Para proteger um host do ESXi contra uma intrusão não autorizada e uso indevido, o VMware impõe restrições em vários parâmetros, configurações e atividades. Você pode liberar as restrições para atender às suas necessidades de configuração. Em caso afirmativo, certifique-se de que esteja trabalhando em um ambiente confiável e tome outras medidas de segurança.
Recursos de segurança integrados
Os riscos para os hosts são mitigados da seguinte maneira:
- As interfaces ESXi Shell e SSH estão desativadas por padrão. Mantenha essas interfaces desativadas, a menos que você esteja realizando soluções de problemas ou atividades de suporte. Para atividades diárias, use o vSphere Client, onde a atividade está sujeita ao controle de acesso baseado em função e a métodos modernos de controle de acesso.
- Apenas um número limitado de portas de firewall está aberto por padrão. Você pode abrir explicitamente portas de firewall adicionais associadas a serviços específicos.
- O ESXi executa apenas serviços essenciais para o gerenciamento de suas funções. A distribuição é limitada aos recursos necessários para executar o ESXi.
- Por padrão, todas as portas que não são necessárias para o acesso de gerenciamento ao host são fechadas. Abra as portas se precisar de serviços adicionais.
- Por padrão, as cifras fracas são desativadas e as comunicações dos clientes são protegidas por SSL. Os algoritmos exatos usados para proteger o canal dependem do handshake SSL. Os certificados padrão criados em ESXi usam PKCS # 1 SHA-256 com criptografia RSA como algoritmo de assinatura.
- Um serviço da web interno é usado por ESXi para oferecer suporte ao acesso por clientes da web. O serviço foi modificado para executar apenas funções que um cliente Web requer para administração e monitoramento. Como resultado, o ESXi não é vulnerável a problemas de segurança do serviço da web relatados em uso mais amplo.
- O VMware monitora todos os alertas de segurança que podem afetar a segurança do ESXi e emite um patch de segurança, se necessário. Você pode se inscrever na lista de e-mails VMware Avisos de segurança e alertas de segurança para receber alertas de segurança. Consulte a página da web em http://lists.vmware.com/mailman/listinfo/security-announce.
- Serviços inseguros, como FTP e Telnet, não são instalados e as portas para esses serviços são fechadas por padrão.
- Para proteger os hosts contra o carregamento de drivers e aplicativos que não são assinados criptograficamente, use a inicialização segura da UEFI. A ativação da inicialização segura é feita no BIOS do sistema. Nenhuma alteração de configuração adicional é necessária no host ESXi, por exemplo, para partições de disco. Consulte UEFI Secure Boot for ESXi Hosts.
- Se o seu host do ESXi tiver um chip TPM 2.0, ative e configure o chip no BIOS do sistema. Trabalhando em conjunto com a inicialização segura, o TPM 2.0 fornece segurança aprimorada e garantia de confiança enraizada no hardware. Consulte o Protegendo ESXi hosts com o Trusted Platform Module.
Medidas de segurança adicionais
Considere as recomendações a seguir ao avaliar a proteção do host e a administração.
- Limitar o acesso
- Se você habilitar o acesso à interface de usuário do console direto (DCUI), ao ESXi Shell ou ao SSH, imponha políticas de segurança de acesso rigorosas.
- Não acessar hosts gerenciados diretamente
- Use o vSphere Client para administrar ESXi hosts que são gerenciados por um vCenter Server. Não acesse hosts gerenciados diretamente com o VMware Host Client e não altere os hosts gerenciados da DCUI.
- Use DCUI somente para solução de problemas
- Acesse o host do DCUI ou do ESXi Shell como o usuário raiz apenas para solução de problemas. Para administrar seus hosts do ESXi, use um dos clientes da GUI ou uma das VMware CLIs ou APIs. Consulte Conceitos e exemplos de ESXCLI em https://code.vmware.com/ . Se você usar o ESXi Shell ou o SSH, limite as contas que têm acesso e defina os tempos limite.
- Use apenas VMware origens para atualizar os componentes do ESXi
- O host executa vários pacotes de terceiros para oferecer suporte a interfaces de gerenciamento ou tarefas que você deve executar. O VMware só oferece suporte a atualizações para esses pacotes que vêm de uma origem do VMware. Se você usar um download ou patch de outra origem, poderá comprometer a segurança ou as funções da interface de gerenciamento. Verifique os sites de fornecedores de terceiros e a VMware base de conhecimento para alertas de segurança.
Observação: Siga os VMware avisos de segurança em
http://www.vmware.com/security/.