虛擬化安全解決方案

本書共11章，第1章主要講述虛擬化安全的基本理論；第2章闡釋如何配置常用的管理程式平台：VMwareESXi、MicrosoftHyper-V和CitrixXenServer等；第3章講述如何設計安全的虛擬網路，涉及虛擬網路與物理網路、虛擬網路安全考慮因素等；第4章講述高級虛擬網路操作，內容包括網路運營挑戰和解決方案，虛擬環境中的負載均衡等；第5章講述虛擬化管理和客戶端安全，涉及保護VMwarevCenter、MicrosoftSCVMM和CitrixXenCenter相關的內容；第6章講述如何保護虛擬機，涉及安全考慮因素、威脅，虛擬機的缺陷等；第7章講述日誌和審計方面的實踐，涉及日誌和審計的重要意義、虛擬日誌和審計選項，以及與現有日誌平台集成和有效的日誌管理；第8章講述虛擬化安全的變更和配置管理，內容包括虛擬機如何影響變更和配置管理，將虛擬化集成到變更管理，虛擬化配置管理的佳實踐等；第9章講述如何應對虛擬化安全的不良後果，實現災難恢復和商業可持續性；第10章講述腳本自動化的技巧；第11章講述虛擬化安全要考慮的其他因素。

譯者序

序　言

致　謝

第1章　虛擬化安全基礎 1

1.1虛擬化架構 1

1.2虛擬環境的威脅 4

1.2.1運行威脅 4

1.2.2惡意軟體威脅 5

1.2.3虛擬機逃逸 6

1.2.4虛擬化平台漏洞 8

1.3安全必須適應虛擬化 8

1.3.1安全虛擬化環境的挑戰 9

1.3.2虛擬化環境中脆弱性測試的挑戰 9

第2章　安全虛擬機管理程式 12

2.1管理程式配置和安全 12

2.2配置VMware ESXi 14

2.2.1給VMware ESXi打補丁 14

2.2.2VMware ESXi的安全通信 23

2.2.3在VMware ESXi上改變和刪除默認設定 27

2.2.4在VMware ESXi上開啟運營安全 28

2.2.5在VMware ESXi中保護和監控關鍵配置檔案 32

2.2.6在VMware ESXi上保護本地用戶和組 34

2.2.7鎖定對虛擬機管理程式控制台的訪問 40

2.3在Windows Server 2008上配置Microsoft Hyper-V 43

2.3.1給Hyper-V打補丁 44

2.3.2與Hyper-V安全通信 45

2.3.3改變Hyper-V默認設定 47

2.3.4啟用Hyper-V的運行安全 48

2.3.5保護和監控Hyper-V關鍵配置檔案 49

2.3.6保護本地Hyper-V用戶和組 53

2.3.7鎖定對Hyper-V管理程式平台的訪問 56

2.4配置Citrix XenServer 58

2.4.1給XenServer打補丁 59

2.4.2用XenServer進行安全通信 61

2.4.3改變XenServer默認設定 62

2.4.4啟用XenServer運行安全 65

2.4.5保護和監控關鍵XenServer配置檔案 66

2.4.6保護本地用戶和組 67

2.4.7鎖定對XenServer平台的訪問 73

第3章　設計安全的虛擬網路 77

3.1虛擬和物理網路比較 77

3.1.1虛擬網路設計元素 78

3.1.2物理網路與虛擬網路 81

3.2虛擬網路安全考慮因素 82

3.2.1重要的安全元素 82

3.2.2架構考慮因素 83

3.3虛擬交換機安全配置 85

3.3.1定義獨立的vSwitch和連線埠組 86

3.3.2為網路分段配置VLAN和私有VLAN 93

3.3.3限制使用中的虛擬網路 98

3.3.4實現本地虛擬網路安全策略 101

3.3.5iSCSI存儲網路安全連線 105

3.4與物理網路集成 108

第4章　高級虛擬網路操作 110

4.1網路運營挑戰 110

4.2VMware vSphere上的網路運營 111

4.2.1在vSphere虛擬環境中的負載均衡 112

4.2.2VMware vSphere中的流量整形和網路性能 114

4.2.3在VMware vSphere中建立合理的網路監控 115

4.3Microsoft Hyper-V中的網路操作 119

4.3.1Hyper-V虛擬環境中的負載均衡 119

4.3.2在Hyper-V中進行流量整形和網路性能 120

4.3.3在Hyper-V中創建一個合理的網路監控策略 121

4.4Citrix XenServer中的網路操作 122

4.4.1在XenServer虛擬環境中的負載均衡 122

4.4.2XenServer上的流量整形和網路性能 124

4.4.3在XenServer中創建合理的網路監控策略 125

第5章　虛擬化管理和客戶端安全 128

5.1管理平台的一般安全建議 128

5.2虛擬化管理伺服器的網路架構 129

5.3VMware vCenter 132

5.3.1vCenter服務賬戶 133

5.3.2vCenter中的安全通信 134

