体系结构VMware体系结构精简自定义内核更少补丁程序更少攻击针对VMware优化的驱动程序更为稳定直接驱动程序模型更高的I/O吞吐量大型通用操作系统频繁添加补丁更多攻击通用的第三方驱动程序欠稳定间接驱动程序模型负载时I/O性能下降DriversDriversVirtualMachineVirtualMachineDriversVirtualMachine驱动程序驱动程序虚拟机虚拟机驱动程序虚拟机驱动程序驱动程序虚拟机驱动程序驱动程序虚拟机Dom0(Linux)或父级虚拟机(Windows)安全实现瘦Hypervisor-ESXi紧凑的100MB占用空间更少补丁程序更小的受攻击面无需通用管理操作系统服务器上不运行任意码不易受常见威胁影响唯一不受操作系统影响的

专门针对虚拟化的设计ESXi安全实现平台安全强化完善的内存保护功能ASLR–随机确定核心内核模块

在内存中的加载位置NX/XD–将内存的可写区域标记为

不可执行内核完整性数字签名–确保模块、驱动程序和

应用程序在由VMkernel加载时的

完整性和真实性模块签名–使ESX具备识别模块、

驱动程序或应用程序的提供者以及

它们是否取得VMware认证的能力安全开发生命周期流程全面实现安全性的方式培训体系结构风险分析/威胁建模最佳实践和遵从性要求自动和手动代码分析安全性测试响应在各阶段都让第三方专家参与经验证，受广大用户信任成千上万客户已在生产

环境中应用已通过美国数家最大银行的安全审查并投入生产使用已通过国防和安全机构的

严格审查VMware技术被选为美国

国家安全局(NSA)虚拟化工作站的基础经过独立验证CommonCriteriaEAL认证CCEAL4+认证最高的认证级别ESX3.0已获此认证；

ESX3.5即将获得针对ESX的DISASTIG获准在美国国防部(DoD)信息

系统中使用NSACentralSecurityService针对数据中心和台式机方案的

指导最大的安全风险：操作NeilMacDonald–“如何安全地实施虚拟化”“与在物理方案中一样，多数安全漏洞都是通过误配置和管理失误带来的”虚拟化对数据中心安全性的影响AbstractionandConsolidation↑CapitalandOperationalCostSavings↓Newinfrastructurelayertobesecured↓Greaterimpactofattackormisconfiguration抽象和整合↑节约资金成本和运营成本↓需要保护新的基础架构层

↓攻击或错误配置会带来较大影响

多台交换机和服务器重合为一台设备

↑灵活性↑节约成本↓缺少虚拟网络可视性和控制

能力↓没有“默认隔离”的管理机制

虚拟化对数据中心安全性的影响ystems更快的服务器部署速度

↑IT响应速度

↓配置不一致↓过程定义较差

虚拟机移动性

↑提高了服务级别↓标识与物理位置分离

虚拟机封装

↑轻松实现业务连续性↑一致的部署↑独立于硬件↓过时的离线系统

哪些是不必担心的虚拟机管理程序攻击

示例：BluePill、SubVirt等这些都是极为复杂的理论性攻击安全保护领域人士普遍认为它只有学术上的意义

不相干的体系结构

示例：大量报告宣称发现客户虚拟机逸出多数只适用于托管体系结构（例如工作站），而不适用于裸机结构（亦即ESX）托管体系结构通常仅在您可以信赖客户虚拟机时才适用

设想的情形

示例：VMotion截取造成漏洞的情形：

未遵守针对虚拟化的安全增强、锁定、设计方面的最佳实践，

或者采用了较差的一般IT基础架构安全机制

保护虚拟机安全主机防病毒软件补丁程序管理网络入侵检测/预防(IDS/IPS)边缘防火墙提供与物理服务器一样的保护针对虚拟化层的安全设计基本设计原则隔离所有管理网络禁用所有不必要的服务严格规范所有管理访问实施强硬的访问控制安全原则在虚拟环境中的实施最低特权角色只具有必需的特权职责分离角色只适用于必需的对象管理员操作员用户AnneHarryJoe安全性与遵从性管理控制要求VMware产品合作伙伴产品配置管理、监控、审核VMwarevCenterServerVMwarevSphere主机配置

文件（将来提供）VMwarevCenterConfigControlConfiguresoftECMforVirtualizationNetIQSecureConfigurationManagerTripwireEnterpriseforVMware可审核、可重复的过程VMwarevCenterOrchestratorVMwarevCenterLifecycleManager离线虚拟机更新VMwareUpdateManagerShavlikNetChkProtect虚拟网络安全VMwarevShieldZonesvNetwork分布式交换机Cisco、Checkpoint、Reflex、ThirdBrigade多样化而且不断壮大的产品体系有助于

提供安全的VMwareInfrastructure虚拟化的安全优势易于维护全面推广前，可以在受控环境中针对多种配置测试补丁程序尝试某些有风险的配置前，可以使用快照保存虚拟机的已知良好状态可以将生产虚拟机克隆后离线执行修改，同时让原虚拟机保持

继续运行可以将更新后的虚拟机与以前的版本并行启动可根据需要让两者都运行足够长的时间，以验证新配置虚拟化的安全优势易于恢复可以从上一个已知良好的备份恢复

可以在隔离状态应用补丁程序，然后再联机能够执行辨证分析可在隔离状态下启动受黑客攻击的虚拟机可创建“虚拟蜜罐”vShieldZones安全遵从性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保护引擎VirtualDataCenterOSVMsafeAPI通过检查与管理程序一起使用的虚拟组件来保护虚拟机将保护引擎与恶意软件隔离广泛的覆盖范围，包括虚拟机CPU、内存、存储器和网络应用程序操作系统VMsafe™API用于虚拟机的所有虚拟硬件组件的APICPU/内存检查检查虚拟机或其应用程序使用的特定内存页了解CPU状态通过CPU和内存页的资源分配强制执行策略网络连接查看主机上的所有IO流量能够截取、查看、修改和复制来自一台主机上的任何或所有虚拟机的IO流量能够提供嵌入式保护或被动保护存储设备能够装入和读取虚拟磁盘(VMDK)检查对存储设备的IO读取/写入对于设备具有透明特点，对于ESXStorage堆栈具