第二章虚拟化核心技术和安全

第二章：虚拟化核心技术和安全虚拟化的核心技术VMotionVMotion是什么?通过VMotion可以实现虚拟机的动态迁移,而服务不中断客户优势零宕机时间:进行有计划的服务器维护和升级迁移工作负载，资源利用率最大化服务器的持续可用性,完整的交易集成支持FibreChannel和iSCSISAN环境以及NASx86ArchitectureHypervisorx86ArchitectureHypervisorVMotion迁移虚拟机SAN、iSCSI或NASStorageVMotion虚拟机磁盘存储独立迁移无需虚拟机停机LUN独立支持光纤通道SAN应用程序操作

系统应用程序操作

系统应用程序操作

系统无中断：刷新到新阵列

迁移到不同类别的存储器升级到新文件系统格式虚拟机粒度，LUN独立分布式资源调度（DRS）功能跨资源池动态调整计算资源基于预定义的规则智能分配资源优势使IT和业务优先级对应动态提高系统管理效率自动化的硬件维护动态负载均衡和连续智能优化，保证所有应用需要的的资源资源池ResourcePool业务需求BusinessDemand围绕业务进行组织和规划…而不是您的硬件!负载分配规则设定一次，永远有效，自动执行易于添加更多的资源避免业务繁忙时段的过载DRS动态获得硬件资源动态添加硬件资源池CPU36GHz,Mem58GB优先级：

高资源池CPU50GHz,Mem70GB优先级：高分布式电源管理(DPM)资源池业务需求下电当整个群集需要资源减少时，整合所有负载到少数几台服务器上将不需要的服务器置于备用模式当负载增加时，DPM自动将处于备用状态的服务器唤醒在确保服务级别的同时，最大限度降低了数据中心服务器的耗电量虚拟机没有中断或停机利用UpdateManager和DRS无中断地升级HypervisorUpdateManager升级整个DRS群集DRS群集中的每个Hypervisor主机依次进入维护模式虚拟机被VMotion到其他HypervisorHypervisor升级并重启虚拟机重新VMotion回来下一台Hypervisor重复以上步骤VMotionVMotionUpdateManagerserver大批量地升级Hypervisor并且不影响任何应用的运行，虽然Hypervisor会重启，但确保虚拟机永不停机UpdateManager对Hypervisor和Microsoft及RHEL虚拟机的自动补丁管理扫描和更新在线和非在线的虚拟机，以及在线的Hypervisor补丁更新前先对虚拟机做快照，允许随时回退到补丁前状态UpdateManager不需手工跟踪补丁版本和更新情况使用标准或自定义的补丁列表，批量更新虚拟机补丁利用快照技术降低应用补丁的风险离线补丁技术可以避免网络上的干扰，还可以对模板应用补丁OFFLINE描述用于ESX虚拟机的高性能集群文件系统优势简化虚拟机的部署和管理利用共享存储确保数据完整性可运行多个ESX实例同时访问

同一个虚拟机存储支持基于虚拟化的分布式

基础架构服务vStorageVMFSESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB100GBLUN扩展10G的虚拟磁盘添加新的虚拟磁盘增加VMFS卷

