虛擬化核心技術和安全概述

第二章：虛擬化核心技術和安全虛擬化的核心技術VMotionVMotion是什么?通過VMotion可以實現虛擬機的動態(tài)遷移,而服務不中斷客戶優(yōu)勢零宕機時間:進行有計劃的服務器維護和升級遷移工作負載，資源利用率最大化服務器的持續(xù)可用性,完整的交易集成支持FibreChannel和iSCSISAN環(huán)境以及NASx86ArchitectureHypervisorx86ArchitectureHypervisorVMotion遷移虛擬機SAN、iSCSI或NASStorageVMotion虛擬機磁盤存儲獨立遷移無需虛擬機停機LUN獨立支持光纖通道SAN應用程序操作

系統(tǒng)應用程序操作

系統(tǒng)應用程序操作

系統(tǒng)無中斷：刷新到新陣列

遷移到不同類別的存儲器升級到新文件系統(tǒng)格式虛擬機粒度，LUN獨立分布式資源調度（DRS）功能跨資源池動態(tài)調整計算資源基于預定義的規(guī)則智能分配資源優(yōu)勢使IT和業(yè)務優(yōu)先級對應動態(tài)提高系統(tǒng)管理效率自動化的硬件維護動態(tài)負載均衡和連續(xù)智能優(yōu)化，保證所有應用需要的的資源資源池ResourcePool業(yè)務需求BusinessDemand圍繞業(yè)務進行組織和規(guī)劃…而不是您的硬件!負載分配規(guī)則設定一次，永遠有效，自動執(zhí)行易于添加更多的資源避免業(yè)務繁忙時段的過載DRS動態(tài)獲得硬件資源動態(tài)添加硬件資源池CPU36GHz,Mem58GB優(yōu)先級：

高資源池CPU50GHz,Mem70GB優(yōu)先級：高分布式電源管理(DPM)資源池業(yè)務需求下電當整個群集需要資源減少時，整合所有負載到少數幾臺服務器上將不需要的服務器置于備用模式當負載增加時，DPM自動將處于備用狀態(tài)的服務器喚醒在確保服務級別的同時，最大限度降低了數據中心服務器的耗電量虛擬機沒有中斷或停機利用UpdateManager和DRS無中斷地升級HypervisorUpdateManager升級整個DRS群集DRS群集中的每個Hypervisor主機依次進入維護模式虛擬機被VMotion到其他HypervisorHypervisor升級并重啟虛擬機重新VMotion回來下一臺Hypervisor重復以上步驟VMotionVMotionUpdateManagerserver大批量地升級Hypervisor并且不影響任何應用的運行，雖然Hypervisor會重啟，但確保虛擬機永不停機UpdateManager對Hypervisor和Microsoft及RHEL虛擬機的自動補丁管理掃描和更新在線和非在線的虛擬機，以及在線的Hypervisor補丁更新前先對虛擬機做快照，允許隨時回退到補丁前狀態(tài)UpdateManager不需手工跟蹤補丁版本和更新情況使用標準或自定義的補丁列表，批量更新虛擬機補丁利用快照技術降低應用補丁的風險離線補丁技術可以避免網絡上的干擾，還可以對模板應用補丁OFFLINE描述用于ESX虛擬機的高性能集群文件系統(tǒng)優(yōu)勢簡化虛擬機的部署和管理利用共享存儲確保數據完整性可運行多個ESX實例同時訪問

同一個虛擬機存儲支持基于虛擬化的分布式

基礎架構服務vStorageVMFSESXOSAPPOSAPPOSAPP數據存儲虛擬磁盤20GB100GBLUN擴展10G的虛擬磁盤添加新的虛擬磁盤增加VMFS卷

