O hipervisor ESXi é protegido para uso imediato. Você pode proteger ainda mais os hosts do ESXi usando o modo de bloqueio e outros recursos integrados. Para fins de consistência, você pode configurar um host de referência e manter todos os hosts sincronizados com o perfil do host do host de referência. Você também pode proteger seu ambiente realizando o gerenciamento com script, o que garante que as alterações sejam aplicadas a todos os hosts.
Você pode aprimorar a proteção de hosts ESXi que são gerenciados por vCenter Server com as seguintes ações. As considerações de segurança para hosts autônomos são semelhantes, embora as tarefas de gerenciamento possam ser diferentes. Consulte a documentação do vSphere Gerenciamento de host único - VMware Host Client.
Limitar acesso de ESXi
Por padrão, os serviços ESXi Shell e SSH não estão em execução e somente o usuário raiz pode fazer login na Interface do Usuário do Console Direto (DCUI). Se você decidir ativar o acesso ESXi ou SSH, poderá definir tempos limite para limitar o risco de acesso não autorizado. Os usuários que podem acessar o host ESXi devem ter permissões para gerenciar o host. Você define permissões no objeto de host do sistema vCenter Server que gerencia o host.
Consulte Usando o ESXi Shell.
Usar usuários nomeados e privilégio mínimo
Por padrão, o usuário root pode realizar várias tarefas. Não permita que os administradores façam login no host ESXi usando a conta de usuário raiz. Em vez disso, crie usuários administradores nomeados de vCenter Server e atribua a esses usuários a função de Administrador. Você também pode atribuir a esses usuários uma função personalizada. Consulte Criar uma função personalizada vCenter Server.
Se você gerenciar usuários diretamente no host, as opções de gerenciamento de funções serão limitadas. Consulte a documentação do vSphere Gerenciamento de host único - VMware Host Client.
Minimizar o número de portas de firewall ESXi abertas
Por padrão, as portas de firewall no host ESXi são abertas somente quando você inicia um serviço correspondente. Você pode usar os comandos vSphere Client, ESXCLI ou PowerCLI para verificar e gerenciar o status da porta do firewall.
Consulte Configurando o firewall ESXi.
Automatize o gerenciamento de host do ESXi
Como geralmente é importante que diferentes hosts no mesmo centro de dados estejam sincronizados, use a instalação com script ou vSphere Auto Deploy para provisionar hosts. Você pode gerenciar os hosts usando scripts. Os perfis de host são uma alternativa ao gerenciamento com script. Você configura um host de referência, exporta o perfil do host e aplica o perfil do host a todos os hosts. Você pode aplicar o perfil de host diretamente ou como parte do provisionamento com o Auto Deploy.
Consulte Usar scripts para gerenciar definições de configuração do host do ESXi e a documentação do vCenter Server Instalação e configuração para obter informações sobre vSphere Auto Deploy.
Aproveite o ESXi modo de bloqueio
No modo de bloqueio, os hosts ESXi podem ser acessados somente por meio de vCenter Server por padrão. Você pode selecionar o modo de bloqueio estrito ou o modo de bloqueio normal. Você pode definir Usuários de exceção para permitir o acesso direto a contas de serviço, como agentes de backup.
Consulte Configurando e gerenciando o modo de bloqueio em ESXi hosts.
Verificar a integridade do pacote VIB
Cada pacote do vSphere Pacote de Instalação (VIB) tem um nível de aceitação associado. Você poderá adicionar um VIB a um host ESXi somente se o nível de aceitação do VIB for igual ou superior ao nível de aceitação do host. Não é possível adicionar um VIB CommunitySupported ou PartnerSupported a um host a menos que você altere explicitamente o nível de aceitação do host.
Consulte Gerenciar os níveis de aceitação de ESXi hosts e vSphere pacotes de instalação.
Gerenciar ESXi Certificados
O VMware Certificate Authority (VMCA) provisiona cada host ESXi com um certificado assinado que tem a VMCA como a autoridade de certificação raiz por padrão. Se a política da sua empresa exigir, você poderá substituir os certificados existentes por certificados assinados por um terceiro ou por uma autoridade de certificação corporativa.
Consulte Gerenciando certificados para hosts ESXi.
Considere a autenticação de cartão inteligente para ESXi
ESXi é compatível com o uso de autenticação de cartão inteligente em vez de autenticação de nome de usuário e senha. A autenticação de dois fatores também é compatível com o vCenter Server. Você pode configurar a autenticação de nome de usuário e senha e a autenticação de cartão inteligente ao mesmo tempo.
Consulte Configurando e gerenciando a autenticação de cartão inteligente para ESXi.
Considere o ESXi bloqueio de conta
Consulte ESXi Senhas e bloqueio de conta.