divi wordpress theme

امنیت در ESXi ، ماشین های مجازی و vCenter

در این بخش قصد داریم تنظیم های اولیه برای پیکربندی امنیت در زیر ساخت های مجازی سازی شده توسط ESXi و vCenter Server را برسی خواهیم نمود. امنیت در ESXi و ساختار های مجازی مبحثی مفصل را مطلبد و این مقاله شروع خوبی برای فراهم آوری امنیت در زیرساخت های مجازی خواهد بود

کتاب VMware vSphere

کتاب VMware vSphere به زبان فارسی در دست تهیه است که پس از اتمام به صورت رایگان در اختیار شما دوستان عزیز قرار خواهد گرفت. مقاله پیش رو بخشی از کتاب فوق است. لطفا پیشنهاد خود را در رابطه با این کتاب با ما در میان گذارید.

فعال/پیکربندی/غیر فعال نمودن سرویس دهنده ها در دیواره آتش ESXi

  • از صفحه Home روی گزینه Hosts and Clusters کلیک کنید.
  • در منوی ناوبری سمت چپ روی میزبان ESXi مورد نظر کلیک کنید.
  • در ناوبری سمت راست روی Mange کلیک کرده و زبانه Settings را باز نمایید.
  • زیر مجموعه System گزینه Security Profile را انتخاب کنید.
  • گزینه Edit در سمت راست صفحه را برای سرویس مورد نظرتان کلیک کنید.
  • لیست سرویس های سرور های ESXi نمایش داده خواهد شد.

هر سرویس شامل 3 نوع سیاست برای راه اندازی است:

  • به روشن شدن هاست فعال/غیر فعال شود.
  • به صورت دستی (توسط مدیر) فعال/غیر فعال شود.
  • در زمان اتصال به پورت(TCP/UDP ports) آن فعال/غیر فعال شود.

فعال نمودن Lockdown Mode

فعال نمودن از طریق کنسول وب (vSphere web Client)

  • از صفحه Home روی گزینه Hosts and Clusters کلیک کنید.
  • در منوی ناوبری سمت چپ روی میزبان ESXi مورد نظر کلیک کنید.
  • در ناوبری سمت راست روی Mange کلیک کرده و زبانه Settings را باز نمایید.
  • زیر مجموعه System گزینه Security Profile را انتخاب کنید.
  • گزینه Edit در سمت راست صفحه را برای Lockdown Mode کلیک کنید. (ممکن است برای دیدن آن مجبور شوید تا صفحه را اسکرول کنید)
  • تنظیم Host Lockdown Mode را انجام دهید و کاربرانی را که می خواهید از این قاعده مستثنی باشند را مشخص کنید.
  • روی OK کلیک کنید.

تنظیم های Lockdown Mode شامل 3 گزینه هستند:

  • Disable – Lockdown Mode غیر فعال است.
  • Normal – میزبان ESXi تنها از طریق کنسول سرور و vCenter Server در دسترس خواهد بود.
  • Strict – میزبان ESXi تنها از طریق vCenter Server در دسترس خواهد بود و سرویس دهنده Direct Console UI غیر فعال خواهد شد.

قابلیت مستثنی نمودن کاربران (Exception Users) در نسخه 6 نرم افزار vSphere اضافه شده است.

کاربرانی که به این لیست اضافه می شوند اجازه دسترسی خود به میزبان ESXi در زمان فعال بودن Lockdown Mode را از دست نمی دهند. این کاربران را تنها از طریق نسخه تحت وب نرم افزار vSphere می توان تعریف نمود.

فعال نمودن از طریق کنسول میزبان ESXi یا (Direct Console User Interface – DCUI)

  • به میزبان ESXi وصل شوید (IPMI / KVM یا به صورت معمول با اتصال مانیتور و کیبورد به سرور ESXi)
  • کلیک F2 را زده و با نام کاربری root و گذر واژه آن به سیستم وصل شوید.
  • بر روی گزینه Configure Lockdown Mode رفته و کلید Enter را بزنید.
  • از کلید Space Bar برای فعال/غیر فعال نمودن Lockdown Mode استفاده کنید.
  • از کلید ESC برای بیرون آمدن از منو و از کلید Enter برای ذخیره نمودن تغییرات استفاده کنید.

