发现由VMware vCenter或ESX/ESXi管理的虚拟机
越来越多的高严重性漏洞会影响虚拟目标和支持它们的设备,例如:
- 管理控制台
- 管理服务器
- 管理虚拟机
- 客户虚拟机
- 管理程序
仅仅跟踪虚拟资产及其各种状态和分类本身就是一项挑战。为了有效地管理它们的安全性,您需要跟踪重要的细节:例如,哪些虚拟机有Windows操作系统?哪些资源属于特定的资源池?哪些正在运行?拥有这些信息可以使您与虚拟资产环境中的持续变化保持同步,这也有助于您更有效地管理扫描资源。如果您知道在任何给定时间有什么扫描目标,您就知道要扫描什么以及如何扫描。
为了应对这些挑战,该应用程序支持动态发现由VMware vCenter或ESX/ESXi管理的虚拟资产。
一旦启动动态发现,只要发现连接处于活动状态,它就会自动继续。
准备用于动态发现的目标VMware环境
要在VMware环境中执行动态发现,安全控制台可以连接到vCenter服务器或直接连接到独立ESX(i)主机。
要确定应用程序是否支持与vCenter管理的ESX(i)主机连接,请参考VMware的互操作性矩阵http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php.
该应用程序支持直接连接到以下ESX(i)版本:
- ESX 4.1
- ESX 4.1,更新1
- ESXi 4.1
- ESXi 4.1,更新1
- ESXi 5.0
- ESXi 5.5
- ESXi 6.0
您必须将VMware vSphere部署配置为通过HTTPS进行通信。为了执行动态发现,安全控制台通过HTTPS发起到vSphere应用程序接口(API)的连接。
如果安全控制台和目标vCenter或虚拟资产主机位于不同的子网中,这些子网被防火墙等设备分隔,则需要与网络管理员进行安排以启用通信,以便应用程序能够执行动态发现。
请确保vCenter或虚拟机主机上的443端口是打开的,因为应用程序需要联系目标器以发起连接。
创建发现连接时,您需要指定帐户凭据,以便应用程序可以连接到vCenter或ESX/ESXi主机。确保该帐户在根服务器级别具有权限,以确保所有目标虚拟资产都是可发现的。如果在目标环境中为文件夹分配权限,则不会看到包含的资产,除非在父资源池中也定义了权限。作为最佳实践,建议该帐户具有只读访问权限。
确保目标环境中的虚拟机已经安装了VMware Tools。如果没有安装VMware Tools,资产可以被发现,并显示在发现结果中。然而,使用VMware Tools,这些目标资产可以包含在动态站点中。这对扫描有很大的好处。看到使用动态发现连接配置站点.