发现VMware vCenter或ESX/ESXi管理的虚拟机

越来越多的高严重性漏洞会影响虚拟目标和支持它们的设备,例如:

  • 管理控制台
  • 管理服务器
  • 管理虚拟机
  • 客户虚拟机
  • 虚拟机监控程序

仅仅跟踪虚拟资产及其各种状态和分类本身就是一项挑战。为了有效地管理它们的安全性,您需要跟踪重要的细节:例如,哪些虚拟机有Windows操作系统?哪些资源属于特定的资源池?哪些正在运行?拥有这些信息可以使您与虚拟资产环境中的持续变化保持同步,这也有助于您更有效地管理扫描资源。如果您知道在任何给定时间有什么扫描目标,您就知道要扫描什么以及如何扫描。

为了应对这些挑战,该应用程序支持动态发现由VMware vCenter或ESX/ESXi管理的虚拟资产。

一旦您启动Dynamic Discovery,只要发现连接是活动的,它就会自动继续。

准备用于动态发现的目标VMware环境

在VMware环境下进行动态发现时,可以连接vCenter服务器,也可以直接连接独立的ESX(i)主机。

要确定应用程序是否支持与vCenter管理的ESX(i)主机连接,请参考VMware的互操作性矩阵http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php

该应用程序支持直接连接到以下ESX(i)版本:

  • ESX 4.1
  • ESX 4.1,更新1
  • ESXi 4.1
  • ESXi 4.1,更新1
  • ESXi 5.0
  • ESXi 5.5
  • ESXi 6.0

您必须将VMware vSphere部署配置为通过HTTPS进行通信。为了执行动态发现,安全控制台通过HTTPS发起到vSphere应用程序接口(API)的连接。

如果暴露和目标vCenter或虚拟资产主机位于被防火墙等设备分隔的不同子网中,则需要与网络管理员达成协议,启用通信,以便应用程序能够执行Dynamic Discovery。

请确保vCenter或虚拟机主机上的443端口是打开的,因为应用程序需要联系目标器以发起连接。

在创建发现连接时,您需要指定帐户凭证,以便应用程序可以连接到vCenter或ESX/ESXi主机。确保帐户具有根服务器级别的权限,以确保所有目标虚拟资产都是可发现的。如果在目标环境中为文件夹分配权限,则不会看到所包含的资源,除非父资源池上也定义了权限。作为最佳实践,建议帐户具有只读访问权限。

确保目标环境中的虚拟机已经安装了VMware Tools。如果没有安装VMware Tools,资产可以被发现,并显示在发现结果中。然而,使用VMware Tools,这些目标资产可以包含在动态站点中。这对扫描有很大的好处。看到使用动态发现连接配置站点