Khám phá tính năng, lợi ích, các loại cũng như cách kích hoạt và tắt chế độ Lockdown Mode trên VMware vSphere chi tiết ngay trong bài viết sau đây nhé.
Trong môi trường ảo hóa, việc bảo mật hệ thống là một ưu tiên hàng đầu để đảm bảo tính ổn định và an toàn của dữ liệu. Trong VMware vSphere, Lockdown Mode là một tính năng quan trọng được thiết kế để cung cấp một lớp bảo vệ bổ sung cho hệ thống ảo hóa. Trong bài viết này, chúng ta sẽ khám phá chi tiết về chế độ Lockdown Mode trong VMware vSphere, cùng với cách sử dụng và cấu hình để tăng cường tính bảo mật và kiểm soát truy cập trong môi trường ảo hóa của bạn.
>>> Xem thêm: VMware vSphere là gì? Các thành phần chính của VMware vSphere
1. Giới thiệu về chế độ Lockdown Mode trong VMware vSphere
Chế độ Lockdown Mode là một tính năng bảo mật trong nền tảng VMware vSphere, được sử dụng để tăng cường bảo mật và kiểm soát truy cập vào các máy chủ ESXi trong môi trường ảo hóa. Khi chế độ Lockdown Mode được kích hoạt trên một máy chủ ESXi, các truy cập từ các công cụ quản lý bên ngoài như vSphere Client, vSphere Web Client hoặc SSH sẽ bị từ chối. Chỉ có VMware vCenter Server mới có thể truy cập và quản lý máy chủ ESXi trong chế độ này.
Cách hoạt động của Lockdown Mode:
- Khi được kích hoạt, chế độ Lockdown Mode sẽ đưa máy chủ ESXi vào trạng thái cách ly quản lý.
- Các truy cập trực tiếp từ các công cụ quản lý bên ngoài (ngoại trừ vCenter Server) sẽ không được chấp nhận.
- Tất cả các yêu cầu quản lý phải được gửi từ VMware vCenter Server.
2. Tính năng và lợi ích của chế độ Lockdown Mode
Tính năng của chế độ Lockdown Mode
- Ngăn chặn truy cập trực tiếp từ các công cụ quản lý ngoài: Khi Chế độ Lockdown Mode được kích hoạt, các truy cập từ vSphere Client, vSphere Web Client, hoặc SSH vào máy chủ ESXi sẽ bị từ chối. Chỉ có VMware vCenter Server mới có thể truy cập và quản lý máy chủ ESXi.
- Hạn chế quyền truy cập và thực thi lệnh: Chế độ Lockdown Mode giảm khả năng xâm nhập bằng cách loại bỏ khả năng truy cập và thực thi lệnh trên máy chủ ESXi từ các công cụ quản lý bên ngoài.
- Tăng cường bảo mật hệ thống: Bằng cách ngăn chặn các truy cập trực tiếp và chỉ cho phép quản lý từ vCenter Server, Chế độ Lockdown Mode giúp tăng cường bảo mật cho hệ thống VMware vSphere.
Lợi ích của chế độ Lockdown Mode
- Quản lý tập trung: Chế độ Lockdown Mode tạo điều kiện cho việc quản lý tập trung hơn, giúp quản trị viên dễ dàng kiểm soát và giám sát các máy chủ ESXi từ một vị trí duy nhất.
- Bảo vệ chống lại các cuộc tấn công từ bên ngoài: Bằng cách loại bỏ khả năng truy cập trực tiếp từ các công cụ quản lý bên ngoài, Chế độ Lockdown Mode giúp bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm ẩn.
- Tuân thủ các tiêu chuẩn bảo mật: Việc sử dụng Chế độ Lockdown Mode hỗ trợ tổ chức tuân thủ các tiêu chuẩn bảo mật như PCI DSS, nơi yêu cầu hạn chế truy cập trực tiếp vào các máy chủ và chỉ cho phép quản lý từ một điểm trung tâm.
- Giảm rủi ro và tăng tính ổn định: Với việc loại bỏ các truy cập không cần thiết vào máy chủ ESXi, Chế độ Lockdown Mode giúp giảm thiểu rủi ro xâm nhập và tăng tính ổn định của hệ thống ảo hóa.
