部署VMware vSphere虛擬化平台解決方案時,除了要考量儲存規劃與效能最佳化的問題外,也別忘了Virtualization Security,因為一旦虛擬機器中的Guest OS或Application不小心感染惡意程式,則所有與其相關的備援端點、備份資料、應用程式、用戶端電腦等瞬間皆可能遭到感染,因此建議採用真正屬於vSphere平台架構下的病毒防護整合方案vShield Manager。
TOP 2:正確完成vShield初始化配置
接下來,只要再完成vShield Manager User Interface網站上的相關組態配置,就可以讓第三方的防毒系統來整合於它,完成所有虛擬機器的全面防護。
如圖11所示,關於此網站的登入帳號與密碼,並非是部署vShield Manager時所設定的密碼,因為它只適用於CLI介面中的登入,因此必須使用另一組預設的帳號及密碼,那就是admin/default。完成輸入後,按下〔Login〕按鈕。
|
▲圖11 來到vShield Manager登入介面。 |
首次登入vShield Manager網站之後,立即點選右上方的「Change Password」連結,來開啟如圖12所示的變更密碼頁面,以確保此系統本身的基礎認證安全。
|
▲圖12 變更密碼。 |
圖13所示是vShield Manager網站管理介面,必須先在〔 Configurations〕頁籤內完成一些必要的組態配置,才能夠讓它正常運行。接著,按一下「vCenter Server」區域右側的〔Edit〕按鈕,以進行必要的設定。
|
▲圖13 進行vShield Manager組態管理。 |
如圖14所示,隨後在「vCenter Server Information」頁面內分別輸入所要連接的vCenter Server的位址、管理員帳號以及密碼,並確認已勾選「Assign vShield‘Enterprise Administrator’role to this user」設定,以便後續可以透過此管理帳戶來配置針對旗下所有ESXi主機的虛擬機器保護。設定完畢,再按下〔OK〕按鈕。
|
▲圖14 進行vCenter Server連線設定。 |
在連線的過程中,可能會出現與憑證相關的警示訊息,只要按下〔是〕按鈕即可。
成功連線所指定的vCenter Server之後,便可以在左方的樹狀節點中看到此vCenter下的所有ESXi主機與虛擬機器。
至於其他有關於NTP Server及Syslog Server的設定則是選擇性的,前者可以設定成與ESXi主機的配置一樣,而後者則可結合一些網路系統的集中監測服務來協助進行系統運行的診斷使用。
接著,切換到準備進行保護的ESXi主機節點頁面,如圖15所示,在〔Summary〕頁籤內可以發現vShield App、vShield Endpoint以及vShield Data Security三個主要服務皆尚未安裝,其中需要安裝的僅有vShield Endpoint。
|
▲圖15 顯示ESXi主機摘要安裝資訊。 |
如果想要更完整地保護虛擬機器的資料安全,可以自行試用vShield Data Security。隨後,點選vShield Endpoint項目所在的「Install」連結繼續。
接著,在如圖16所示的頁面中確認已勾選「vShield Endpoint Installing lastest version 6.0.0-3125211」項目,並按下〔Install〕按鈕進入安裝程序。
|
▲圖16 安裝vShield Endpoint元件。 |
完成安裝vShield Endpoint元件後,再次回到〔Summary〕頁籤內就會發現vShield Endpoint呈現已安裝狀態,如果回到資料中心的節點,則可以如圖17所示在〔General〕頁籤內查看目前所有ESXi主機中已經有哪一些安裝了vShield Endpoint,這些ESXi主機的「Endpoint Enabled」狀態將會顯示成「Yes」。
|
▲圖17 檢視資料中心vShield資訊。 |
TOP 3:如何安裝Sophos Enterprise Console
在確認所要保護的ESXi主機上已經啟用vShield Endpoint服務之後,就可以開始部署第三方的虛擬化平台防毒系統。首先,必須找一台Windows Server 2008以上的伺服器來安裝Sophos Enterprise Console管理系統,這裡建議採用Windows Server 2012 R2。
至於其所需要的資料庫服務,選擇內建或現行的SQL Server 2005以上版本即可。此工具程式也允許進行跨網路的Windows、Mac OS X、Linux、UNIX以及VMware vShield的端點防護管理。
執行安裝程式後,必須先設定解壓縮後的檔案存放路徑。接著會來到「選擇元件」頁面,讓使用者決定所要安裝的三大元件:管理主控台、管理伺服器以及資料庫。
這表示後續可以單獨安裝管理主控台,在IT人員自己的Windows Client(例如Windows 10)中直接連線管理伺服器即可。由於本例是首次安裝使用在這個網路之中,因此這三個元件皆必須勾選安裝。按一下〔下一步〕按鈕繼續。