可擴大數據存儲擴展8G的虛擬磁盤20GB數據存儲不改變增加VMFS卷

可擴大數據存儲40GB描述通過分分配比比實際際購買買容量量更更多的的存儲儲容量量，來來實現現更高高的存存儲利利用率率優(yōu)勢簡化了了管理理延長了了應用用程序序正常常運行行時間間提高了了存儲儲利用用率vStorageThinProvisioningESXOSAPPOSAPPOSAPP數據存存儲虛擬磁磁盤20GB40GB20GB20GB60GB20GB100GB厚精簡精簡40GB100GBvHA功能當服務務器故故障時時，自自動重重新啟啟動虛虛擬機機優(yōu)勢經濟有有效的的適用用于所所有應應用的的高可可用不需要要獨占占的stand-by硬件沒有集集群軟軟件的的成本本和復復雜性性經濟有有效的的適用用于所所有應應用的的高可可用解解決方方案XFaultTolerance(FT)在不同同的主主機上上同步步運行行相同同的虛虛擬機機出現硬硬件故故障時時，所所有虛虛擬機機均可可實現現零停停機時時間、、零數數據損損失故故障切切換零停機機時間間、零零數據據損失失無需復復雜的的群集集或專專用硬硬件所有應應用程程序和和操作作系統(tǒng)統(tǒng)通用用的單單一機機制VDCOS操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序X操作系統(tǒng)應用程序XDataRecovery虛擬機機的無無代理理、基基于磁磁盤的的備份份和恢恢復虛擬機機或文文件級級別的的恢復復增量備備份和和消除除重復復數據據以節(jié)節(jié)約約磁盤盤空間間為虛擬擬機提提供快快速、、簡單單和完完整整的數數據保保護通過vCenter實現集集中式式管理理經濟高高效的的存儲儲管理理消除重重復數數據存儲設設備Hypervisor操作系統(tǒng)應用程序操作系統(tǒng)應用程序描述為供應商商提供供的編編程界界面。。由VCB演變的新新一代代產品品優(yōu)勢支持虛虛擬機機的增增量、、差異異和完完整映映像備備份和和恢復復為Windows和Linux虛擬機機提供供文文件件級備備份支支持提供不不會對對ESX造成負負載的的高效效備備份份用于數數據保保護的的vStorageAPIvNetwork分布式式交換換機聚合數數據中中心級級別虛虛擬網網絡簡化的的設置置和更更改輕松地地進行行故障障排除除、監(jiān)監(jiān)視和和調試試支持第第三方方虛擬擬環(huán)境境的透透明管管理操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序VDCOSvNetwork分布式式交換換機虛擬交交換機機虛擬交交換機機虛擬交交換機機CiscoNexus1000VvShieldZones安全遵遵從性性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保護引引擎VirtualDataCenterOSVMsafeAPI通過檢檢查與與管理理程序序一起起使用用的虛虛擬組組件來來保護護虛擬擬機將保護護引擎擎與惡惡意軟軟件隔隔離廣泛的的覆蓋蓋范圍圍，包包括虛虛擬機機CPU、內存存、存存儲器器和網網絡應用程程序操作系系統(tǒng)vApp——自我描描述的的應用用系統(tǒng)統(tǒng)可實實現自自動化化SLA管理縱向擴擴展應應用系系統(tǒng)以以實現現有保保證的的QoS可擴展展虛擬擬機熱添加加CPU內存熱添加加和刪刪除存儲設設備網絡設設備熱擴展展虛擬擬磁盤盤以零停停機時時間橫橫向擴擴展虛虛擬機機64GB4個CPU255GB8個CPU操作系統(tǒng)應用程序P2VConverter說明VMwareConverter自動將將物理理機、、其他他格式式的虛虛擬機機和第第三方方映像像格式式轉換換為VMware虛擬機機。優(yōu)勢簡化升升級到到VMwareInfrastructure的過程程。物理機機第三方方映像像格式式其他虛虛擬機機格式式虛擬機機P2VConverter虛擬數數據中中心的的可靠靠性存儲站點組件服務器器避免計計劃內內停機機最大限限度地地減少計計劃外停機機網絡冗冗余、、多路路徑StorageVMotionVMotion+DRS維護模模式網卡和和HBA綁定DataRecovery、VMwareReady??數據保保護合合作伙伙伴HAFaultToleranceSiteRecoveryManager受保護護站點點恢復站站點vCenterSiteRecoveryManagervCenterSiteRecoveryManager數據存存儲組組陣列復制數據存存儲組組XSiteRecoveryManager概覽SiteRecoveryManager核心功功能對災難難恢復復的集集中管管理從單一一管理理點創(chuàng)創(chuàng)建、、測試試、更更新和和執(zhí)行行恢復復計劃劃與VirtualCenter緊密集成災難恢復自自動化預先構建恢恢復流程自動測試恢恢復計劃自動執(zhí)行恢恢復流程簡化的設置置和集成分配和管理理恢復資源源與領先供應應商的存儲儲復制系統(tǒng)統(tǒng)輕松集成成存儲設備服務器虛擬機HypervisorHypervisorHypervisorHypervisorvCenterSiteRecoveryManager虛擬化的安安全虛擬化安全全策略自我描述、自我