>>> Xem thêm: Cấu hình chia sẻ tài nguyên SAN Storage với VMware vSphere
3. Phân loại chế độ Lockdown Mode trong VMware vSphere
Chế độ Lockdown Mode trong VMware vSphere có thể được phân loại dựa trên mức độ hạn chế truy cập và sự linh hoạt trong quản lý. Lockdown Mode sẽ phân ra làm hai chế độ Normal và Strict.
3.1 Lockdown Mode chế độ Normal
Khi chế độ lockdown được đặt thành "Normal", người dùng từ xa sẽ bị ngăn chặn khỏi việc đăng nhập trực tiếp vào máy chủ. Máy chủ chỉ có thể truy cập thông qua console (màn hình trực tiếp) hoặc qua VMware vCenter Server.
3.2 Lockdown Mode chế độ Strict
Trong chế độ "Strict", máy chủ được khóa chặt hơn nữa. Truy cập từ xa vào máy chủ bị hoàn toàn vô hiệu hóa, bao gồm cả truy cập thông qua console (màn hình trực tiếp). Dịch vụ Direct Console User Interface (DCUI) sẽ bị ngừng hoạt động, và máy chủ chỉ có thể truy cập và quản lý thông qua VMware vCenter Server.
4. Cách kích hoạt chế độ Lockdown Mode trong VMware vSphere
4.1 Kích hoạt Lockdown Mode chế độ Normal
Ta có thể kích hoạt chế độ này bằng 2 cách là trên vCenter hoặc trên ESXi host.
Trên vCenter ta có thể thao tác bằng GUI như hình ảnh bên dưới.
Bây giờ ta tiến hành vào quản trị host ESXi bằng trang web để xem kết quả, yêu cầu khi đăng nhập vào sẽ bị từ chối.
Ngoài ra chế độ này còn có thể giúp ta cấu hình user ngoại lệ được phép truy cập thao tác trang web quản trị ESXi mà không bị giới hạn. Ta có thể cấu hình như sau.
4.2 Kích hoạt Lockdown Mode chế độ Strict
Tương tự như chế độ Normal ta có thể thể bật chế độ này bằng GUI trên vCenter.
Bây giờ ta tiến hành vào trang web quản trị ESXi host để kiểm tra kết quả. Yêu cầu là giao diện quản trị ESXi host vẫn hoạt động nhưng không cho phép chúng ta nhập bất cứ gì vào.
5. Cách tắt chế độ Lockdown Mode trong VMware vSphere
5.1 Tắt chế độ này ở chế độ Lockdown Mode bằng vCenter
Đối với cách tắt này thì tương đối đơn giản, ta chỉ cần click chọn vào chế độ disable ở Lockdown Mode là xong.
5.2 Tắt chế độ này ở chế độ Lockdown Mode bằng cách truy cập trực tiếp vào ESXi
Câu hỏi đặt ra là nếu chẳng may vCenter gặp vấn đề thì làm cách nào để ta có thể tắt chế độ này đi. Khi vCenter gặp vấn đề hay ta muốn thay thế vCenter mới cho host thì làm sao để tắt Lockdown Mode? Chúng ta bây giờ chỉ có thể truy cập trực tiếp vào ESXi để có thể tắt nó đi.
Lưu ý rằng cách này chỉ có thể tắt Lockdown Mode chế độ Normal vì Strict đã cấm cả đăng nhập bằng GUI rồi mà.
Ta tiến hành đăng nhập vào ESXi
>>> Xem thêm: Tầm quan trọng của VMware vSphere Virtual Volumes
6. Lưu ý và các khuyến cáo
Chế độ Lockdown Mode Normal là một chế độ hoàn hảo để ta sử dụng khi chỉ cho phép vCenter quản lý host chứ không thể quản lý host bằng GUI của nó giúp nhất quán trong quá trình quản lý vSphere. Chế độ Normal này còn giúp ta có thể khắc phục được các sự cố khi vCenter gặp vấn đề. Chế độ Lockdown Mode Strict là một chế độ quản lý nghiêm ngặt, nó chỉ cho phép ta quản lý bằng vCenter, chế độ này còn cấm chúng ta đăng nhập bằng GUI hay SHELL kể cả khi ta thao tác trực tiếp với host. Chính vì thế khi gặp vấn đề với vCenter thì ta sẽ gặp một vấn đề lớn vì chỉ có thể điều khiển bằng vCenter mà. Để tắt được chế đồ Strict khi hỏng vCenter thì rất kỳ công.