虛擬化核心技術和安全概述

第二章：虛擬化核心技術和安全虛擬化的核心技術VMotionVMotion是什么?通過VMotion可以實現(xiàn)虛擬機的動態(tài)遷移,而服務不中斷客戶優(yōu)勢零宕機時間:進行有計劃的服務器維護和升級遷移工作負載，資源利用率最大化服務器的持續(xù)可用性,完整的交易集成支持FibreChannel和iSCSISAN環(huán)境以及NASx86ArchitectureHypervisorx86ArchitectureHypervisorVMotion遷移虛擬機SAN、iSCSI或NASStorageVMotion虛擬機磁盤存儲獨立遷移無需虛擬機停機LUN獨立支持光纖通道SAN應用程序操作

系統(tǒng)應用程序操作

系統(tǒng)應用程序操作

系統(tǒng)無中斷：刷新到新陣列

遷移到不同類別的存儲器升級到新文件系統(tǒng)格式虛擬機粒度，LUN獨立分布式資源調度（DRS）功能跨資源池動態(tài)調整計算資源基于預定義的規(guī)則智能分配資源優(yōu)勢使IT和業(yè)務優(yōu)先級對應動態(tài)提高系統(tǒng)管理效率自動化的硬件維護動態(tài)負載均衡和連續(xù)智能優(yōu)化，保證所有應用需要的的資源資源池ResourcePool業(yè)務需求BusinessDemand圍繞業(yè)務進行組織和規(guī)劃…而不是您的硬件!負載分配規(guī)則設定一次，永遠有效，自動執(zhí)行易于添加更多的資源避免業(yè)務繁忙時段的過載DRS動態(tài)獲得硬件資源動態(tài)添加硬件資源池CPU36GHz,Mem58GB優(yōu)先級：

高資源池CPU50GHz,Mem70GB優(yōu)先級：高分布式電源管理(DPM)資源池業(yè)務需求下電當整個群集需要資源減少時，整合所有負載到少數(shù)幾臺服務器上將不需要的服務器置于備用模式當負載增加時，DPM自動將處于備用狀態(tài)的服務器喚醒在確保服務級別的同時，最大限度降低了數(shù)據(jù)中心服務器的耗電量虛擬機沒有中斷或停機利用UpdateManager和DRS無中斷地升級HypervisorUpdateManager升級整個DRS群集DRS群集中的每個Hypervisor主機依次進入維護模式虛擬機被VMotion到其他HypervisorHypervisor升級并重啟虛擬機重新VMotion回來下一臺Hypervisor重復以上步驟VMotionVMotionUpdateManagerserver大批量地升級Hypervisor并且不影響任何應用的運行，雖然Hypervisor會重啟，但確保虛擬機永不停機UpdateManager對Hypervisor和Microsoft及RHEL虛擬機的自動補丁管理掃描和更新在線和非在線的虛擬機，以及在線的Hypervisor補丁更新前先對虛擬機做快照，允許隨時回退到補丁前狀態(tài)UpdateManager不需手工跟蹤補丁版本和更新情況使用標準或自定義的補丁列表，批量更新虛擬機補丁利用快照技術降低應用補丁的風險離線補丁技術可以避免網(wǎng)絡上的干擾，還可以對模板應用補丁OFFLINE描述用于ESX虛擬機的高性能集群文件系統(tǒng)優(yōu)勢簡化虛擬機的部署和管理利用共享存儲確保數(shù)據(jù)完整性可運行多個ESX實例同時訪問

同一個虛擬機存儲支持基于虛擬化的分布式

基礎架構服務vStorageVMFSESXOSAPPOSAPPOSAPP數(shù)據(jù)存儲虛擬磁盤20GB100GBLUN擴展10G的虛擬磁盤添加新的虛擬磁盤增加VMFS卷

