[分享]VMware虚拟化层和安全

VMware虚拟化层和安全

VMware的虚拟化层，经VMkernel设计，运行虚拟机。它控制硬件主机的使用和调度虚拟机之间的硬件资源分配。因为的VMkernel完全专用于支持虚拟机，未用于其它目的，该接口给VMkernel的严格限制来管理虚拟机所需的API。

ESXi提供的附加VMkernel保护，具有以下特点：

内存强化安全

ESXi内核，用户模式应用程序及可执行组件，如驱动程序和库位于随机的，不可预测的内存地址中。结合微处理器产生的非可执行内存保护，这提供了保护，使得恶意代码很难使用内存漏洞来利用系统漏洞。

内核模块完整性

数字签名确保模块、驱动程序和应用程序的完整性和真实性，因为它们是由VMkernel加载。模块签名允许ESXi识别模块，驱动程序或应用程序的提供者，以及是否他们是通过VMware认证。 VMware软件和某些第三方驱动程序由VMware签署。

可信平台模块（TPM）

vSphere使用英特尔可信平台模块/可信执行技术（TPM/TXT）提供远程认证的基于硬件信任根的hypervisor图像。 hypervisor的图像包括以下元素：
VIB（包）格式的ESXi软件（虚拟机管理程序）

第三方的VIB
第三方驱动程序

要利用此功能，您的的ESXi系统必须启用TPM和TXT的。当启用TPM和TXT后，ESXi在系统启动时测量整个虚拟机管理程序堆栈，并存放这些测量结果到TPM的平台配置寄存器（PCR）。测量结果包括VMkernel，内核模块，驱动程序，运行在ESXi上的原生的管理应用程序和任何引导时间的配置选项。所有安装在系统上的VIB进行了测量。第三方解决方案可以使用此功能来建立一个验证器检测虚拟机监控程序的图像的篡改，通过比较图像和预期良好的图像。vSphere不提供一个用户界面查看这些测量。测量结果在vSphere API中揭示。提供一个事件日志作为API的一部分，由可信计算组（TCG）标准指定。