vSphere安全策略之許可、角色分配、權限管理

申請免費試用、咨詢電話：400-8352-114

在vSphere環(huán)境中，很多的安全問題都是由于沒有正確地設置安全訪問策略引起的。為了做到提前避免問題出現(xiàn)，解決方案提供商們應該仔細檢查vSphere環(huán)境中的每個相關層面，據(jù)此為用戶制定正確的安全訪問策略。本文中，該領域的一名專家總結了如何正確地分配權限、角色和用戶許可等的相關經驗，以幫助我們確保vSphere環(huán)境的穩(wěn)定性和安全性。

在vSphere環(huán)境中，安全問題非常關鍵。虛擬機的架構、訪問及管理方式和傳統(tǒng)的物理服務器的差別是非常巨大的。因為在虛擬架構下，虛擬機被壓縮為一個個存放于共享數(shù)據(jù)區(qū)域內的單個文件。所以，也同時增加了更多需要防護的部分。另外，虛擬環(huán)境中的任何變化或操作都可能會引發(fā)系統(tǒng)內的連鎖反應。畢竟所有的虛擬機都共享了公共基礎架構部分。因此，在正確的地點設置了正確的安全訪問策略對于宿主機和虛擬機的防護而言是至關重要的。

正因為虛擬環(huán)境擁有眾多組成部分，它的安全部署也需要在多個層面上實現(xiàn)。在vCenter Server中我們有很多種方法來加強虛擬環(huán)境的安全，通過vCenter可以在vSphere內的多個不同層面上提供集中認證服務。vCenter Server的功能主要體現(xiàn)在以下四個方面：

權限（Privileges）。權限用于允許或禁止連接到vSphere的用戶可以進行的操作。

角色（Roles）。角色指的是分配給某個用戶或用戶組的一組權限的集合。

用戶和用戶組（Users and Groups）。用戶和用戶組主要用于設置許可級別，以便于分配給從活動目錄域獲得的各種角色或者是本地Windows域中的用戶/組。

許可（Permissions）。許可主要用于分配給vSphere中的一個對象使用。主要由用戶/組和角色構成。

查看和定義正確的vSphere安全權限

權限被細分為大約20個左右的類別和子類。圖1 從整體上顯示了大多數(shù)可以在vSphere中進行設定的用戶權限。

圖1：vSphere中相關權限整體視圖

如果我們展開這些類別，可以看到它們之下的子類別和一些私有權限（參看圖2）。

圖2：展開目錄可以看到對應的子目錄。

解決方案供應商只有在創(chuàng)建和調整角色內容的時候才能訪問到對應的權限。選定了虛擬機模板之后就自動包含了所有的子類和它所擁有的權限。如果您想獲得更加精細的管理，需要在選定的目錄下取消對應條目的選定從而來獲得所需的管理權限。

對于宿主機和虛擬機而言，可以分配很多不同的權限。對于vCenter Server的某些操作則需要分配很多權限來成功完成操作過程。雖然很多項權限都是默認的，但是如何來準確定義某個特定動作所需的權限組合往往是一個容易混淆的問題。一種識別辦法是通過建立一個擁有混合權限的測試用戶，然后在測試過程中逐步添加或移除部分權限。您可以在做過改變之后，重新登錄到該用戶來檢查是否可以完成指定的操作。如果不能，就在后臺添加權限，然后重新測試。很有效的方式就是先選定所有權限，然后在后臺逐步一條條地移除權限，最終達到所期望的許可級別。