这些安全控制提供了一组 vSphere 硬件安全最佳做法的基准。它们的结构化方式解释了实施相应控制措施的好处和利弊权衡。
使用的变量
本节中的 PowerCLI 命令使用以下变量:
- $ESXi = "host_name"
使用 Intel Trusted Execution Technology
确保已激活 Intel Trusted Execution Technology (TXT)(如果系统固件中可用)。
英特尔至强可扩展处理器平台具有 TXT,可提供平台及其操作系统的真实性。如果激活,ESXi 可利用此技术提供的安全优势。
- 更改默认值的潜在影响
- 早期实现 TXT 偶尔会导致系统突然关闭,从而在 vCenter Server 中触发证明警报,甚至引导失败。系统重新启动可解决这些问题,而系统固件更新通常会永久解决该问题。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/78243。
配置 UEFI 安全引导
确保已激活 UEFI 安全引导。
在 ESXi 主机的硬件上激活 UEFI 安全引导有助于防止恶意软件和不受信任的配置。
使用 TPM 2.0
确保在 ESXi 主机上正确安装并配置了可信平台模块 (TPM) 2.0。
ESXi 可以使用 TPM 激活高级安全功能,这些功能可防止恶意软件、移除依赖关系以及保护硬件生命周期操作安全。如果可能,请将主机配置为使用 TPM 2.0,并在系统固件中激活 TPM。
确保硬件固件为最新
确保将最新固件更新应用于系统的所有组件,并且固件是真实的并由硬件制造商提供。
硬件固件也不能避免影响保密性、完整性或可用性的严重问题。攻击者可以使用易受攻击的系统管理控制器和管理引擎建立持久性,并在重新引导和更新后重新感染和重新破坏主机。
保护集成硬件管理控制器安全
确保集成硬件管理控制器完全安全。
许多服务器都集成了硬件管理控制器,在监控和更新硬件、设置和固件时,这些控制器非常有用。对于这些控制器:
- 停用所有未使用的功能。
- 禁用所有未使用的访问方法。
- 设置密码和密码控制。
- 实施防火墙和访问控制,以便仅从虚拟化管理团队的授权访问工作站进行访问。
停用所有“首次引导”配置选项,尤其是从插入的 USB 设备重新配置系统的选项。此外,还要停用或保护连接到管理控制器的 USB 端口。如果可能,请将 USB 端口设置为仅允许键盘使用。
更改帐户的默认密码。
保护外部信息显示安全,以防止信息泄露。保护电源和信息按钮,防止未经授权的使用。
许多硬件管理控制器可在发生硬件故障和配置更改时提供警示机制。如果未使用其他硬件监控方法,请考虑使用这些方法。
同步集成硬件管理控制器上的时间
确保同步集成硬件管理控制器上的时间。
加密、审核日志记录、集群操作和事件响应取决于同步的时间。此建议将扩展到基础架构中的所有设备。网络时间协议 (NTP) 必须具有至少四个源。如果必须在两个源和一个源之间进行选择,则首选一个源。
保护集成硬件管理控制器使用 Active Directory 的方式
确保不会在集成硬件管理控制器使用 Active Directory 的方式中创建依赖关系循环或攻击向量。
停用与 Active Directory 的连接,或者至少将其视为攻击向量和依赖关系循环(用于身份验证、授权、DNS、DHCP 和时间)。请考虑通过 API 和 CLI 管理这些设备上的本地帐户。如果必须使用 Active Directory 进行身份验证,请使用本地授权,以便具有 Active Directory 访问权限的攻击者无法通过组成员资格提升自己。
停用虚拟集成硬件管理控制器
确保停用具有内部、模拟或虚拟网络接口的集成硬件管理控制器。
某些硬件管理控制器能够将虚拟网络接口呈现给 ESXi 作为管理接口。这些方法为访问创造了潜在的后门,攻击者可以使用这些后门在任一方向绕过基于网络的防火墙和边界防火墙,并避免被 IDS、IPS 和威胁分析工具观察到。在许多情况下,管理主机并非严格需要此功能。
激活 AMD Secure Encrypted Virtualization-Encrypted State
如果系统固件中存在,请确保已激活 AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES)。确保“最小 SEV 非 ES ASID”的值等于 SEV-ES 虚拟机的数量加 1。
AMD EPYC 平台支持 SEV-ES,这是一种加密内存和 CPU 寄存器状态的技术,并限制对 Hypervisor 的可见性,以提高工作负载安全性并降低某些类型攻击的风险。正确配置后,SEV-ES 可在 vSphere 和 vSphere with Tanzu 下为虚拟机和容器上的客户机操作系统提供增强的安全性。在系统固件中激活 SEV-ES 可简化将来在虚拟机、容器和客户机操作系统中启用。
- 更改默认值的潜在影响
- 虚拟机的客户机操作系统必须支持 SEV-ES,因此会限制某些功能,如 vMotion、快照等。有关这些利弊的详细信息,请参见 SEV-ES 上不支持的 VMware 功能。
激活虚拟 Intel Software Guard Extensions (vSGX)
如果系统固件中可用,请确保已激活虚拟 Intel® Software Guard Extensions (vSGX)。
英特尔至强可扩展处理器平台具有 Software Guard Extensions (SGX) 技术,该技术可帮助应用程序保护系统内存中的数据。正确配置后,vSphere 支持在虚拟机中使用 SGX。在系统固件中启用 SGX 可简化将来在虚拟机和客户机操作系统中启用。
- 更改默认值的潜在影响
- 虚拟机的客户机操作系统必须支持 vSGX,因此会限制某些功能,如 vMotion、快照等。有关这些利弊的详细信息,请参见 vSGX 上不支持的 VMware 功能。
停用外部端口
确保停用或保护未使用的外部端口,以防止未经授权使用。
攻击者可以使用未使用的端口(尤其是 USB)来连接存储、网络连接和键盘。采取合理的措施,通过禁用和访问控制来控制对这些端口的访问。如果可能,使用坚固的机架门、机架侧板和地板等其他方式,使机架门关闭时无法从机架外部访问端口。请注意,电缆很容易穿过机架和机架门中及其周围的许多缝隙,而硬电线可用于将电缆从机架外部推入插座,以及拔掉电缆以造成服务中断。
如果可能,请将 USB 端口设置为仅允许键盘使用。
停用此类功能时,请考虑可能需要在中断期间或作为生命周期操作的一部分使用 USB 键盘访问服务器,并相应地进行规划。