配置的安全性虛擬化的獨特優(yōu)勢安全性虛擬化.OVF安全的虛擬機管理程序體系結構平臺安全強化功能安全的開發(fā)生命

周期平臺安全性針對部署和配置的說明性指導集成到企業(yè)的

現有策略、

流程和工具中安全的操作體系結構：：服務器虛虛擬化類型型托管虛擬化化裸機虛擬化化VMwareWorkstationVMwareServerVMwarePlayerVMwareFusionVMwareESX主機OS改變安全配配置文件件可在

客戶戶虛擬機可可信時采采用即使

客戶戶虛擬機不不一定可可信時也可可采用體系結構：：設計為隔隔離方式oryCPU和內存虛擬機不具有完全的CPU訪問權內存隔離通過硬件實施內存頁在由虛擬機使用前一律清零

虛擬網絡

不存在鏈接虛擬交換機的代碼虛擬交換機不會受到學習型或橋接型攻擊虛擬存儲

虛擬機只能看到虛擬SCSI設備，而看不到實際存儲由VMFS使用SCSI文件鎖強制實施虛擬機對虛擬磁盤的獨占訪問

ESX虛擬機管理理程序：堅堅實可靠的的基礎MSFT/Xen體系系結構VMware體系系結構精簡自定義義內核更少補丁程程序更少攻擊針對VMware優(yōu)化的驅動動程序更為穩(wěn)定直接驅動程程序模型更高的I/O吞吐量大型通用操操作系統(tǒng)頻繁添加補補丁更多攻擊通用的第三三方驅動程程序欠穩(wěn)定間接驅動程程序模型負載時I/O性能下降DriversDriversVirtualMachineVirtualMachineDriversVirtualMachine驅動程序驅動程序虛擬機虛擬機驅動程序虛擬機驅動程序驅動程序虛擬機驅動程序驅動程序虛擬機Dom0(Linux)或父級虛擬機機(Windows)安全實現瘦Hypervisor-ESXi緊湊的100MB占用空間更少補丁程程序更小的受攻攻擊面無需通用管管理操作系系統(tǒng)服務器上不不運行任意意碼不易受常見見威脅影響響唯一不受操操作系統(tǒng)影影響的專專門針對虛虛擬化的設設計ESXi安全實現平臺安全強強化完善的內存存保護功能能ASLR––隨機確定核核心內核模模塊

在內內存中的加加載位置NX/XD–將內存的可可寫區(qū)域標標記為不不可執(zhí)行內核完整性性數字簽名–確保模塊、、驅動程序序和

應用用程序在由由VMkernel加載時的完完整性和和真實性模塊簽名–使ESX具備識別模模塊、驅驅動程序或或應用程序序的提供者者以及它它們是否取取得VMware認證的能力力安全開發(fā)生生命周期流流程全面實現安安全性的方方式培訓體系結構風風險分析/威脅建模最佳實踐和和遵從性要要求自動和手動動代碼分析析安全性測試試響應在各階段都都讓第三方方專家參與與經驗證，受受廣大用戶戶信任成千上萬客客戶已在生生產

環(huán)境境中應用已通過美國國數家最大大銀行的安安全審查并并投入生產產使用已通過國防防和安全機機構的嚴嚴格審查VMware技術被選為為美國國國家安全局局(NSA)虛擬化工作作站的基礎礎經過獨立驗驗證CommonCriteriaEAL認證CCEAL4+認證最高的認證證級別ESX3.0已獲此認證證；ESX3.5即將獲得針對ESX的DISASTIG獲準在美國國國防部(DoD)信息

系統(tǒng)統(tǒng)中使用NSACentralSecurityService針對數據中中心和臺式式機方案的的

指導最大的安全全風險：操操作NeilMacDonald–“如何安全地地實施虛擬擬化”“與在物理方方案中一樣樣，多數安安全漏洞都都是通過誤誤配置和管管理失誤帶帶來的”虛擬化對數數據中心安安全性的影影響AbstractionandConsolidation↑CapitalandOperationalCostSavings↓Newinfrastructurelayertobesecured↓Greaterimpactofattackormisconfiguration抽象和整合↑節(jié)約資金成本和運營成本↓需要保護新的基礎架構層

