Um einen ESXi-Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschränkungen für mehrere Parameter, Einstellungen und Aktivitäten auferlegt. Sie können die Beschränkungen lockern, um sie an Ihre Konfigurationsanforderungen anzupassen. Stellen Sie in diesem Fall sicher, dass Sie in einer vertrauenswürdigen Umgebung arbeiten und weitere Sicherheitsmaßnahmen ergreifen.
Integrierte Sicherheitsfunktionen
Die Risiken für die Hosts werden wie folgt verringert:
- ESXi Shell- und SSH-Schnittstellen sind standardmäßig deaktiviert. Aktivieren Sie diese Schnittstellen erst, wenn Fehlerbehebungs- oder Supportaktivitäten durchgeführt werden müssen. Verwenden Sie für die täglichen Aktivitäten den vSphere Client, wobei die Aktivität der rollenbasierten Zugriffssteuerung und modernen Zugriffssteuerungsmethoden unterliegt.
- Nur eine begrenzte Anzahl von Firewallports ist standardmäßig geöffnet. Sie können explizit weitere Firewallports öffnen, die mit speziellen Diensten verknüpft sind.
- ESXi führt nur Dienste aus, die zum Verwalten seiner Funktionen wesentlich sind. Die Distribution beschränkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.
- Standardmäßig sind alle Ports, die nicht für den Verwaltungszugriff auf den Host notwendig sind, geschlossen. Öffnen Sie Ports, falls Sie zusätzliche Dienste benötigen.
- Standardmäßig sind schwache Schlüssel deaktiviert und die Kommunikation der Clients wird durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom SSL-Handshake ab. In ESXi erstellte Standardzertifikate verwenden PKCS#1 SHA-256 mit RSA-Verschlüsselung als Signaturalgorithmus.
- Ein interner Webdienst wird von ESXi zur Unterstützung des Zugriffs durch Webclients verwendet. Der Dienst wurde geändert, um nur Funktionen auszuführen, die ein Webclient für die Verwaltung und Überwachung benötigt. Daher ist ESXi nicht von den Webdienst-Sicherheitslücken betroffen, die für Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.
- VMware überwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeinträchtigen können, und gibt ggf. einen Sicherheits-Patch aus. Sie können die Mailingliste „VMware Security Advisories and Security Alerts“ abonnieren, um Sicherheitswarnungen zu erhalten. Weitere Informationen finden Sie auf der Webseite unter http://lists.vmware.com/mailman/listinfo/security-announce.
- Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports für diese Dienste sind standardmäßig geschlossen.
- Verwenden Sie UEFI Secure Boot, damit Hosts keine Treiber und Anwendungen laden können, die nicht kryptografisch signiert sind. Die Aktivierung von Secure Boot erfolgt im System-BIOS. Auf dem ESXi-Host sind keine zusätzlichen Konfigurationsänderungen erforderlich, z. B. für Festplattenpartitionen. Weitere Informationen hierzu finden Sie unter UEFI Secure Boot für ESXi-Hosts.
- Wenn Ihr ESXi-Host über einen TPM 2.0-Chip verfügt, aktivieren und konfigurieren Sie diesen im System-BIOS. In Zusammenarbeit mit Secure Boot bietet TPM 2.0 verbesserte Sicherheit und vertrauenswürdige Zuverlässigkeit, die in der Hardware verankert ist. Weitere Informationen hierzu finden Sie unter Sichern von ESXi-Hosts mit Trusted Platform Module.
Weitere Sicherheitsmaßnahmen
Berücksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.
- Beschränkung des Zugriffs
- Wenn Sie den Zugriff auf die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell oder auf SSH ermöglichen, müssen Sie strenge Zugriffssicherheitsrichtlinien durchsetzen.
- Greifen Sie nicht direkt auf verwaltete Hosts zu
- Verwenden Sie den vSphere Client, um ESXi-Hosts zu verwalten, die von einem vCenter Server verwaltet werden. Greifen Sie mit dem VMware Host Client nicht direkt auf verwaltete Hosts zu und ändern Sie keine verwalteten Hosts über DCUI.
- Verwenden Sie DCUI nur für die Fehlerbehebung
- Greifen Sie als Root-Benutzer nur zur Fehlerbehebung von der DCUI oder der ESXi Shell auf den Host zu. Um Ihre ESXi-Hosts zu verwalten, verwenden Sie einen der GUI-Clients oder eine der VMware-CLIs oder -APIs. Weitere Informationen finden Sie in ESXCLI – Konzepte und Beispiele unter https://code.vmware.com/. Wenn Sie die ESXi Shell oder SSH verwenden, sollten Sie die zugriffsberechtigten Konten beschränken und Zeitüberschreitungswerte festlegen.
- Verwenden Sie nur VMware-Quellen für das Upgrade von ESXi-Komponenten.
- Der Host führt mehrere Drittanbieterpakete aus, um Verwaltungsschnittstellen oder von Ihnen durchzuführende Aufgaben zu unterstützen. VMware unterstützt nur Upgrades auf Pakete, die aus einer VMware-Quelle stammen. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden, können die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefährdet werden. Überprüfen Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank auf Sicherheitswarnungen.
Hinweis: Befolgen Sie die VMware-Sicherheitswarnungen unter
http://www.vmware.com/security/.