Um den Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschränkungen für mehrere Parameter, Einstellungen und Aktivitäten auferlegt. Sie können die Beschränkungen lockern, um sie an Ihre Konfigurationsanforderungen anzupassen. Wenn Sie dies tun, vergewissern Sie sich, dass Sie in einer vertrauenswürdigen Umgebung arbeiten und dass Sie ausreichend andere Sicherheitsmaßnahmen ergriffen haben, um das Netzwerk insgesamt und die mit dem Host verbundenen Geräte zu schützen.

Berücksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.

  • Beschränken Sie den Benutzerzugriff.

    Zum Erhöhen der Sicherheit beschränken Sie den Benutzerzugriff auf die Direct Console User Interface (DCUI) und die ESXi Shell, und setzen Sie Zugriffssicherheitsrichtlinien durch, indem Sie z. B. Kennwortbeschränkungen einrichten.

    Die ESXi Shell hat privilegierten Zugriff auf bestimmte Teile des Hosts. Gewähren Sie nur vertrauenswürdigen Benutzern Anmeldezugriff auf die ESXi Shell.

  • Verwenden Sie den vSphere Client, um eigenständige ESXi-Hosts zu verwalten.

    Verwenden Sie nach Möglichkeit den vSphere-Client oder ein Netzwerkverwaltungsprogramm eines Drittanbieters zur Verwaltung der ESXi-Hosts, anstatt dies als Root-Benutzer über die Befehlszeilenschnittstelle vorzunehmen. Mit dem vSphere-Client können Sie die Anzahl an Konten, die Zugriff auf die ESXi Shell haben, einschränken, Zuständigkeiten sicher delegieren und Rollen einrichten, damit Administratoren und Benutzer keine Funktionen nutzen können, die sie nicht benötigen.

  • Verwenden Sie den vSphere Web Client, um ESXi-Hosts zu verwalten, die von einem vCenter Server verwaltet werden. Greifen Sie auf verwaltete Hosts nicht direkt mit dem vSphere Client zu, und nehmen Sie keine Änderungen an verwalteten Hosts über die DCUI des Hosts vor.

  • Verwenden Sie nur VMware-Quellen, um ESXi-Komponenten zu aktualisieren.

    Der Host führt eine Vielzahl von Drittanbieterpaketen aus, um Verwaltungsschnittstellen oder von Ihnen durchzuführende Aufgaben zu unterstützen. Bei VMware dürfen diese Pakete nur über eine VMware-Quelle aktualisiert werden. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden, können die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefährdet werden. Überprüfen Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank regelmäßig auf Sicherheitswarnungen.

Neben der Implementierung der Firewall können auch andere Methoden zur Reduzierung von Hostrisiken verwendet werden.

  • ESXi führt nur Dienste aus, die zur Verwaltung seiner Funktionen unabdingbar sind. Die Distribution beschränkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.

  • Standardmäßig sind alle Ports, die nicht speziell für den Verwaltungszugriff auf den Host notwendig sind, geschlossen. Wenn Sie zusätzliche Dienste benötigen, müssen Sie die jeweiligen Ports öffnen.

  • Standardmäßig sind schwache Schlüssel deaktiviert und sämtliche Kommunikation der Clients wird durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom SSL-Handshake ab. Auf ESXi erstellte Standardzertifikate verwenden PKCS#1 SHA-256 mit RSA-Verschlüsselung als Signaturalgorithmus.

  • Der Webservice Tomcat, der intern von ESXi verwendet wird, um den Zugriff von Webclients zu unterstützen, wurde so angepasst, dass nur diejenigen Funktionen ausgeführt werden, die für die Verwaltung und Überwachung von einem Webclient erforderlich sind. Daher ist ESXi nicht von den Sicherheitslücken betroffen, die für Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.

  • VMware überwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeinträchtigen könnten, und gibt, falls erforderlich, einen Sicherheits-Patch aus.

  • Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports für diese Dienste sind standardmäßig geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfügbar sind, sollten Sie stets auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten. Verwenden Sie z. B. Telnet mit SSL anstelle von Telnet, um auf virtuelle serielle Ports zuzugreifen. Wenn Sie die unsicheren Dienste verwenden müssen und für den Host einen ausreichenden Schutz hergestellt haben, müssen Sie explizit Ports öffnen, um sie zu unterstützen.

Anmerkung:

Befolgen Sie die VMware-Sicherheitswarnungen unter http://www.vmware.com/security/.