Para proteger um host ESXi contra uma intrusão não autorizada e uso indevido, o VMware impõe restrições a vários parâmetros, configurações e atividades. Para atender às suas necessidades de configuração, você pode afrouxar as restrições. Se fizer isso, certifique-se de que esteja trabalhando em um ambiente confiável e tome outras medidas de segurança.
Quais são os ESXi recursos de segurança integrados
ESXi reduz os riscos para seus hosts da seguinte forma:
- A interface ESXi Shell e a interface SSH são desativadas por padrão. Mantenha essas interfaces desativadas, a menos que você esteja realizando atividades de solução de problemas ou suporte. Para atividades diárias, use o vSphere Client, em que a atividade está sujeita ao controle de acesso baseado em função e a métodos modernos de controle de acesso.
- Apenas algumas portas de firewall estão abertas por padrão. Você pode abrir explicitamente portas de firewall associadas a serviços específicos.
- Por padrão, todas as portas que não são necessárias para o acesso de gerenciamento ao host são fechadas. Abra as portas se precisar de serviços adicionais.
- ESXi executa apenas serviços essenciais para o gerenciamento de suas funções. A distribuição é limitada aos recursos necessários para executar o ESXi.
- Por padrão, as codificações fracas são desativadas e as comunicações dos clientes são protegidas por SSL. Os algoritmos exatos usados para proteger o canal dependem do handshake SSL. Os certificados padrão criados em ESXi usam PKCS#1 SHA-256 com criptografia RSA como o algoritmo de assinatura.
- Um serviço da web interno é usado por ESXi para oferecer suporte ao acesso de clientes de Web. O serviço foi modificado para executar apenas as funções que um cliente Web requer para administração e monitoramento. Como resultado, o ESXi não é vulnerável a problemas de segurança de serviço da web relatados em uso mais amplo.
- VMware monitora todos os alertas de segurança que podem afetar a segurança de ESXi e emite um patch de segurança, se necessário. Para receber alertas de segurança, você pode se inscrever na lista de e-mails VMware Comunicados de Segurança e Alertas de Segurança. Consulte a página da Web em http://lists.vmware.com/mailman/listinfo/security-announce.
- Serviços inseguros, como FTP e Telnet, não são instalados, e as portas para esses serviços são fechadas por padrão.
- Para proteger os hosts do carregamento de drivers e aplicativos que não são assinados criptograficamente, use a inicialização segura UEFI. A ativação da inicialização segura é feita no BIOS do sistema. Nenhuma alteração de configuração adicional é necessária no host ESXi, por exemplo, para partições de disco. Consulte Inicialização segura UEFI para hosts ESXi.
- Se o seu host ESXi tiver um chip TPM 2.0, ative e configure o chip no BIOS do sistema. Trabalhando em conjunto com a Inicialização Segura, o TPM 2.0 fornece segurança aprimorada e garantia de confiança enraizada no hardware. Consulte Protegendo ESXi hosts com o Trusted Platform Module.
- No ESXi 8.0 e posterior, você pode executar o processo SSH em um domínio de sandbox. O shell tem privilégios reduzidos e só permite acesso a um subconjunto limitado de comandos. Para obter mais informações, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/article/87386.
Adotando outras ESXi medidas de segurança
Considere as seguintes recomendações ao avaliar a segurança e a administração do host.
- Limitar o acesso a ESXi hosts
- Se você ativar o acesso à Interface do Usuário do Console Direto (DCUI), o ESXi Shell, ou SSH, impõe políticas de segurança de acesso restrito.
- Não acesse hosts ESXi gerenciados diretamente
- Use o vSphere Client para administrar hosts ESXi que são gerenciados por um vCenter Server. Não acesse hosts gerenciados diretamente com o VMware Host Client e não altere hosts gerenciados do DCUI.
- Usar DCUI somente para solução de problemas
- Acesse o host do DCUI ou do ESXi Shell como usuário raiz somente para solução de problemas. Para administrar seus hosts ESXi, use o vSphere Client (ou o VMware Host Client) ou uma das CLIs ou APIs do VMware. Consulte Conceitos e exemplos da ESXCLI em https://developer.vmware.com. Se você usar o ESXi Shell ou o SSH, limite as contas que têm acesso e defina tempos limite.
- Use apenas VMware origens para fazer upgrade de ESXi componentes
- O host executa vários pacotes de terceiros para oferecer suporte a interfaces de gerenciamento ou tarefas que você deve executar. VMware só é compatível com upgrades para esses pacotes que vêm de uma origem VMware. Se você usar um download ou patch de outra fonte, poderá comprometer a segurança ou as funções da interface de gerenciamento. Verifique os sites de fornecedores de terceiros e a base de conhecimento VMware para obter alertas de segurança.
Observação: Siga os VMware comunicados de segurança em
http://www.vmware.com/security/.