ESXi 虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护 ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。
您可以通过以下操作提高对 vCenter Server 管理的 ESXi 主机的保护。请参见《VMware vSphere Hypervisor 的安全性》白皮书了解背景和详细信息。
- 限制 ESXi 访问
- 默认情况下, ESXi Shell 和 SSH 服务不会运行,只有 root 用户才能登录到直接控制台用户界面 (DCUI)。如果决定启用 ESXi 或 SSH 访问,则可以设置超时以限制未经授权的访问风险。
- 使用指定用户和最小特权
- 默认情况下,root 用户可以执行许多任务。不允许管理员使用 root 用户帐户登录 ESXi 主机,而是从 vCenter Server 创建指定管理员用户,并为这些用户分配管理员角色。您还可以为这些用户分配自定义角色。请参见 创建 vCenter Server 自定义角色。
- 尽可能减少打开的 ESXi 防火墙端口数
- 默认情况下,只有启动相应的服务时,才会打开 ESXi 主机上的防火墙端口。可以使用 vSphere Client 或 ESXCLI 或 PowerCLI 命令检查和管理防火墙端口状态。
- 自动化 ESXi 主机管理
- 由于使同一数据中心内的不同主机保持同步通常十分重要,因此请使用脚本式安装或 vSphere Auto Deploy 置备主机。您可以使用脚本管理主机。除脚本式管理之外,还可以使用主机配置文件。您可以设置引用主机、导出主机配置文件并将主机配置文件应用到所有主机。可以直接应用主机配置文件,也可以在使用 Auto Deploy 置备时应用主机配置文件。
- 使用锁定模式
- 在锁定模式下,默认只能通过 vCenter Server 访问 ESXi 主机。可以选择严格锁定模式或正常锁定模式。可以定义例外用户以允许直接访问服务帐户(如备份代理)。
- 检查 VIB 软件包完整性
- 每个 VIB 软件包均有关联的接受级别。只有在 VIB 接受级别与主机的接受级别相同或比其更高时,才能将 VIB 添加到 ESXi 主机。除非明确更改主机的接受级别,否则无法将由社区支持或合作伙伴支持的 VIB 添加到主机。
- 管理 ESXi 证书
- 默认情况下,VMware Certificate Authority (VMCA) 将使用以 VMCA 作为根证书颁发机构的签名证书置备每个 ESXi 主机。如果公司策略有相关要求,则可以将现有证书替换为第三方或企业 CA 签名的证书。
- 考虑使用智能卡身份验证
- ESXi 支持使用智能卡身份验证,而不是用户名和密码身份验证。为了提高安全性,您可以配置智能卡身份验证。 vCenter Server 还支持双因素身份验证。您可以同时配置用户名和密码身份验证以及智能卡身份验证。
- 考虑使用 ESXi 帐户锁定
-
对于通过 SSH 和通过 vSphere Web Services SDK 进行的访问,支持帐户锁定。默认情况下,允许最多 10 次尝试,当这些尝试均失败后,才会锁定帐户。默认情况下,帐户将在两分钟后解锁。
注: 直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。
各独立主机需要考虑的安全注意事项相似,尽管管理任务可能有所不同。请参见《vSphere 单台主机管理 - VMware Host Client》文档。
