Um einen ESXi-Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschränkungen für mehrere Parameter, Einstellungen und Aktivitäten auferlegt. Sie können die Beschränkungen lockern, um sie an Ihre Konfigurationsanforderungen anzupassen. Wenn Sie dies tun, vergewissern Sie sich, dass Sie in einer vertrauenswürdigen Umgebung arbeiten und dass Sie ausreichend andere Sicherheitsmaßnahmen ergriffen haben, um das Netzwerk insgesamt und die mit dem Host verbundenen Geräte zu schützen.

Integrierte Sicherheitsfunktionen

Risiken für die Hosts werden standardmäßig wie folgt verringert:

  • ESXi Shell und SSH sind standardmäßig deaktiviert.

  • Nur eine begrenzte Anzahl von Firewallports ist standardmäßig geöffnet. Sie können explizit weitere Firewallports öffnen, die mit speziellen Diensten verknüpft sind.

  • ESXi führt nur Dienste aus, die zum Verwalten seiner Funktionen wesentlich sind. Die Distribution beschränkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.

  • Standardmäßig sind alle Ports, die nicht speziell für den Verwaltungszugriff auf den Host notwendig sind, geschlossen. Wenn Sie zusätzliche Dienste benötigen, müssen Sie die jeweiligen Ports öffnen.

  • Standardmäßig sind schwache Schlüssel deaktiviert und die Kommunikation der Clients wird durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom SSL-Handshake ab. Auf ESXi erstellte Standardzertifikate verwenden PKCS#1 SHA-256 mit RSA-Verschlüsselung als Signaturalgorithmus.

  • Der Webservice Tomcat, der intern von ESXi verwendet wird, um den Zugriff von Webclients zu unterstützen, wurde so angepasst, dass nur diejenigen Funktionen ausgeführt werden, die für die Verwaltung und Überwachung von einem Webclient erforderlich sind. Daher ist ESXi nicht von den Sicherheitslücken betroffen, die für Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.

  • VMware überwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeinträchtigen könnten, und gibt, falls erforderlich, einen Sicherheits-Patch aus.

  • Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports für diese Dienste sind standardmäßig geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfügbar sind, sollten Sie auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten. Verwenden Sie z. B. Telnet mit SSL, um auf virtuelle serielle Ports zuzugreifen, wenn SSH nicht verfügbar ist und Sie Telnet verwenden müssen.

    Wenn Sie unsichere Dienste verwenden müssen und für den Host einen ausreichenden Schutz hergestellt haben, können Sie explizit Ports öffnen, um sie zu unterstützen.

Weitere Sicherheitsmaßnahmen

Berücksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.

Beschränkung des Zugriffs

Wenn Sie den Zugriff auf die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell oder auf SSH ermöglichen, müssen Sie strenge Zugriffssicherheitsrichtlinien durchsetzen.

Die ESXi Shell hat privilegierten Zugriff auf bestimmte Teile des Hosts. Gewähren Sie nur vertrauenswürdigen Benutzern Anmeldezugriff auf die ESXi Shell.

Greifen Sie nicht direkt auf verwaltete Hosts zu

Verwenden Sie den vSphere Web Client, um ESXi-Hosts zu verwalten, die von einem vCenter Server verwaltet werden. Greifen Sie auf verwaltete Hosts nicht direkt mit dem vSphere Client zu, und nehmen Sie keine Änderungen an verwalteten Hosts über die DCUI des Hosts vor.

Wenn Sie Hosts mit einer Schnittstelle oder API zur Skripterstellung verwalten, dürfen Sie nicht den Host direkt als Ziel verwenden. Verwenden Sie stattdessen als Ziel das vCenter Server-System, das den Host verwaltet, und geben Sie den Hostnamen an.

Verwenden Sie den vSphere Client oder VMware CLIs oder APIs zum Verwalten eigenständiger ESXi-Hosts.

Verwenden Sie den vSphere Client, eine der VMware CLIs oder APIs zum Verwalten Ihrer ESXi-Hosts. Greifen Sie als Root-Benutzer nur zur Fehlerbehebung von der DCUI oder der ESXi Shell auf den Host zu. Wenn Sie die ESXi Shell verwenden möchten, beschränken Sie die Konten mit Zugriff und legen Sie Zeitüberschreitungen fest.

Verwenden Sie nur VMware-Quellen, um ESXi-Komponenten zu aktualisieren.

Der Host führt eine Vielzahl von Drittanbieterpaketen aus, um Verwaltungsschnittstellen oder von Ihnen durchzuführende Aufgaben zu unterstützen. Bei VMware dürfen diese Pakete nur über eine VMware-Quelle aktualisiert werden. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden, können die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefährdet werden. Überprüfen Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank regelmäßig auf Sicherheitswarnungen.

Anmerkung:

Befolgen Sie die VMware-Sicherheitswarnungen unter http://www.vmware.com/security/.