可扩大数据存储扩展8G的虚拟磁盘20GB数据存储不改变增加VMFS卷

可扩大数据存储40GB描述通过分配比比实际购买买容量更更多的存储储容量，来来实现更高高的存储利利用率优势简化了管理理延长了应用用程序正常常运行时间间提高了存储储利用率vStorageThinProvisioningESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB40GB20GB20GB60GB20GB100GB厚精简精简40GB100GBvHA功能当服务器故故障时，自自动重新启启动虚拟机机优势经济有效的的适用于所所有应用的的高可用不需要独占占的stand-by硬件没有集群软软件的成本本和复杂性性经济有效的的适用于所所有应用的的高可用解解决方案XFaultTolerance(FT)在不同的主主机上同步步运行相同同的虚拟机机出现硬件故故障时，所所有虚拟机机均可实现现零停机时时间、零数数据损失故故障切换零停机时间间、零数据据损失无需复杂的的群集或专专用硬件所有应用程程序和操作作系统通用用的单一机机制VDCOS操作系统应用程序操作系统应用程序操作系统应用程序X操作系统应用程序XDataRecovery虚拟机的的无代理理、基于于磁盘的的备份和和恢复虚拟机或或文件级级别的恢恢复增量备份份和消除除重复数数据以节节约磁磁盘空间间为虚拟机机提供快快速、简简单和完完整的的数据保保护通过vCenter实现集中中式管理理经济高效效的存储储管理消除重复复数据存储设备备Hypervisor操作系统应用程序操作系统应用程序描述为供应商提提供的编编程界面面。由VCB演变的新一一代产品品优势支持虚拟拟机的增增量、差差异和完完整映映像备份份和恢复复为Windows和Linux虚拟机提提供文文件级备备份支持持提供不会会对ESX造成负载载的高效效备备份份用于数据据保护的的vStorageAPIvNetwork分布式交交换机聚合数据据中心级级别虚拟拟网络简化的设设置和更更改轻松地进进行故障障排除、、监视和和调试支持第三三方虚拟拟环境的的透明管管理操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序VDCOSvNetwork分布式交交换机虚拟交换换机虚拟交换换机虚拟交换换机CiscoNexus1000VvShieldZones安全遵从从性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保护引擎擎VirtualDataCenterOSVMsafeAPI通过检查查与管理理程序一一起使用用的虚拟拟组件来来保护虚虚拟机将保护引引擎与恶恶意软件件隔离广泛的覆覆盖范围围，包括括虚拟机机CPU、内存、、存储器器和网络络应用程序序操作系统统vApp—自我描述述的应用用系统可可实现自自动化SLA管理纵向扩展展应用系系统以实实现有保保证的QoS可扩展虚虚拟机热添加CPU内存热添加和和删除存储设备备网络设备备热扩展虚虚拟磁盘盘以零停机机时间横横向扩展展虚拟机机64GB4个CPU255GB8个CPU操作系统应用程序P2VConverter说明VMwareConverter自动将物物理机、、其他格格式的虚虚拟机和和第三方方映像格格式转换换为VMware虚拟机。。优势简化升级级到VMwareInfrastructure的过程。。物理机第三方映映像格式式其他虚拟拟机格式式虚拟机P2VConverter虚拟数据据中心的的可靠性性存储站点组件服务器避免计划划内停机机最大限度度地减少计划划外停机网络冗余余、多路路径StorageVMotionVMotion+DRS维护模式式网卡和HBA绑定DataRecovery、VMwareReady™数据保护合作作伙伴HA

FaultToleranceSiteRecoveryManager受保护站点恢复站点vCenterSiteRecoveryManagervCenterSiteRecoveryManager数据存储组阵列复制数据存储组XSiteRecoveryManager概览SiteRecoveryManager核心功能对灾难恢复的的集中管理从单一管理点点创建、测试试、更新和执执行恢复计划划与VirtualCenter紧密集成灾难恢复自动动化预先构建恢复复流程自动测试恢复复计划自动执行恢复复流程简化的设置和和集成分配和管理恢恢复资源与领先供应商商的存储复制制系统轻松集集成存储设备服务器虚拟机HypervisorHypervisorHypervisorHypervisorvCenterSiteRecoveryManager虚拟化的安全全虚拟化安全策策略自我描述、自我

配置的安全性虚拟化的独特优势安全性虚拟化.OVF安全的虚拟机管理程序体系结构平台安全强化功能安全的开发生命

周期平台安全性针对部署和配置的说明性指导集成到企业的

现有策略、

流程和工具中安全的操作体系结构：服服务器虚拟化化类型托管虚拟化裸机虚拟化VMwareWorkstationVMwareServerVMwarePlayerVMwareFusionVMwareESX主机OS改变安全配配置文件可在

