如果您是VMware Fusion新手或忠實支持者,對于這種宿主型虛擬化平臺您應該了解一些安全相關的問題。遵循VMware Fusion安全規定來保護虛擬機、宿主機和自身的健康。
VMware Fusion屬于Type 2 hypervisor,也就是它類似于運行于操作系統之上的一個應用。這些hypervisor不能直接訪問服務器硬件,需要通過OS進行,相比Type 1 hypervisor的裸機方式帶來了額外的安全風險。在VMware Fusion中存在很多種宿主機OS和客機的直接共享,也成為潛在的黑客攻擊點。
VMware Fusion下載選項
當您購買VMware Fusion,包括新的VMware Fusion 4的時候,有兩種可選下載方式:集成McAfee Security Suite和非集成版本。我強烈建議您下載非集成版本。
理由是:首先,該產品管理和卸載很困難。其次,雖然預先綁定它作為安全選項也很不錯,但McAfee的產品是有時間限制的版本,總是不斷提示用戶在到期前進行續訂。
從個人而言,我認為Microsoft Security Essentials 和 ESET NOD32等安全產品的管理、控制和卸載更簡單。
VMware Fusion 4安全設置
VMware Fusion 4的新功能之一就是虛擬機加密,但該功能還不完善。雖然256位AES已經存在一段時間,還是采用的老的128位AES加密算法。另外,虛擬機文件(在Mac OS中成為“包”)只有在虛擬機關機時才進行加密。如果您待機或暫停虛擬機,相關資源是沒有加密的。
當我第一次升級到VMware Fusion 4的時候,也對其中的一些默認開啟選項感到驚訝。
例如,在客機OS中藍牙默認開啟,而且允許宿主機和客機之間的藍牙共享。由于宿主機和客機默認情況下共享藍牙連接,也就是對附近的黑客藍牙設備也開放權限,相互更容易受到牽連。VMware Fusion最佳安全實踐應該是默認關閉該設置。
在VMware Fusion 4發布后,預告的4.01版本包含了另一個需要關閉的默認設置。Mac 系統硬盤內的Downloads and Movies文件夾默認情況下是鏡像的。這樣,通過鏡像文件夾可以很方便地實現跨OS的感染,增加了VMware Fusion 4宿主機和客機OS受攻擊的可能性。
鎖定USB設備和共享文件夾
伴隨著藍牙,VMware Fusion 4包含了其它設備和服務的共享能力,例如USB設備和文件夾。它們本身就存在很大的安全問題,USB設備和這些共享文件夾中的內容讓人不安。例如,假設USB設備被感染或從共享文件夾運行了一個流氓軟件,就會導致宿主機和客機OS被感染。
還有一點很重要就是共享文件夾并非總是位于本地,可能是位于公司或家庭網絡中。如果共享文件位于網絡上,您的受攻擊面也相應擴展了。在您決定對共享文件夾啟用Everyone and Full Control選項前一定要慎重。確保對VMware Fusion中位于宿主機和客機之間的共享進行鎖定,無論是文件層面的還是Fusion的設置相關。
作為VMware Fusion 4用戶,有很多需要您考慮的默認設置,才能確保宿主機和客機OS的安全性。
京公網安備 11010502049343號