可擴大數(shù)據(jù)存儲擴展8G的虛擬磁盤20GB數(shù)據(jù)存儲不改變增加VMFS卷

可擴大數(shù)據(jù)存儲40GB描述通過分配比實際購買容量更多的存儲容量，來實現(xiàn)更高的存儲利用率優(yōu)勢簡化了管理延長了應用程序正常運行時間提高了存儲利用率vStorageThinProvisioningESXOSAPPOSAPPOSAPP數(shù)據(jù)存儲虛擬磁盤20GB40GB20GB20GB60GB20GB100GB厚精簡精簡40GB100GBvHA功能當服務器故障時，自動重新啟動虛擬機優(yōu)勢經(jīng)濟有效的適用于所有應用的高可用不需要獨占的stand-by硬件沒有集群軟件的成本和復雜性經(jīng)濟有效的適用于所有應用的高可用解決方案XFaultTolerance(FT)在不同的主機上同步運行相同的虛擬機出現(xiàn)硬件故障時，所有虛擬機均可實現(xiàn)零停機時間、零數(shù)據(jù)損失故障切換零停機時間、零數(shù)據(jù)損失無需復雜的群集或專用硬件所有應用程序和操作系統(tǒng)通用的單一機制VDCOS操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序X操作系統(tǒng)應用程序XDataRecovery虛擬機的無代理、基于磁盤的備份和恢復虛擬機或文件級別的恢復增量備份和消除重復數(shù)據(jù)以

節(jié)約磁盤空間為虛擬機提供快速、簡單和

完整的數(shù)據(jù)保護通過vCenter實現(xiàn)集中式管理經(jīng)濟高效的存儲管理消除重復數(shù)據(jù)存儲設備Hypervisor操作系統(tǒng)應用程序操作系統(tǒng)應用程序描述為供應商提供的編程界面。由VCB演變的新一代產品優(yōu)勢支持虛擬機的增量、差異和完整

映像備份和恢復為Windows和Linux虛擬機提供

文件級備份支持提供不會對ESX造成負載的高效

備份用于數(shù)據(jù)保護的vStorageAPIvNetwork分布式交換機聚合數(shù)據(jù)中心級別虛擬網(wǎng)絡簡化的設置和更改輕松地進行故障排除、監(jiān)視和調試支持第三方虛擬環(huán)境的透明管理操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序操作系統(tǒng)應用程序VDCOSvNetwork分布式交換機虛擬交換機虛擬交換機虛擬交換機CiscoNexus1000VvShieldZones安全遵從性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保護引擎VirtualDataCenterOSVMsafeAPI通過檢查與管理程序一起使用的虛擬組件來保護虛擬機將保護引擎與惡意軟件隔離廣泛的覆蓋范圍，包括虛擬機CPU、內存、存儲器和網(wǎng)絡應用程序操作系統(tǒng)vApp—自我描述的應用系統(tǒng)可實現(xiàn)自動化SLA管理縱向擴展應用系統(tǒng)以實現(xiàn)有保證的QoS可擴展虛擬機熱添加CPU內存熱添加和刪除存儲設備網(wǎng)絡設備熱擴展虛擬磁盤以零停機時間橫向擴展虛擬機64GB4個CPU255GB8個CPU操作系統(tǒng)應用程序P2VConverter說明VMwareConverter自動將物理機、其他格式的虛擬機和第三方映像格式轉換為VMware虛擬機。優(yōu)勢簡化升級到

VMwareInfrastructure的過程。

物理機

第三方映像格式

其他虛擬機格式虛擬機P2V

Converter虛擬數(shù)據(jù)中心的可靠性存儲站點組件服務器避免計劃內停機最大限度地減少計劃外停機網(wǎng)絡冗余、多路徑StorageVMotionVMotion+DRS維護模式網(wǎng)卡和HBA綁定DataRecovery、

VMwareReady?

數(shù)據(jù)保護合作伙伴HA

FaultToleranceSiteRecoveryManager受保護站點恢復站點vCenterSiteRecovery

ManagervCenterSiteRecovery

Manager數(shù)據(jù)存儲組陣列復制數(shù)據(jù)存儲組XSiteRecoveryManager概覽SiteRecoveryManager核心功能對災難恢復的集中管理從單一管理點創(chuàng)建、測試、更新和執(zhí)行恢復計劃與VirtualCenter緊密集成災難恢復自動化預先構建恢復流程自動測試恢復計劃自動執(zhí)行恢復流程簡化的設置和集成分配和管理恢復資源與領先供應商的存儲復制系統(tǒng)輕松集成存儲設備服務器虛擬機HypervisorHypervisorHypervisorHypervisorvCenterSiteRecoveryManager虛擬化的安全虛擬化安全策略自我描述、自我

