Der ESXi-Hypervisor ist standardmäßig gesichert. Sie können ESXi-Hosts mithilfe des Sperrmodus und anderer integrierter Funktionen noch besser schützen. Wenn Sie einen Referenzhost einrichten und anhand der Hostprofile dieses Hosts an allen Hosts Änderungen vornehmen oder wenn Sie Verwaltung mit Skripten durchführen, verbessern Sie den Schutz Ihrer Umgebung, indem Sie sicherstellen, dass Änderungen für alle Hosts gelten.

Verwenden Sie die folgenden, in diesem Handbuch ausführlich erläuterten Funktionen zum Erhöhen der Sicherheit von ESXi-Hosts, die von vCenter Server verwaltet werden. Weitere Informationen finden Sie im Whitepaper Security of the VMware vSphere Hypervisor.

Beschränkung des ESXi-Zugriffs

Standardmäßig werden die ESXi Shell und die SSH-Dienste nicht ausgeführt, und nur der Root-Benutzer kann sich bei der Benutzerschnittstelle der direkten Konsole (DCUI) anmelden. Wenn Sie ESXi oder SSH-Zugriff ermöglichen möchten, können Sie Zeitüberschreitungen zum Beschränken des Risikos von nicht autorisiertem Zugriff festlegen.

Benutzer, die auf den ESXi-Host zugreifen können, müssen Berechtigungen zum Verwalten des Hosts haben. Sie legen Berechtigungen zum Hostobjekt über den vCenter Server, der den Host verwaltet, fest.

Verwenden von benannten Benutzern und der geringsten Berechtigung

Viele Aufgaben können vom Root-Benutzer standardmäßig durchgeführt werden. Anstatt Administratoren die Anmeldung beim ESXi-Host mit dem Root-Benutzerkonto zu erlauben, können Sie über die Schnittstelle von vCenter Server zum Verwalten von Berechtigungen verschiedene Rechte für die Hostkonfiguration für unterschiedliche benannte Benutzer anwenden. Sie können benutzerdefinierte Rollen erstellen, der Rolle Berechtigungen zuweisen und die Rolle mit einem benannten Benutzer und einem ESXi-Hostobjekt über den vSphere Web Client verknüpfen.

In einem Einzelhostszenario verwalten Sie Benutzer direkt. Informationen finden Sie in der Dokumentation vSphere-Verwaltung mit dem vSphere Client.

Minimieren der Anzahl offener ESXi-Firewallports

Standardmäßig werden Firewallports auf Ihrem ESXi-Host erst geöffnet, wenn Sie einen entsprechenden Dienst starten. Sie können den vSphere Web Client oder ESXCLI- oder PowerCLI-Befehle zum Prüfen und Verwalten des Firewall-Portstatus verwenden.

Siehe ESXi-Firewall-Konfiguration.

Automatisieren der ESXi-Hostverwaltung

Weil es oft wichtig ist, dass verschiedene Hosts im selben Datencenter synchronisiert sind, sollten Sie Skriptinstallation oder vSphere Auto Deploy zum Bereitstellen von Hosts verwenden. Sie können die Hosts mit Skripts verwalten. Hostprofile stellen eine Alternative zur Verwaltung mit Skripts dar. Sie richten einen Referenzhost ein, exportieren das Hostprofil und wenden dieses auf Ihren Host an. Sie können das Hostprofil direkt oder als Teil der Bereitstellung mit Auto Deploy anwenden.

Unter Verwenden von Skripts zum Verwalten von Hostkonfigurationseinstellungen und Installations- und Einrichtungshandbuch für vSphere finden Sie Informationen zu vSphere Auto Deploy.

Verwenden des Sperrmodus

Im Sperrmodus kann auf ESXi-Hosts standardmäßig nur über vCenter Server zugegriffen werden. Ab vSphere 6.0 können Sie den strengen Sperrmodus oder den normalen Sperrmodus auswählen und Ausnahmen für Benutzer definieren, um Direktzugriff auf Dienstkonten, wie beispielsweise Sicherungs-Agenten, zu ermöglichen.

Siehe Sperrmodus.

Prüfen der VIB-Paketintegrität

Jedes VIB-Paket ist mit einer Akzeptanzebene verknüpft. Sie können einem ESXi-Host nur dann ein VIB hinzufügen, wenn die Akzeptanzebene mindestens so gut wie die Akzeptanzebene des Hosts ist. Sie können einem Host nur dann ein VIB mit der Akzeptanzebene „CommunitySupported“ oder „PartnerSupported“ hinzufügen, wenn Sie die Akzeptanzebene des Hosts explizit ändern.

Siehe Überprüfen der Akzeptanzebenen von Hosts und VIBs.

Verwalten von ESXi-Zertifikaten

Ab vSphere 6.0 stellt die VMware-Zertifizierungsstelle (VMCA) für jeden ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Wenn es von einer Unternehmensrichtlinie verlangt wird, können Sie die vorhandenen Zertifikate durch Zertifikate ersetzen, die von einer Zertifizierungsstelle eines Drittanbieters signiert wurden.

Siehe Zertifikatsverwaltung für ESXi-Hosts.

Smartcard-Authentifizierung

Ab vSphere 6.0 unterstützt ESXi Chipkarten-Authentifizierung als Option anstelle der Authentifizierung mit dem Benutzernamen und dem Kennwort.

Siehe Konfigurieren der Smartcard-Authentifizierung für ESXi.

ESXi-Kontosperrung

Ab vSphere 6.0 wird das Sperren von Konten für den Zugriff über SSH und über das vSphere Web Services SDK unterstützt. Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht. Standardmäßig wird das Konto nach maximal zehn fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach zwei Minuten entsperrt.

Siehe Kennwörter und Kontosperrung für ESXi.

Die Sicherheitsüberlegungen für eigenständige Hosts sind ähnlich, obwohl die Verwaltungsaufgaben sich möglicherweise unterscheiden. Informationen finden Sie in der Dokumentation vSphere-Verwaltung mit dem vSphere Client.