5.3.3vCenter日誌 135

5.3.4vCenter中的用戶、組和角色 137

5.3.5角色創建場景 141

5.3.6vSphere客戶端 142

5.4Microsoft系統中心虛擬機管理器 142

5.4.1SCVMM服務賬戶 142

5.4.2SCVMM的安全通信 143

5.4.3SCVMM日誌 145

5.4.4SCVMM中的用戶、組和角色 145

5.4.5客戶端安全 147

5.5Citrix XenCenter 148

5.5.1XenCenter的安全通信 148

5.5.2XenCenter的日誌 149

5.5.3XenCenter中的用戶、組和角色 149

第6章　保護虛擬機 150

6.1虛擬機的威脅和漏洞 150

6.2虛擬機安全研究 151

6.2.1盜取客戶 152

6.2.2雲虛擬機偵查 152

6.2.3虛擬硬碟操作 153

6.2.4虛擬機加密 153

6.3鎖定VMware虛擬機 158

6.3.1VMware工具 160

6.3.2複製/貼上操作和HGFS 161

6.3.3虛擬機磁碟安全 161

6.3.4虛擬機日誌 162

6.3.5設備連線 163

6.3.6客戶和主機通信 163

6.3.7控制訪問虛擬機的API 164

6.3.8未曝光的功能 164

6.4鎖定Microsoft虛擬機 166

6.5鎖定XenServer虛擬機 168

第7章　日誌和審計 171

7.1為什麼日誌和審計非常關鍵 171

7.2虛擬日誌和審計選項 172

7.2.1Syslog 172

7.2.2Windows事件日誌 174

7.2.3VMware vSphere ESX日誌 175

7.2.4VMware vSphere ESXi日誌 176

7.2.5Microsoft Hyper-V和SCVMM日誌 180

7.2.6Citrix XenServer和XenCenter日誌 186

7.3與現有日誌平台集成 189

7.3.1在VMware vSphere上啟用遠程日誌 189

7.3.2在Microsoft Hyper-V上啟用遠程日誌 191

7.3.3啟用XenServer遠程日誌 192

7.4有效的日誌管理 193

第8章　變更和配置管理 196

8.1變更和配置管理概述 196

8.1.1變更管理的安全 197

8.1.2變更生態系統 198

8.2虛擬化如何影響變更和配置管理 200

8.3虛擬化配置管理的最佳實踐 200

8.4提高配置管理的複製和模板 202

8.4.1創建和管理VMware vSphere虛擬機模板與快照 203

8.4.2創建和管理Microsoft Hyper-V虛擬機模板與快照 207

8.4.3創建和管理Citrix XenServer虛擬機模板與快照 210

8.5將虛擬化集成到變更和管理 212

8.6附加解決方案和工具 214

第9章　災難恢復和業務連續性 215

9.1當今災難恢復和業務連續性 215

9.2共享存儲和複製 216

9.3DR/BCP的虛擬化冗餘性和容錯性 218

9.3.1集群 218

9.3.2資源池 223

9.4高可用性和容錯性 229

9.4.1在VMware vSphere中設定高可用性和容錯性 229

9.4.2在Microsoft Hyper-V中設定高可用性和容錯性 233

9.4.3在Citrix XenServer中設定高可用性和容錯性 235

第10章　腳本使用提示和自動化技巧 238

10.1為什麼腳本對管理員重要 238

10.2VMware腳本：PowerCLI和vCLI 239

10.2.1PowerCLI腳本 239

10.2.2用PowerCLI配置虛擬機 240

10.2.3用vCLI配置虛擬機 242

10.2.4用PowerCLI配置VMware ESXi 243

10.2.5用vCLI配置VMware ESXi 245

10.2.6用PowerCLI配置VMware虛擬網路 246

10.2.7用vCLI配置VMware虛擬網路 249

10.2.8用PowerCLI配置VMware vCenter 250

10.3Microsoft Hyper-V腳本：PowerShell 253

10.3.1獲得關於虛擬機的信息 254

10.3.2獲得關於虛擬網路的信息 255

10.3.3評估虛擬環境的其他方面 255

10.4Citrix腳本：命令行腳本 256

第11章　虛擬基礎設施的其他安全考慮因素 258

11.1VDI概述 258

11.1.1VDI的優勢和缺點：運營和安全 259

11.1.2安全優勢和挑戰 259

11.1.3VDI架構概述 261

11.2VDI的安全利用 264

11.2.1存儲虛擬化 264

11.2.2應用程式虛擬化 267