Der ESXi-Hypervisor ist standardmäßig gesichert. Sie können ESXi-Hosts mithilfe des Sperrmodus und anderer integrierter Funktionen noch besser schützen. Aus Konsistenzgründen können Sie einen Referenzhost einrichten und alle Hosts mit dem Hostprofil des Referenzhosts synchronisieren. Darüber hinaus können Sie Ihre Umgebung mit der Verwaltung durch Skripts schützen. Hiermit wird sichergestellt, dass Änderungen auf alle Hosts angewendet werden.

Sie können mithilfe der folgenden Aktionen den Schutz von ESXi-Hosts, die von vCenter Server verwaltet werden, noch verbessern. Im Whitepaper Security of the VMware vSphere Hypervisor finden Sie weitere Informationen.

Beschränken des ESXi-Zugriffs

Standardmäßig werden die ESXi Shell und die SSH-Dienste nicht ausgeführt, und nur der Root-Benutzer kann sich bei der Benutzerschnittstelle der direkten Konsole (DCUI) anmelden. Wenn Sie ESXi oder SSH-Zugriff ermöglichen möchten, können Sie Zeitüberschreitungen zum Beschränken des Risikos von nicht autorisiertem Zugriff festlegen.

Benutzer, die auf den ESXi-Host zugreifen können, müssen Berechtigungen zum Verwalten des Hosts haben. Sie legen Berechtigungen für das Hostobjekt über das vCenter Server-System fest, das den Host verwaltet.

Verwenden von benannten Benutzern und der geringsten Berechtigung

Standardmäßig kann der Root-Benutzer viele Aufgaben ausführen. Lassen Sie nicht zu, dass sich Administratoren beim ESXi-Host unter Verwendung des Root-Benutzerkontos anmelden. Erstellen Sie stattdessen benannte Administratorbenutzer von vCenter Server und weisen Sie diesen Benutzern die Administratorrolle zu. Sie können diesen Benutzern auch eine benutzerdefinierte Rolle zuweisen. Weitere Informationen hierzu finden Sie unter Erstellen einer benutzerdefinierten Rolle.

Wenn Sie Benutzer direkt auf dem Host verwalten, sind die Rollenverwaltungsoptionen beschränkt. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

Minimieren der Anzahl offener ESXi-Firewallports

Standardmäßig werden Firewallports auf Ihrem ESXi-Host erst geöffnet, wenn Sie einen entsprechenden Dienst starten. Sie können den vSphere Web Client oder ESXCLI- oder PowerCLI-Befehle zum Prüfen und Verwalten des Firewall-Portstatus verwenden.

Weitere Informationen hierzu finden Sie unter ESXi-Firewall-Konfiguration.

Automatisieren der ESXi-Hostverwaltung

Weil es oft wichtig ist, dass verschiedene Hosts im selben Datencenter synchronisiert sind, sollten Sie Skriptinstallation oder vSphere Auto Deploy zum Bereitstellen von Hosts verwenden. Sie können die Hosts mit Skripts verwalten. Hostprofile sind eine Alternative zur Verwaltung durch Skripts. Sie richten einen Referenzhost ein, exportieren das Hostprofil und wenden das Hostprofil auf alle Hosts an. Sie können das Hostprofil direkt oder als Teil der Bereitstellung mit Auto Deploy anwenden.

Unter Verwenden von Skripts zum Verwalten von Hostkonfigurationseinstellungen und in der Dokumentation Installation und Einrichtung von vSphere finden Sie Informationen zu vSphere Auto Deploy.

Verwenden des Sperrmodus

Im Sperrmodus kann auf ESXi-Hosts standardmäßig nur über vCenter Server zugegriffen werden. Ab vSphere 6.0 können Sie den strengen Sperrmodus oder den normalen Sperrmodus auswählen. Sie können Ausnahmen für Benutzer definieren, um den Direktzugriff auf Dienstkonten, wie beispielsweise Backup-Agents, zu ermöglichen.

Weitere Informationen hierzu finden Sie unter Sperrmodus.

Prüfen der VIB-Paketintegrität

Jedes VIB-Paket ist mit einer Akzeptanzebene verknüpft. Sie können einem ESXi-Host nur dann ein VIB hinzufügen, wenn die VIB-Akzeptanzebene mindestens so gut wie die Akzeptanzebene des Hosts ist. Sie können einem Host nur dann ein VIB mit der Akzeptanzebene „CommunitySupported“ oder „PartnerSupported“ hinzufügen, wenn Sie die Akzeptanzebene des Hosts explizit ändern.

Weitere Informationen hierzu finden Sie unter Verwalten der Akzeptanzebenen von Hosts und VIBs.

Verwalten von ESXi-Zertifikaten

Ab vSphere 6.0 stellt die VMware Certificate Authority (VMCA) für jeden ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Wenn es von einer Unternehmensrichtlinie verlangt wird, können Sie die vorhandenen Zertifikate durch Zertifikate ersetzen, die von einer Zertifizierungsstelle eines Drittanbieters oder eines Unternehmens signiert wurden.

Siehe Zertifikatsverwaltung für ESXi-Hosts.

Smartcard-Authentifizierung in Betracht ziehen

Ab vSphere 6.0 unterstützt ESXi die Verwendung der Smartcard-Authentifizierung anstelle der Authentifizierung mit dem Benutzernamen und dem Kennwort. Um die Sicherheit weiter zu steigern, können Sie die Smartcard-Authentifizierung konfigurieren. Die Zwei-Faktor-Authentifizierung wird auch von vCenter Server unterstützt.

Weitere Informationen hierzu finden Sie unter Konfigurieren der Smartcard-Authentifizierung für ESXi.

Sperren des ESXi-Kontos in Betracht ziehen

Ab vSphere 6.0 wird das Sperren von Konten für den Zugriff über SSH und über das vSphere Web Services SDK unterstützt. Standardmäßig wird das Konto nach maximal 10 fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach zwei Minuten entsperrt.

Anmerkung:

Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht.

Weitere Informationen hierzu finden Sie unter Kennwörter und Kontosperrung für ESXi.

Die Sicherheitsüberlegungen für eigenständige Hosts sind ähnlich, obwohl die Verwaltungsaufgaben sich möglicherweise unterscheiden. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.