7.4. VMWare

7.4.1. 简介

VMWare是基于宿主模式的桌面虚拟软件,包括VMX驱动、ring0的VMM、ring3的用户态程序。

VMware vSphere则是一个虚拟化方案,其核心是ESXi,ESXi独立安装在裸机上的操作系统(注意它不基于任何OS,它本身就是OS),通过它物理机的硬件资源被虚拟化为虚拟资源,之后再通过vCenter就能将安装了ESXi操作系统的物理机的资源进行整合,化为一个总的资源池,在这个资源池里面为各个部门划分不同大小的资源池方便其使用。

7.4.2. 安全策略

7.4.2.1. vSphere

ESXi通过以下功能提供附加VMKernel保护

  • 内存强化:将ESXi内核、用户模式应用程序及可执行组件(如驱动程序和库)位于无法预测的随机内存地址中。在将该功能与微处理器提供的不可执行的内存保护结合使用。

  • 内核模块完整性:数字签名确保由VMKernel加载的模块、驱动程序及应用程序的完整性和真实性。

  • 可信的平台模块:vSphere使用Intel可信的平台模块/受信任的执行技术(TPM/TXT),根据硬件信任根提供管理程序映像的远程证明。

7.4.2.2. 虚拟机安全策略

  • 虚拟机常规保护

    • 包括安装防毒软件、配置客户机操作系统的日志记录级别等

  • 禁用虚拟机中不必要的功能

    • 移出不必要的硬件设别、禁用操作系统中未使用的服务、限制公开复制到剪贴板中的敏感数据、限制用户在虚拟机中运行命令、限制客户机操作系统写入主机内存等

  • 限制信息性消息从虚拟机流向VMX文件

    • 限制信息性消息从虚拟机流向VMX文件,从而避免填充数据存储和造成拒绝服务。