使用VMwareFusion4保护虚拟机的安全

如果您是VMware Fusion新手或忠实支持者，对于这种宿主型虚拟化平台您应该了解一些安全相关的问题。遵循VMware Fusion安全规定来保护虚拟机、宿主机和自身的健康。

　　VMware Fusion属于Type 2 hypervisor,也就是它类似于运行于操作系统之上的一个应用。这些hypervisor不能直接访问服务器硬件，需要通过OS进行，相比Type 1 hypervisor的裸机方式带来了额外的安全风险。在VMware Fusion中存在很多种宿主机OS和客机的直接共享，也成为潜在的黑客攻击点。

　　VMware Fusion下载选项

　　当您购买VMware Fusion,包括新的VMware Fusion 4的时候，有两种可选下载方式：集成McAfee Security Suite和非集成版本。我强烈建议您下载非集成版本。

　　理由是：首先，该产品管理和卸载很困难。其次，虽然预先绑定它作为安全选项也很不错，但McAfee的产品是有时间限制的版本，总是不断提示用户在到期前进行续订。

　　从个人而言，我认为Microsoft Security Essentials 和 ESET NOD32等安全产品的管理、控制和卸载更简单。

　　VMware Fusion 4安全设置

　　VMware Fusion 4的新功能之一就是虚拟机加密，但该功能还不完善。虽然256位AES已经存在一段时间，还是采用的老的128位AES加密算法。另外，虚拟机文件（在Mac OS中成为“包”）只有在虚拟机关机时才进行加密。如果您待机或暂停虚拟机，相关资源是没有加密的。

　　当我第一次升级到VMware Fusion 4的时候，也对其中的一些默认开启选项感到惊讶。

　　例如，在客机OS中蓝牙默认开启，而且允许宿主机和客机之间的蓝牙共享。由于宿主机和客机默认情况下共享蓝牙连接，也就是对附近的黑客蓝牙设备也开放权限，相互更容易受到牵连。VMware Fusion最佳安全实践应该是默认关闭该设置。

　　在VMware Fusion 4发布后，预告的4.01版本包含了另一个需要关闭的默认设置。Mac 系统硬盘内的Downloads and Movies文件夹默认情况下是镜像的。这样，通过镜像文件夹可以很方便地实现跨OS的感染，增加了VMware Fusion 4宿主机和客机OS受攻击的可能性。

　　锁定USB设备和共享文件夹

　　伴随着蓝牙，VMware Fusion 4包含了其它设备和服务的共享能力，例如USB设备和文件夹。它们本身就存在很大的安全问题，USB设备和这些共享文件夹中的内容让人不安。例如，假设USB设备被感染或从共享文件夹运行了一个流氓软件，就会导致宿主机和客机OS被感染。

　　还有一点很重要就是共享文件夹并非总是位于本地，可能是位于公司或家庭网络中。如果共享文件位于网络上，您的受攻击面也相应扩展了。在您决定对共享文件夹启用Everyone and Full Control选项前一定要慎重。确保对VMware Fusion中位于宿主机和客机之间的共享进行锁定，无论是文件层面的还是Fusion的设置相关。

　　作为VMware Fusion 4用户，有很多需要您考虑的默认设置，才能确保宿主机和客机OS的安全性。