سیاست های امنیتی شبکه

سیاست های امنیتی در vSphere را می توان به هر دو مدل سوییچینگ اختصاص داد. vSphere از دو نوع سوییچ پشتیبانی می کند. سوییچ استاندارد، سوییچ پخشی که آنها را با نام های vSS – vSphere Standard Switch و vDS – vSphere Distributed Switch می نشناسیم. تنظیم های مورد برسی می توان در قسمت Port Group به این تنظیم ها دسترسی داشت.

  • Mac Address Changes – اگر این سیاست را فعال کنید (به صورت پیش فرض فعال است). ESXi اجازه تغییرMac Address را به ماشین مجازی خواهد داد. زمانی که روی حالت Reject قرار گیرد این اجازه را به ماشین مجازی نمی دهد تا Mac Address خود را تغییر دهد. مبنای تشخیص تغییر Mac Address آدرسی است که در ابتدا در فایل vmx ماشین مجازی ثبت شده است. انتخاب Reject از حملات Mac Spoofing جلوگیری خواهد نمود.
  • Forged Transmission – اگر این سیاست را فعال کنید (به صورت پیش فرض فعال است). ESXi اقدام به مقایسه Mac Address فعال و آدرس درج شده در vmx فایل نخواهد نمود. اگر در حالت Reject قرار گیرد ESXi اقدام به این مقایسه خواهد کرد و در صورت مشاهده مغایرت بین دو آدرس، اجازه عبور ترافیک را نخواهد داد.
  • Promiscuous Mode – اگر این سیاست را در حالت Reject قرار دهید (به صورت پیش فرض در حالت Reject قرار دارد). ماشین مجازی ترافیک عبوری از سوییچ را مشاهده نمی کند. وقتی در حالت فعال قرار گیرد، ماشین می تواند ترافیک عبوری از سوییچ را مشاهده کند. زمانی که قصد رفع خطا یا خطا یابی در شبکه را داشته باشد می تواند کمک حال تان باشد. توجه کنید فعال نمودن آن امنیت را به شدت امنیت را کاهش خواهد داد. نرم افزار هایی مثل Wireshark به فعال بودن این تنظیم نیاز دارند.

اتصال میزبان ESXi به اکتیو دایرکتوری

  • از صفحه Home روی گزینه Hosts and Clusters کلیک کنید.
  • در منوی ناوبری سمت چپ روی میزبان ESXi مورد نظر کلیک کنید.
  • در ناوبری سمت راست روی Mange کلیک کرده و زبانه Settings را باز نمایید.
  • زیر مجموعه System گزینه Authentication Services را انتخاب کنید.
  • از قسمت راست، روی Join Domain کلیک کنید.
  • در پنجره Domain Settings نام سرویس دهنده اکتیو دایرکتوری (FQDN) آن را به همراه نام کاربری و گذر واژه ی که اجازه انجام این پروسه را داشته باشد، وارد کنید (کاربر در سرویس دهنده اکتیو دایرکتوری اجازه دسترسی Join Domain را بایستی داشته باشد.)
  • (در صورت نیاز) آدرس سرور پ.ر.و.ک.س.ی را مشخص نماید.
  • روی OK کلیک کنید تا پروسه به انجام رسد.

انتساب اجازه های دسترسی به میزبان های ESXi بوسیله پروفایل ها (Host Profiles)

  • از صفحه Home روی گزینه Host Profiles کلیک کنید.
  • از منوی ناوبری سمت چپ گزینه Host Profile را انتخاب کنید. (توجه کنید اگر تا کنون سیاستی ایجاد نکرده اید، یک Host Profiles جدید ایجاد کنید)
  • در ناوبری سمت راست روی Mange کلیک کرده و زبانه Settings را باز نمایید.
  • روی Edit Host Profile کلیک کنید.
  • منوی Security and Services را باز کنید.
  • پوشه Permission Rules را انتخاب نموده و روی علامت بعلاوه سبز رنگ کلیک کنید.
  • از قسمت راست صفحه و منوی کشویی گزینه Permission کلیک کنید.
  • روی Next کلیک کنید.
  • روی Finish کلیک کنید تا تغییرات شما روی Host Profile ذخیره شود.

