上周在巴塞罗那举行的VMworld 2012上,我有机会与客户进行了多次对话,讨论了有关vSphere 5.1平台的许多主题和问题,其中之一是安全性永远重要的主题。尽管要付出很多努力来维持高安全性标准,但始终会担心任何基础架构的访问,审核和可追溯性。

随着vSphere 5.1平台的发布,VMware为该平台引入了许多安全增强功能。这些努力中有一些是围绕提高审计和安全能力而进行的,而另一些则超出了我的能力范围’我试图在这篇文章中讨论。

组织必须处理的众多关注问题之一是围绕与帐户,密码和审核功能有关的系统安全性和可访问性。 vSphere 5.1 通过改进平台许多区域的安全框架来解决了许多此类问题。这个事实不是某种保守的秘密,也不是我能够找到  博客文章  VMware的高级技术营销经理Kyle Gleed(在vSphere博客页面上),负责ESXi平台。本文讨论了安全性增强以及我建议阅读的其他一些重要细节。

我的意思是说明对ESXi 5.1所做的一些安全性改进,这些是我在巴塞罗那VMworld上的一些讨论中讨论的主题。

ESXi的 5.1 允许创建单个本地用户帐户。能够在ESXi主机上创建单个本地用户帐户,从而无需共享或使用“root”帐户和密码。这种方法有助于减轻最常见的安全风险之一。此方法可促进ESXi主机更好的审核和可跟踪性功能。

ESXi的 的 托管多个本地帐户

 

需要通过vSphere C#客户端创建和自定义本地ESXi帐户以及访问角色,而新的vSphere Web Client则不需要’t直接连接到ESXi主机。

ESXi的 的 主机本地访问角色

任何被授予管理员角色的本地帐户都将自动获得远程Shell(SSH)和本地DCUI访问。单个访问帐户的使用简化了审核,因为可以轻松跟踪远程本地登录以及单个任务的执行。

DCUI本地用户访问

 

推荐的审核和日志分析方法是将所有ESXi日志发送到集中式syslog服务器,以提供更好的可管理性和搜索功能。新的vSphere Web Client日志浏览器还是用于搜索ESXi日志的便捷工具。

日志浏览器

与vSphere 5.1中引入的安全性增强功能相关的主题很多,而且涉及很多内容,这只是其中之一。

– Enjoy

 

 

X