VMware Fusion 4虚拟化平台安全小窍门

如果您是VMware Fusion新手或忠实支持者,对于这种宿主型虚拟化平台您应该了解一些安全相关的问题。遵循VMware Fusion安全规定来保护虚拟机、宿主机和自身的健康。

VMware Fusion属于Type 2 hypervisor,也就是它类似于运行于操作系统之上的一个应用。这些hypervisor不能直接访问服务器硬件,需要通过OS进行,相比Type 1 hypervisor的裸机方式带来了额外的安全风险。在VMware Fusion中存在很多种宿主机OS和客机的直接共享,也成为潜在的黑客攻击点。

VMware Fusion下载选项

当您购买VMware Fusion,包括新的VMware Fusion 4的时候,有两种可选下载方式:集成McAfee Security Suite和非集成版本。我强烈建议您下载非集成版本。

理由是:首先,该产品管理和卸载很困难。其次,虽然预先绑定它作为安全选项也很不错,但McAfee的产品是有时间限制的版本,总是不断提示用户在到期前进行续订。

从个人而言,我认为Microsoft Security Essentials 和 ESET NOD32等安全产品的管理、控制和卸载更简单。

VMware Fusion 4安全设置

VMware Fusion 4的新功能之一就是虚拟机加密,但该功能还不完善。虽然256位AES已经存在一段时间,还是采用的老的128位AES加密算法。另外,虚拟机文件(在Mac OS中成为“包”)只有在虚拟机关机时才进行加密。如果您待机或暂停虚拟机,相关资源是没有加密的。

当我第一次升级到VMware Fusion 4的时候,也对其中的一些默认开启选项感到惊讶。

例如,在客机OS中蓝牙默认开启,而且允许宿主机和客机之间的蓝牙共享。由于宿主机和客机默认情况下共享蓝牙连接,也就是对附近的黑客蓝牙设备也开放权限,相互更容易受到牵连。VMware Fusion最佳安全实践应该是默认关闭该设置。

在VMware Fusion 4发布后,预告的4.01版本包含了另一个需要关闭的默认设置。Mac 系统硬盘内的Downloads and Movies文件夹默认情况下是镜像的。这样,通过镜像文件夹可以很方便地实现跨OS的感染,增加了VMware Fusion 4宿主机和客机OS受攻击的可能性。

锁定USB设备和共享文件夹

伴随着蓝牙,VMware Fusion 4包含了其它设备和服务的共享能力,例如USB设备和文件夹。它们本身就存在很大的安全问题,USB设备和这些共享文件夹中的内容让人不安。例如,假设USB设备被感染或从共享文件夹运行了一个流氓软件,就会导致宿主机和客机OS被感染。

还有一点很重要就是共享文件夹并非总是位于本地,可能是位于公司或家庭网络中。如果共享文件位于网络上,您的受攻击面也相应扩展了。在您决定对共享文件夹启用Everyone and Full Control选项前一定要慎重。确保对VMware Fusion中位于宿主机和客机之间的共享进行锁定,无论是文件层面的还是Fusion的设置相关。

作为VMware Fusion 4用户,有很多需要您考虑的默认设置,才能确保宿主机和客机OS的安全性。