Те из вас, кто интересуется безопасностью виртуальной инфраструктуры VMware vSphere, наверняка знают такое нужное руководство, как "VMware vSphere Hardening Guide", которое предоставляет рекомендации и практичные советы по комплексной защите виртуальной инфраструктуры, включая хосты, виртуальные машины, сервер vCenter и т.п.
Однако этот документ - еще не все, что есть полезного на тему безопасности от VMware (кстати, централизованно все ресурсы находятся в VMware Security Center). Недавно обновился документ "Security of the
VMware vSphere Hypervisor" (25 страниц), который описывает инфраструктуру безопасности непосредственно хоста ESXi на уровне ядра и интерфейсов.
Содержание документа:
Secure Virtual Machine Isolation in Virtualization
Virtualization Extensions
Instruction Isolation
Memory Isolation
Memory Protection
Device Isolation
Device Access to Hardware
I/O Remapping
Resource Provisioning, Shares, and Limits
Provisioning
Shares
Limits
Network Isolation
ESXi Networks
Virtual Machine Networks
Virtual Networking Layer
Virtual Switches
Virtual Switch VLANs
Virtual Ports
Virtual Network Adapters
Virtual Switch Isolation
Virtual Switch Correctness
Virtualized Storage
Linked Clones
Raw Device Mapping
I/O Path
SAN Security
iSCSI Security
VMFS
NFS Security
Secure Management
ESXi Is Not Linux
Administrative Interfaces
DCUI
Host Agent
VMware vSphere ESXi Shell
Network Access to Administrative Interfaces
SSL Certificates
Management Interface Firewall
Security of Management Protocols
Administrative User Access
Limit Root Access
Lockdown Mode
Platform Integrity Protection
Secure Software Packaging
Software Assurance and Integrity Protection
VMware Secure Development Life Cycle
Документ отличает высокий технический уровень, который позволяет понять процессы, происходящие в недрах ESXi. Вот так, например, выглядит схема прохождения инструкций процессора на различных уровнях:
А вот так - использование физической и виртуальной памяти хостов виртуальными машинами:
RSS