↓攻擊或錯誤配置會帶來較大影響

多臺交換機和服務器重合為一臺設備

↑靈活性↑節(jié)約成本↓缺少虛擬網絡可視性和控制

能力↓沒有“默認隔離”的管理機制

虛擬化對數數據中心安安全性的影影響ystems更快的服務器部署速度

↑IT響應速度

↓配置不一致↓過程定義較差

虛擬機移動性

↑提高了服務級別↓標識與物理位置分離

虛擬機封裝

↑輕松實現業(yè)務連續(xù)性↑一致的部署↑獨立于硬件↓過時的離線系統(tǒng)

哪些是不必必擔心的虛擬機管理程序攻擊

示例：BluePill、SubVirt等這些都是極為復雜的理論性攻擊安全保護領域人士普遍認為它只有學術上的意義

不相干的體系結構

示例：大量報告宣稱發(fā)現客戶虛擬機逸出多數只適用于托管體系結構（例如工作站），而不適用于裸機結構（亦即ESX）托管體系結構通常僅在您可以信賴客戶虛擬機時才適用

設想的情形

示例：VMotion截取造成漏洞的情形：

未遵守針對虛擬化的安全增強、鎖定、設計方面的最佳實踐，

或者采用了較差的一般IT基礎架構安全機制

保護虛擬機機安全主機防病毒軟件件補丁程序管管理網絡入侵檢測/預防(IDS/IPS)邊緣防火墻提供與物理理服務器一一樣的保護護針對虛擬化化層的安全全設計基本設計原原則隔離所有管管理網絡禁用所有不不必要的服服務嚴格規(guī)范所所有管理訪訪問實施強硬的的訪問控制制安全原則在虛擬環(huán)境中的實施最低特權角色只具有必需的特權職責分離角色只適用于必需的對象管理員操作員用戶AnneHarryJoe安全性與遵遵從性管理理控制要求VMware產品合作伙伴產品配置管理、監(jiān)控、審核VMwarevCenterServerVMwarevSphere主機配置

文件（將來提供）VMwarevCenterConfigControlConfiguresoftECMforVirtualizationNetIQSecureConfigurationManagerTripwireEnterpriseforVMware可審核、可重復的過程VMwarevCenterOrchestratorVMwarevCenterLifecycleManager離線虛擬機更新VMwareUpdateManagerShavlikNetChkProtect虛擬網絡安全VMwarevShieldZonesvNetwork分布式交換機Cisco、Checkpoint、Reflex、ThirdBrigade多樣化而且且不斷壯大大的產品體體系有助于于

提供安安全的VMwareInfrastructure虛擬化的安安全優(yōu)勢易于維護全面推廣前前，可以在在受控環(huán)境境中針對多多種配置測測試補丁程程序嘗試某些有有風險的配配置前，可可以使用快快照保存虛虛擬機的已已知良好狀狀態(tài)可以將生產產虛擬機克克隆后離線線執(zhí)行修改改，同時讓讓原虛擬機機保持繼繼續(xù)運行可以將更新新后的虛擬擬機與以前前的版本并并行啟動可根據需要要讓兩者都都運行足夠夠長的時間間，以驗證證新配置虛擬化的安安全優(yōu)勢易于恢復可以從上一一個已知良良好的備份份恢復可以在隔離離狀態(tài)應用用補丁程序序，然后再再聯機能夠執(zhí)行辨辨證分析可在隔離狀狀態(tài)下啟動動受黑客攻攻擊的虛擬擬機可創(chuàng)建“虛虛擬蜜罐””vShieldZones安全遵從性性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保護引擎VirtualDataCenterOSVMsafeAPI通過檢查與與管理程序序一起使用用的虛擬組組件來保護護虛擬機將保護引擎擎與惡意軟軟件隔離廣泛的覆蓋蓋范圍，包包括虛擬機機CPU、內存、存存儲器和網網絡應用程序操作系統(tǒng)VMsafe?API用于虛擬機機的所有虛虛擬硬件組組件的APICPU/內存檢查檢查虛擬機機或其應用用程序使用用的特定內內存頁了解CPU狀態(tài)通過CPU和內存頁的的資源分配配強制執(zhí)行行策略網絡連接查看主機上上的所有IO流量能夠截取、、查看、修修改和復制制來自一臺臺主機上的的任何或所所有虛擬機機的IO流量能夠提供嵌嵌入式保護護或被動保保護