A proteção da interface de gerenciamento ESXi é essencial para proteção contra intrusão não autorizada e uso indevido. Se um host está comprometido em certos aspectos, as máquinas virtuais com as quais ele interage também podem estar comprometidas. Para reduzir o risco de um ataque através da interface de gerenciamento, ESXi é protegido com um firewall integrado.

Para proteger o host contra intrusão não autorizada e uso indevido, o VMware impõe restrições sobre vários parâmetros, configurações e atividades. As restrições podem ser flexibilizadas para atender às necessidades de configuração, mas se você fizer isso, deverá tomar medidas para proteger a rede como um todo e os dispositivos conectados ao host.

Considere as recomendações a seguir ao avaliar a proteção do host e a administração.

  • Melhorar a proteção, restringir o acesso do usuário à interface de gerenciamento e reforçar as políticas de proteção do acesso, tais como a criação de restrições de senha.
  • Fornecer apenas aos usuários confiáveis o acesso ao login do ESXi Shell. O ESXi Shell tem acesso privilegiado a determinadas partes do host.
  • Sempre que possível, executar somente os processos essenciais, serviços e agentes, tais como verificadores de vírus e backups da máquina virtual.
  • Sempre que possível, usar o vSphere Web Client ou uma ferramenta de gerenciamento de rede de terceiros para administrar os hosts do ESXi em vez de trabalhar na interface da linha de comando como o usuário raiz. Quando você usar o vSphere Web Client, sempre conecte-se ao host ESXi através de um sistema vCenter Server.

O host executa vários pacotes de terceiros para oferecer suporte às interfaces de gerenciamento ou tarefas que um operador deve realizar. O VMware não oferece suporte à atualização desses pacotes de outra fonte que não seja um VMware. Se um download ou patch for usado de outra fonte, as funções e a proteção da interface de gerenciamento podem ficar comprometidas. Verificar regularmente o sites do fornecedor de terceiros e a base de conhecimento do VMware quanto aos alertas de segurança.

Além de implementar o firewall, você pode reduzir os riscos para os hosts ESXi usando outros métodos.

  • Certifique-se de que todas as portas de firewall que não são necessárias especificamente para acesso de gerenciamento para o host estejam fechadas. As portas devem estar especificamente abertas se forem necessários serviços adicionais.
  • Substituir os certificados padrão e não permitir codificações fracas. Por padrão, as codificações fracas são desativadas e todas as comunicações dos clientes são protegidas por TLS. Os algoritmos exatos usados para proteger o canal dependem do handshake TLS. Os certificados padrão criados no ESXi usam SHA-1 com criptografia RSA como algoritmo de assinatura.
  • Instalar correções de segurança. O VMware monitora todos os alertas de segurança que podem afetar a segurança do ESXi e, se necessário, emite uma correção de segurança.
  • Serviços não seguros, como FTP e Telnet não estão instalados, e as portas para esses serviços estão fechadas. Como mais serviços de segurança, tais como SSH e SFTP, estão facilmente disponíveis, sempre evite usar esses serviços inseguros em em vez de alternativas mais seguras. Se você deve usar serviços não seguros, implemente a proteção suficiente para os hosts ESXi e abra as portas correspondentes.

Você pode colocar os hosts ESXi no modo de bloqueio. Quando o modo de bloqueio está habilitado, o host pode ser gerenciamento apenas do vCenter Server. Os usuários que não sejam vpxuser e sem permissões de autenticação e conexões diretas com o host são rejeitados.