VMware 补丁凸显支持问题

现在使用 VMware 的组织如果计划继续使用该虚拟机监控器，就别无选择，只能购买年度订阅捆绑产品。

正如 Computer Weekly 之前报道的那样，Broadcom 已经简化了 VMware 产品系列，该系列现在仅以订阅方式提供，并且按每个核心收费。一些组织，比如 Telefónica Germany，通过购买二手 VMware 许可并使用第三方支持服务，成功维持了永久许可。

不过，最近的一则安全警示将问题聚焦于在不升级到 VMware 订阅的情况下，维持 VMware 许可拷贝运行的难度。

上个月，Broadcom 发布了一则关键安全公告，涉及包括 ESXi、Workstation 和 Fusion 在内的多个 VMware 产品中的三处新的零日漏洞。其中最严重的是 ESXi 和 Workstation 中的一个关键漏洞。

据 Rapid7 表示，这些漏洞并非远程可被利用——它们要求攻击者必须已经在受影响的 VMware 虚拟机上具有特权访问权限。

在博客中，Rapid7 指出有可能将这三处漏洞串联利用：“这是一种情况：攻击者如果已对虚拟机内的客户操作系统进行攻陷并获得了特权访问（管理员或 root），就可能进一步入侵虚拟机监控器本身。”

Broadcom 指出，除公告中标明为“已修复”的版本外，管理员应假定所有版本的 ESXi、vSphere 和 VCF 均受影响。“如果对系统是否受影响存在任何疑问，应假定该系统存在漏洞，并立即采取措施，”Broadcom 的安全公告警告道，并补充说这些漏洞已在“野外”被利用。

补丁获取情况

对于运行较旧版本 ESXi 的 VMware 用户，Broadcom 已为 ESX 6.7 发布了补丁，所有客户均可通过支持门户获取该补丁。而对于 ESX 6.5 用户，Broadcom 表示需要通过扩展支持流程才能获得补丁。

Broadcom 指出，已过一般支持期的产品不会进行评估，并敦促正在使用 vSphere 6.5 和 6.7 的组织升级至 vSphere 8。

为了应用 Broadcom 发布的补丁，IT 决策者需要升级到 Broadcom 的 VMware 订阅——除非他们愿意使用覆盖受支持 vSphere 版本的二手许可。该订阅服务为最新支持的 VMware 发布版本提供补丁和更新。

如果管理得当，转向 VMware 订阅可能是一种合适的策略，尤其适用于那些能够使用完整 VMware Cloud Foundation (VCF) 套件并且需要同时管理虚拟化与容器化的平台的组织。

VMware 订阅的好处

正如 DXC Technology 云及基础设施部门领域首席技术官 Holland Barry 在近期的一篇 Computer Weekly 文章中指出的那样，适应 VMware 不断演变的许可模式的组织正发现优化成本和提升效率的机会。

他说：“许多组织已经成功地通过用集成解决方案替换冗余功能（例如日志记录、可观察性、自动化、软件定义网络、微分段以及超融合基础设施），从而精简了 IT 资产，这些集成解决方案现已包含在他们的 VMware Cloud Foundation 模型中。”

对于 CCS Insight 的首席分析师 Bola Rotibi 来说，VCF 的架构原则基于构建互操作性。在混合和多云部署场景下，VCF 为企业提供了一种一致的企业级云体验。

然而，Rotibi 认为，VCF 最大的优势之一在于其能够在同一平台上支持基于虚拟机和 Kubernetes 的工作负载。

“许多企业仍在运行依赖虚拟机的传统应用程序，”她表示，但这些企业同时也希望利用云原生、容器化的应用程序进行现代化转型。“VCF 并不迫使企业在两种架构之间做出选择，而是实现了两者的无缝集成。”

Barry 建议 IT 领导者将硬件配置调整到 VMware 新的每 CPU 插槽最低 16 核要求，他认为这对最大化性能和价值至关重要。“通过精心重新校准内存与 CPU 的比例，企业确保了工作负载能够在无额外开销的情况下最优运行，”他补充道。

算得上是一种风险

许多 IT 领导者都不愿冒险让 IT 系统在未打补丁的状态下运行，但 VMware 是一款成熟的产品，这意味着管理安全 VMware 环境的最佳实践已经非常成熟。

据第三方支持服务提供商 Spinnaker Support 表示，VMware 客户不得不自行判断旧版本、不受支持的产品是否会受到新发现漏洞的影响。以最近影响 VMware 6.7 版本的漏洞为例，Spinnaker Support 表示需要打补丁的功能在 5.5 版本中并不存在，因此对于使用旧版本 VMware 产品的组织来说风险可忽略不计。

尽管 Broadcom 将 VMware 产品捆绑在一起简化了产品系列，但根据 Spinnaker 的经验，这也意味着 VMware 的补丁会针对许多组织根本不使用的产品发布。

Spinnaker Support 网络安全副总裁 Craig Savage 表示：“Broadcom 的捆绑策略使得客户难以区分真实的安全风险与噪音。当所有东西都被包装成庞大而昂贵的套装时，要弄清楚究竟哪些部分需要保护——哪些不需要——就变得更加困难。”