客户虚虚拟机

可信信时采用即使

客户虚虚拟机

不一一定可信时也也可采用体系结构：设设计为隔离方方式oryCPU和内存虚拟机不具有完全的CPU访问权内存隔离通过硬件实施内存页在由虚拟机使用前一律清零

虚拟网络

不存在链接虚拟交换机的代码虚拟交换机不会受到学习型或桥接型攻击虚拟存储

虚拟机只能看到虚拟SCSI设备，而看不到实际存储由VMFS使用SCSI文件锁强制实施虚拟机对虚拟磁盘的独占访问

ESX虚拟机管理程程序：坚实可可靠的基础MSFT/Xen体体系结构VMware体系结构构精简自定义内内核更少补丁程序序更少攻击针对VMware优化的驱动程程序更为稳定直接驱动程序序模型更高的I/O吞吐量大型通用操作作系统频繁添加补丁丁更多攻击通用的第三方方驱动程序欠稳定间接驱动程序序模型负载时I/O性能下降DriversDriversVirtualMachineVirtualMachineDriversVirtualMachine驱动程序驱动程序虚拟机虚拟机驱动程序虚拟机驱动程序驱动程序虚拟机驱动程序驱动程序虚拟机Dom0(Linux)或父级虚拟机(Windows)安全实现瘦Hypervisor-ESXi紧凑的100MB占用空间更少补丁程序序更小的受攻击击面无需通用管理理操作系统服务器上不运运行任意码不易受常见威威胁影响唯一不受操作作系统影响的的

专门针对对虚拟化的设设计ESXi安全实现平台安全强化化完善的内存保保护功能ASLR––随机确定核心心内核模块在在内存中的的加载位置NX/XD––将内存的可写写区域标记为为

不可执行行内核完整性数字签名–确保模块、驱驱动程序和应应用程序在在由VMkernel加载时的完完整性和真实实性模块签名–使ESX具备识别模块块、

驱动程程序或应用程程序的提供者者以及

它们们是否取得VMware认证的能力安全开发生命命周期流程全面实现安全全性的方式培训体系结构风险险分析/威胁建模最佳实践和遵遵从性要求自动和手动代代码分析安全性测试响应在各阶段都让让第三方专家家参与经验证，受广广大用户信任任成千上万客户户已在生产环环境中应用用已通过美国数数家最大银行行的安全审查查并投入生产产使用已通过国防和和安全机构的的

严格审查查VMware技术被选为美美国

国家安安全局(NSA)虚拟化工作站站的基础经过独立验证证CommonCriteriaEAL认证CCEAL4+认证最高的认证级级别ESX3.0已获此认证；；ESX3.5即将获得针对ESX的DISASTIG获准在美国国国防部(DoD)信息

系统中中使用NSACentralSecurityService针对数据中心心和台式机方方案的

指导导最大的安全风风险：操作NeilMacDonald–“如何安全地地实施虚拟拟化”“与在物理方方案中一样样，多数安安全漏洞都都是通过误误配置和管管理失误带带来的”虚拟化对数数据中心安安全性的影影响AbstractionandConsolidation↑CapitalandOperationalCostSavings↓Newinfrastructurelayertobesecured↓Greaterimpactofattackormisconfiguration抽象和整合↑节约资金成本和运营成本↓需要保护新的基础架构层

