3. Sau đó click vào liên kết Play Virtual Machine để chạy máy ảo. Khi đó, có thể chúng ta sẽ nhận được thông báo cho biết máy ảo đó đã bị di chuyển hoặc sao chép bởi vì một số file của nó không tồn tại, đồng thời một số thông tin trong file cấu hình không phù hợp với vùng lưu trữ mới. Nếu nhận được thông báo như vậy chúng ta chỉ cần lựa chọn tùy chọn I copied it rồi nhấn OK, những file còn thiếu sẽ được tạo tự động và file cấu hình sẽ được cập nhật. Có thể một thông báo của Vmware Tools sẽ xuất hiện trong trường hợp những công cụ này đã được cài đặt trên hệ thống; đó là do phiên bản ESX đang sử dụng có đôi chút khác biệt so với những công cụ trên máy chủ như Player. Chúng ta có thể lựa chọn tải phiên bản ESX khác hoặc không vì nó không ảnh hưởng nhiều tới máy ảo.



4. Khi máy ảo đã được khởi động chúng ta có thể đăng nhập vào đó. Nếu muốn hủy bỏ kết nối mạng, chỉ cần click vào Settings của Player, lựa chọn card giao tiếp mạng ảo (NIC) rồi hủy chọn hộp chọn Connected, nếu không chúng ta sẽ phải cấu hình lại kết nối mạng mới bên trong hệ điều hành máy ảo để nó sử dụng cấu hình mạng tương tự với máy PC chứa máy ảo này.


5. Nếu không có mật khẩu quản trị, chúng ta có thể bẻ hay thiết lập lại mật khẩu với một số công cụ có trong Live CD, như: PC Login Now , Ophcrack, Offline NT Password & Registry Editor. Khi đã tải và giải nén file ISO, chúng ta có thể cài nó vào ổ đĩa CD-ROM của máy ảo để máy ảo khởi động từ ổ CD-ROM thay vì ổ cứng. Sau đó, khi khởi động máy ảo, chúng ta cần click thật nhanh vào bên trong các cửa sổ của máy ảo rồi nhấn ESC để hiển thị menu khởi động và lựa chọn khởi động từ ổ CD-ROM. Ngoài ra, chúng ta có thể sử dụng một Live CD khác như Ultimate Boot CD hay Knoppix với hỗ trợ duyệt tìm hệ thống file của máy ảo. Click vào đây để xem danh sách Live CD.


Hình 13.

Đến đây chúng ta đã hoàn thành những gì cần thực hiện, đây không phải là thao tác quá phức tạp khi chúng ta đã nắm được phương pháp thực hiện. Có thể nói, bất kỳ ai có quyền truy cập phù hợp đuề có thể đánh cắp dữ liệu quan trọng trên máy ảo, đó là lí do tại sao những file .vmdk thô cần được bảo vệ cẩn trọng.

Hiện nay, vSphere không tích hợp bất kì công cụ mã hóa file .vmdk nào, tuy nhiên, công cụ mã hóa file .vmdk được tích hợp trong phiên bản Workstation 7, do đó trong thời gian tới vSphere cũng tích hợp công cụ này. Không phải mọi quản trị viên đều chú trọng tới những dữ liệu quan trọng, tuy nhiên bảo vệ những dữ liệu quan trọng là sự bảo đảm tốt nhất. Dưới đây là một số phương pháp để chúng ta có thể bảo vệ máy ảo trước những thủ đoạn tương tự:

1. Bảo vệ những dữ liệu quan trọng tại hệ điều hành hay lớp ứng dụng nếu có thểbằng cách sử dụng một công cụ mã hóa. Tuy nhiên đây không phải là lựa chọn duy nhất và thường chiếm dụng tài nguyên máy chủ bởi vì phải cài đặt công cụ mã hóa. Tuy nhiên, khi sử dụng phương pháp này, cho dù ai đó truy cập được vào ổ đĩa ảo thì họ cũng khó có thể đọc được dữ liệu trong đó.

2. Giới hạn truy cập trong vCenter Server tới những đặc quyền cho phép chạy file của kho dữ liệu máy chủ. Chúng ta không cần phải loại bỏ đặc quyền Browse Datastore (duyệt tìm kho dữ liệu) của một người dùng chức năng nào, mà chỉ cần loại bỏ Low Level File Operations (vận hành file cấp độ thấp) để chặn tải, sao chép và thay đổi tên file. Không phải ai truy cập vào vCenter Server cũng cần kiểu truy cập này, do đó cần đảm bảo và chỉ cấp quyền truy cập này cho những người thực sự cần. Hạn chế cấp quyền truy cập đầy đủ trong vCenter Sphere cho người dùng, sử dụng những role khác nhau để thay đổi quyền truy cập phù hợp với người dùng.



3. Trong vCenter Server hay ESX không tích hợp bất kỳ công cụ tạo bản ghi hay kiểm soát nào giúp đưa ra cảnh báo khi máy trạm vSphere vận hành file. Khi chúng ta sử dụng Datastore Browser thì ứng dụng ưu tiên được sử dụng là Secure File Transfer Protocol (SFTP), có một số dữ liệu kết xuất trong file /var/log/sercure bên trong ESX Service Console, tuy nhiên không có bất kỳ dữ liệu nào cung cấp thông tin về các file tải.

Chúng ta có thể xem xét triển khai một chức năng của ứng dụng nhập như HyTrust Appliance có thể cung cấp khả năng kiểm soát truy cập rất mạnh và một thiết bị đăng nhập tập trung cho mọi máy chủ. Ứng dụng HyTrust có thể tạo ra các bản ghi còn thiếu của tiến trình truyền SCP/SFTP và những lệnh gọi giao tiếp lập trình nâng cao (API) được tạo ra khi sử dụng Datastore Browser cũng như chặn truy cập tới ESX Service Console và vCenter Server.

4. Chỉ cấp quyền truy cập vào ESX Service Console cho những người dùng thực sự cần thiết. Chúng ta có thể sử dụng sudo để giới hạn những gì mà một người dùng có thể truy cập và thực hiện bên trong ESX Service Console. Với những tiến trình thông thường, không cần phải truy cập vào ESX Service Console khi mọi thứ có thể được thực hiện qua vSphere Client.

Để có thể bảo đảm rằng dữ liệu được an toàn chúng ta phải áp dụng nhiều phương pháp bảo mật trên nhiều lớp khác nhau. Bảo vệ dữ liệu, ứng dụng, hệ điều hành và máy chủ vật lý, đồng thời đảm bảo rằng lớp ảo hóa cũng đã được bảo vệ. Khi áp dụng các biện pháp bảo mật không được để xảy ra bất kì sai xót nào dù là nhỏ nhất. Không hiểu và đánh giá được những khó khăn đặc trưng trong công tác bảo mật môi trường ảo có thể là một sai lầm đắt giá mà chúng ta không muốn mắc phải.