配置的安全性虛擬化的獨特優(yōu)勢安全性虛擬化.OVF安全的虛擬機管理程序體系結構平臺安全強化功能安全的開發(fā)生命

周期平臺安全性針對部署和配置的說明性指導集成到企業(yè)的

現(xiàn)有策略、

流程和工具中安全的操作體系結構：服務器虛擬化類型托管虛擬化裸機虛擬化VMwareWorkstationVMwareServerVMwarePlayerVMwareFusionVMwareESX主機OS

改變安全

配置文件可在

客戶虛擬機

可信時采用即使

客戶虛擬機

不一定可信時也可采用體系結構：設計為隔離方式oryCPU和內存虛擬機不具有完全的CPU訪問權內存隔離通過硬件實施內存頁在由虛擬機使用前一律清零

虛擬網(wǎng)絡

不存在鏈接虛擬交換機的代碼虛擬交換機不會受到學習型或橋接型攻擊虛擬存儲

虛擬機只能看到虛擬SCSI設備，而看不到實際存儲由VMFS使用SCSI文件鎖強制實施虛擬機對虛擬磁盤的獨占訪問

ESX虛擬機管理程序：堅實可靠的基礎MSFT/Xen體系結構VMware體系結構精簡自定義內核更少補丁程序更少攻擊針對VMware優(yōu)化的驅動程序更為穩(wěn)定直接驅動程序模型更高的I/O吞吐量大型通用操作系統(tǒng)頻繁添加補丁更多攻擊通用的第三方驅動程序欠穩(wěn)定間接驅動程序模型負載時I/O性能下降DriversDriversVirtualMachineVirtualMachineDriversVirtualMachine驅動程序驅動程序虛擬機虛擬機驅動程序虛擬機驅動程序驅動程序虛擬機驅動程序驅動程序虛擬機Dom0(Linux)或父級虛擬機(Windows)安全實現(xiàn)瘦Hypervisor-ESXi緊湊的100MB占用空間更少補丁程序更小的受攻擊面無需通用管理操作系統(tǒng)服務器上不運行任意碼不易受常見威脅影響唯一不受操作系統(tǒng)影響的

專門針對虛擬化的設計ESXi安全實現(xiàn)平臺安全強化完善的內存保護功能ASLR–隨機確定核心內核模塊

在內存中的加載位置NX/XD–將內存的可寫區(qū)域標記為

不可執(zhí)行內核完整性數(shù)字簽名–確保模塊、驅動程序和

應用程序在由VMkernel加載時的

完整性和真實性模塊簽名–使ESX具備識別模塊、

驅動程序或應用程序的提供者以及

它們是否取得VMware認證的能力安全開發(fā)生命周期流程全面實現(xiàn)安全性的方式培訓體系結構風險分析/威脅建模最佳實踐和遵從性要求自動和手動代碼分析安全性測試響應在各階段都讓第三方專家參與經(jīng)驗證，受廣大用戶信任成千上萬客戶已在生產

環(huán)境中應用已通過美國數(shù)家最大銀行的安全審查并投入生產使用已通過國防和安全機構的

嚴格審查VMware技術被選為美國

國家安全局(NSA)虛擬化工作站的基礎經(jīng)過獨立驗證CommonCriteriaEAL認證CCEAL4+認證最高的認證級別ESX3.0已獲此認證；

ESX3.5即將獲得針對ESX的DISASTIG獲準在美國國防部(DoD)信息

系統(tǒng)中使用NSACentralSecurityService針對數(shù)據(jù)中心和臺式機方案的

指導最大的安全風險：操作NeilMacDonald–“如何安全地實施虛擬化”“與在物理方案中一樣，多數(shù)安全漏洞都是通過誤配置和管理失誤帶來的”虛擬化對數(shù)據(jù)中心安全性的影響AbstractionandConsolidation↑CapitalandOperationalCostSavings↓Newinfrastructurelayertobesecured↓Greaterimpactofattackormisconfiguration抽象和整合↑節(jié)約資金成本和運營成本↓需要保護新的基礎架構層

