vSphere安全策略之許可、角色分配、權(quán)限管理

申請免費(fèi)試用、咨詢電話：400-8352-114

在vSphere環(huán)境中，很多的安全問題都是由于沒有正確地設(shè)置安全訪問策略引起的。為了做到提前避免問題出現(xiàn)，解決方案提供商們應(yīng)該仔細(xì)檢查vSphere環(huán)境中的每個(gè)相關(guān)層面，據(jù)此為用戶制定正確的安全訪問策略。本文中，該領(lǐng)域的一名專家總結(jié)了如何正確地分配權(quán)限、角色和用戶許可等的相關(guān)經(jīng)驗(yàn)，以幫助我們確保vSphere環(huán)境的穩(wěn)定性和安全性。

在vSphere環(huán)境中，安全問題非常關(guān)鍵。虛擬機(jī)的架構(gòu)、訪問及管理方式和傳統(tǒng)的物理服務(wù)器的差別是非常巨大的。因?yàn)樵谔摂M架構(gòu)下，虛擬機(jī)被壓縮為一個(gè)個(gè)存放于共享數(shù)據(jù)區(qū)域內(nèi)的單個(gè)文件。所以，也同時(shí)增加了更多需要防護(hù)的部分。另外，虛擬環(huán)境中的任何變化或操作都可能會(huì)引發(fā)系統(tǒng)內(nèi)的連鎖反應(yīng)。畢竟所有的虛擬機(jī)都共享了公共基礎(chǔ)架構(gòu)部分。因此，在正確的地點(diǎn)設(shè)置了正確的安全訪問策略對于宿主機(jī)和虛擬機(jī)的防護(hù)而言是至關(guān)重要的。

正因?yàn)樘摂M環(huán)境擁有眾多組成部分，它的安全部署也需要在多個(gè)層面上實(shí)現(xiàn)。在vCenter Server中我們有很多種方法來加強(qiáng)虛擬環(huán)境的安全，通過vCenter可以在vSphere內(nèi)的多個(gè)不同層面上提供集中認(rèn)證服務(wù)。vCenter Server的功能主要體現(xiàn)在以下四個(gè)方面：

權(quán)限（Privileges）。權(quán)限用于允許或禁止連接到vSphere的用戶可以進(jìn)行的操作。

角色（Roles）。角色指的是分配給某個(gè)用戶或用戶組的一組權(quán)限的集合。

用戶和用戶組（Users and Groups）。用戶和用戶組主要用于設(shè)置許可級別，以便于分配給從活動(dòng)目錄域獲得的各種角色或者是本地Windows域中的用戶/組。

許可（Permissions）。許可主要用于分配給vSphere中的一個(gè)對象使用。主要由用戶/組和角色構(gòu)成。

查看和定義正確的vSphere安全權(quán)限

權(quán)限被細(xì)分為大約20個(gè)左右的類別和子類。圖1 從整體上顯示了大多數(shù)可以在vSphere中進(jìn)行設(shè)定的用戶權(quán)限。

圖1：vSphere中相關(guān)權(quán)限整體視圖

如果我們展開這些類別，可以看到它們之下的子類別和一些私有權(quán)限（參看圖2）。

圖2：展開目錄可以看到對應(yīng)的子目錄。

解決方案供應(yīng)商只有在創(chuàng)建和調(diào)整角色內(nèi)容的時(shí)候才能訪問到對應(yīng)的權(quán)限。選定了虛擬機(jī)模板之后就自動(dòng)包含了所有的子類和它所擁有的權(quán)限。如果您想獲得更加精細(xì)的管理，需要在選定的目錄下取消對應(yīng)條目的選定從而來獲得所需的管理權(quán)限。

對于宿主機(jī)和虛擬機(jī)而言，可以分配很多不同的權(quán)限。對于vCenter Server的某些操作則需要分配很多權(quán)限來成功完成操作過程。雖然很多項(xiàng)權(quán)限都是默認(rèn)的，但是如何來準(zhǔn)確定義某個(gè)特定動(dòng)作所需的權(quán)限組合往往是一個(gè)容易混淆的問題。一種識(shí)別辦法是通過建立一個(gè)擁有混合權(quán)限的測試用戶，然后在測試過程中逐步添加或移除部分權(quán)限。您可以在做過改變之后，重新登錄到該用戶來檢查是否可以完成指定的操作。如果不能，就在后臺(tái)添加權(quán)限，然后重新測試。很有效的方式就是先選定所有權(quán)限，然后在后臺(tái)逐步一條條地移除權(quán)限，最終達(dá)到所期望的許可級別。