پیکر بندی سیاست های امنیتی ماشین مجازی

تنظیم های زیادی در این بخش وجود دارد. اولین اصل امنیت ماشین های مجازی تفاوتی با سرور های فیزیکی ندارد و آن بروز رسانی سیستم عامل و نرم افزار ها به آخرین نسخه آن، نصب پچ های امنیتی است و نصب نرم افزار ضد ویروس بر روی سیستم عامل یا میزبان ESXi. غیر فعال نمودن سرویس های غیر ضروری و محدود نمودن دسترسی به سیستم.

در زیر برخی از مهمترین آنها را برای شما لیست نموده ایم

  • استفاده از قالب برای ساخت ماشین مجازی
  • کمترین استفاده از کنسول ماشین مجازی (کنسول مشاهده ماشین مجازی)
  • جلوگیری از استفاده بیش از اندازه ماشین مجازی از منابع سخت افزاری
  • غیر فعال نمودن تنظیم های غیر ضروری ماشین مجازی
  • سخت افزار هایی که نیاز ندارید را از ماشین مجازی حذف کنید.
  • قابلیت های قسمت Display را غیر فعال کنید. (اگر نیازی وجود ندارد)
  • غیر فعال نمودن انتقال فایل HGFS
  • غیر فعال نمودن امکان کپی نمودن فایل مابین ماشین مجازی و کنسول ریموت
  • محدود نمودن Clipboard در برابر نگهداری از اطلاعات حساس
  • محدود نمودن کاربران در اجرای دستور ها در ماشین مجازی
  • اجازه ندادن به ماشین مجازی برای قطع نمودن اتصال سخت افزار ها
  • جلوگیری از ارسال فایل های پیکر بندی ماشین های مجازی به میزبان
  • از دیسک های مستقل در ماشین مجازی استفاده نکنید.

ساخت/مدیریت گواهی نامه های امنیتی در vCenter Server (Certificates)

یکی از موضوعات مورد علاقه تمامی مدیران شبکه در زمینه امنیت زیر ساخت های مجازی سازی شده، بحث گواهینامه هاست. در گذشته استفاده از گواهینامه ها در ESXi ها پروسه ای بود که چالش های زیادی داشت. قابلیت VMware Certificate Authority – VMCA در نسخه 6 نرم افزار vSphere اضافه شده است. خط دستور VMCA می تواند جایگزین سیستم نصب گواهی نامه های ESXi و vCenter Server شود. (گواهینامه های زیر به صورت پیش فرض توسط VMCA قابل نصب است).

از طریق VMCA می توانید به سه روش گواهینامه ها را مدیریت کنید:

  • VMCA Default – گواهینامه ها را برای vCenter و ESXi فراهم می کند. این گواهینامه ها در ریشه قرار دارند (root). به صورت پیش فرض این گواهینامه ها بعد از 10 سال منقضی می شوند.
  • Make VMCA an Intermediate CA – می توانید گواهینامه ی VMCA root را با گواهی نامه های Enterprise یا گواهینامه های دیگر جایگزین کنید.
  • Do not use the VMCA – استفاده از VMCA گزینه ای انتخابی است. اگر می خواهید گواهی نامه ها را به صورت دستی اضافه کنید یا آنها را مدیریت نمایید، همچنان قادر به انجام آن هستید. این گزینه همانند مدیریت گواهینامه ها در vSphere 5.5 و نسخه های قبل از آن است.

برای مدیریت گواهینامه ها vCenter Server ابزار های زیر قابل استفاده هستند. (دیدن/ جایگزین کردن گواهینامه ها)

  • vSphere Certificate Manager – تمامی امور معمول گواهینامه ها را با آن و از طریق خط فرمان می توانید انجام دهید.
  • Certificate Management CLI’s – تمامی امور معمول گواهینامه ها را با آن و از طریق dir-cli، certool و vecs-cli می توانید انجام دهید.
  • vSphere Web Client – می توانید اطلاعات گواهینامه ها و تاریخ انقضاء آنها را مشاهده کنید.

آموزش های مرتبط

برای دسترسی به آموزش های مرتبط با نوشته فوق، می توانید آموزش های دیگر را هم مطالعه نمایید.