↓攻擊或錯誤配置會帶來較大影響

多臺交換機和服務器重合為一臺設備

↑靈活性↑節(jié)約成本↓缺少虛擬網(wǎng)絡可視性和控制

能力↓沒有“默認隔離”的管理機制

虛擬化對數(shù)據(jù)中心安全性的影響ystems更快的服務器部署速度

↑IT響應速度

↓配置不一致↓過程定義較差

虛擬機移動性

↑提高了服務級別↓標識與物理位置分離

虛擬機封裝

↑輕松實現(xiàn)業(yè)務連續(xù)性↑一致的部署↑獨立于硬件↓過時的離線系統(tǒng)

哪些是不必擔心的虛擬機管理程序攻擊

示例：BluePill、SubVirt等這些都是極為復雜的理論性攻擊安全保護領域人士普遍認為它只有學術上的意義

不相干的體系結構

示例：大量報告宣稱發(fā)現(xiàn)客戶虛擬機逸出多數(shù)只適用于托管體系結構（例如工作站），而不適用于裸機結構（亦即ESX）托管體系結構通常僅在您可以信賴客戶虛擬機時才適用

設想的情形

示例：VMotion截取造成漏洞的情形：

未遵守針對虛擬化的安全增強、鎖定、設計方面的最佳實踐，

或者采用了較差的一般IT基礎架構安全機制

保護虛擬機安全主機防病毒軟件補丁程序管理網(wǎng)絡入侵檢測/預防(IDS/IPS)邊緣防火墻提供與物理服務器一樣的保護針對虛擬化層的安全設計基本設計原則隔離所有管理網(wǎng)絡禁用所有不必要的服務嚴格規(guī)范所有管理訪問實施強硬的訪問控制安全原則在虛擬環(huán)境中的實施最低特權角色只具有必需的特權職責分離角色只適用于必需的對象管理員操作員用戶AnneHarryJoe安全性與遵從性管理控制要求VMware產品合作伙伴產品配置管理、監(jiān)控、審核VMwarevCenterServerVMwarevSphere主機配置

文件（將來提供）VMwarevCenterConfigControlConfiguresoftECMforVirtualizationNetIQSecureConfigurationManagerTripwireEnterpriseforVMware可審核、可重復的過程VMwarevCenterOrchestratorVMwarevCenterLifecycleManager離線虛擬機更新VMwareUpdateManagerShavlikNetChkProtect虛擬網(wǎng)絡安全VMwarevShieldZonesvNetwork分布式交換機Cisco、Checkpoint、Reflex、ThirdBrigade多樣化而且不斷壯大的產品體系有助于

提供安全的VMwareInfrastructure虛擬化的安全優(yōu)勢易于維護全面推廣前，可以在受控環(huán)境中針對多種配置測試補丁程序嘗試某些有風險的配置前，可以使用快照保存虛擬機的已知良好狀態(tài)可以將生產虛擬機克隆后離線執(zhí)行修改，同時讓原虛擬機保持

繼續(xù)運行可以將更新后的虛擬機與以前的版本并行啟動可根據(jù)需要讓兩者都運行足夠長的時間，以驗證新配置虛擬化的安全優(yōu)勢易于恢復可以從上一個已知良好的備份恢復

可以在隔離狀態(tài)應用補丁程序，然后再聯(lián)機能夠執(zhí)行辨證分析可在隔離狀態(tài)下啟動受黑客攻擊的虛擬機可創(chuàng)建“虛擬蜜罐”vShieldZones安全遵從性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保護引擎VirtualDataCenterOSVMsafeAPI通過檢查與管理程序一起使用的虛擬組件來保護虛擬機將保護引擎與惡意軟件隔離廣泛的覆蓋范圍，包括虛擬機CPU、內存、存儲器和網(wǎng)絡應用程序操作系統(tǒng)VMsafe?API用于虛擬機的所有虛擬硬件組件的APICPU/內存檢查檢查虛擬機或其應用程序使用的特定內存頁了解CPU狀態(tài)通過CPU和內存頁的資源分配強制執(zhí)行策略網(wǎng)絡連接查看主機上的所有IO流量能夠截取、查看、修改和復制來自一臺主機上的任何或所有虛擬機的IO流量能夠提供嵌入式保護或被動保護存儲設備能夠裝入和讀取虛擬磁盤(VMDK)檢查對存儲設備的IO讀取/寫入對于設備具有透明特點，對于ESXStorage堆棧具