↓攻击或错误配置会带来较大影响

多台交换机和服务器重合为一台设备

↑灵活性↑节约成本↓缺少虚拟网络可视性和控制

能力↓没有“默认隔离”的管理机制

虚拟化对数数据中心安安全性的影影响ystems更快的服务器部署速度

↑IT响应速度

↓配置不一致↓过程定义较差

虚拟机移动性

↑提高了服务级别↓标识与物理位置分离

虚拟机封装

↑轻松实现业务连续性↑一致的部署↑独立于硬件↓过时的离线系统

哪些是不必必担心的虚拟机管理程序攻击

示例：BluePill、SubVirt等这些都是极为复杂的理论性攻击安全保护领域人士普遍认为它只有学术上的意义

不相干的体系结构

示例：大量报告宣称发现客户虚拟机逸出多数只适用于托管体系结构（例如工作站），而不适用于裸机结构（亦即ESX）托管体系结构通常仅在您可以信赖客户虚拟机时才适用

设想的情形

示例：VMotion截取造成漏洞的情形：

未遵守针对虚拟化的安全增强、锁定、设计方面的最佳实践，

或者采用了较差的一般IT基础架构安全机制

保护虚拟机机安全主机防病毒软件件补丁程序管管理网络入侵检测/预防(IDS/IPS)边缘防火墙提供与物理理服务器一一样的保护护针对虚拟化化层的安全全设计基本设计原原则隔离所有管管理网络禁用用所所有有不不必必要要的的服服务务严格格规规范范所所有有管管理理访访问问实施施强强硬硬的的访访问问控控制制安全原则在虚拟环境中的实施最低特权角色只具有必需的特权职责分离角色只适用于必需的对象管理员操作员用户AnneHarryJoe安全全性性与与遵遵从从性性管管理理控控制制要求VMware产品合作伙伴产品配置管理、监控、审核VMwarevCenterServerVMwarevSphere主机配置

文件（将来提供）VMwarevCenterConfigControlConfiguresoftECMforVirtualizationNetIQSecureConfigurationManagerTripwireEnterpriseforVMware可审核、可重复的过程VMwarevCenterOrchestratorVMwarevCenterLifecycleManager离线虚拟机更新VMwareUpdateManagerShavlikNetChkProtect虚拟网络安全VMwarevShieldZonesvNetwork分布式交换机Cisco、Checkpoint、Reflex、ThirdBrigade多样样化化而而且且不不断断壮壮大大的的产产品品体体系系有有助助于于提提供供安安全全的的VMwareInfrastructure虚拟拟化化的的安安全全优优势势易于于维维护护全面面推推广广前前，，可可以以在在受受控控环环境境中中针针对对多多种种配配置置测测试试补补丁丁程程序序尝试试某某些些有有风风险险的的配配置置前前，，可可以以使使用用快快照照保保存存虚虚拟拟机机的的已已知知良良好好状状态态可以以将将生生产产虚虚拟拟机机克克隆隆后后离离线线执执行行修修改改，，同同时时让让原原虚虚拟拟机机保保持持继继续续运运行行可以以将将更更新新后后的的虚虚拟拟机机与与以以前前的的版版本本并并行行启启动动可根根据据需需要要让让两两者者都都运运行行足足够够长长的的时时间间，，以以验验证证新新配配置置虚拟拟化化的的安安全全优优势势易于于恢恢复复可以以从从上上一一个个已已知知良良好好的的备备份份恢恢复复可以以在在隔隔离离状状态态应应用用补补丁丁程程序序，，然然后后再再联联机机能够够执执行行辨辨证证分分析析可在在隔隔离离状状态态下下启启动动受受黑黑客客攻攻击击的的虚虚拟拟机机可创创建建““虚虚拟拟蜜蜜罐罐””vShieldZones安全全遵遵从从性性vShieldZonesvShieldZonesVDCOSVDCOSDMZ保护护引引擎擎VirtualDataCenterOSVMsafeAPI通过过检检查查与与管管理理程程序序一一起起使使用用的的虚虚拟拟组组件件来来保保护护虚虚拟拟机机将保保护护引引擎擎与与恶恶意意软软件件隔隔离离广泛泛的的覆覆盖盖范范围围，，包包括括虚虚拟拟机机CPU、内内存存、、存存储储器器和和网网络络应用用程程序序操作作系系统统VMsafe™™API用于于虚虚拟拟机机的的所所有有虚虚拟拟硬硬件件组组件件的的APICPU/内存存检检查查检查查虚虚拟拟机机或或其其应应用用程程序序使使用用的的特特定定内内存存页页了解解CPU状态态通过过CPU和内内存存页页的的资资源源分分配配强强制制执执行行策策略略网络络连连接接查看看主主机机上上的的所所有有IO流量量能够够截截取取、、查查看看、、修修改改和和复复制制来来自自一一台台主主机机上上的的任任何何或或所所有有虚虚拟拟机机的的IO流量量能够够提提供供嵌嵌入入式式保保护护或或被被动动保保护护存储储设设备备能够够装装入入和和读读取取虚虚拟拟磁磁盘盘(VMDK)检查查对对存存储储设设备备的的IO读取取/写入入对于于设设备备具具有有透透明明特特点点，，对对于于ESXStorage堆栈栈具具有有嵌嵌入入特特点点VDCOS愿景景—““比物物理理机机更更好好””