Der ESXi-Hypervisor ist standardmäßig gesichert. Sie können ESXi-Hosts mithilfe des Sperrmodus und anderer integrierter Funktionen noch besser schützen. Aus Konsistenzgründen können Sie einen Referenzhost einrichten und alle Hosts mit dem Hostprofil des Referenzhosts synchronisieren. Darüber hinaus können Sie Ihre Umgebung mit der Verwaltung durch Skripts schützen. Hiermit wird sichergestellt, dass Änderungen auf alle Hosts angewendet werden.
Sie können mithilfe der folgenden Aktionen den Schutz von ESXi-Hosts, die von vCenter Server verwaltet werden, noch verbessern. Im Whitepaper Security of the VMware vSphere Hypervisor finden Sie weitere Informationen.
- Beschränken des ESXi-Zugriffs
- Standardmäßig werden die ESXi Shell und die SSH-Dienste nicht ausgeführt, und nur der Root-Benutzer kann sich bei der Benutzerschnittstelle der direkten Konsole (DCUI) anmelden. Wenn Sie ESXi oder SSH-Zugriff ermöglichen möchten, können Sie Zeitüberschreitungen zum Beschränken des Risikos von nicht autorisiertem Zugriff festlegen.
- Verwenden von benannten Benutzern und der geringsten Berechtigung
- Standardmäßig kann der Root-Benutzer viele Aufgaben ausführen. Lassen Sie nicht zu, dass sich Administratoren beim ESXi-Host unter Verwendung des Root-Benutzerkontos anmelden. Erstellen Sie stattdessen benannte Administratorbenutzer von vCenter Server und weisen Sie diesen Benutzern die Administratorrolle zu. Sie können diesen Benutzern auch eine benutzerdefinierte Rolle zuweisen. Weitere Informationen hierzu finden Sie unter Erstellen einer benutzerdefinierten vCenter Server-Rolle.
- Minimieren der Anzahl offener ESXi-Firewallports
- Standardmäßig werden Firewallports auf Ihrem ESXi-Host erst geöffnet, wenn Sie einen entsprechenden Dienst starten. Sie können den vSphere Client oder ESXCLI- oder PowerCLI-Befehle zum Prüfen und Verwalten des Firewall-Portstatus verwenden.
- Automatisieren der ESXi-Hostverwaltung
- Weil es oft wichtig ist, dass verschiedene Hosts im selben Datencenter synchronisiert sind, sollten Sie Skriptinstallation oder vSphere Auto Deploy zum Bereitstellen von Hosts verwenden. Sie können die Hosts mit Skripts verwalten. Hostprofile sind eine Alternative zur Verwaltung durch Skripts. Sie richten einen Referenzhost ein, exportieren das Hostprofil und wenden das Hostprofil auf alle Hosts an. Sie können das Hostprofil direkt oder als Teil der Bereitstellung mit Auto Deploy anwenden.
- Verwenden des Sperrmodus
- Im Sperrmodus kann auf ESXi-Hosts standardmäßig nur über vCenter Server zugegriffen werden. Sie können den strengen Sperrmodus oder den normalen Sperrmodus auswählen. Sie können Ausnahmebenutzer definieren, um direkten Zugriff auf Dienstkonten wie beispielsweise Backup-Agenten zu ermöglichen.
- Prüfen der VIB-Paketintegrität
- Jedes VIB-Paket ist mit einer Akzeptanzebene verknüpft. Sie können einem ESXi-Host nur dann ein VIB hinzufügen, wenn die VIB-Akzeptanzebene mindestens so gut wie die Akzeptanzebene des Hosts ist. Sie können einem Host nur dann ein VIB mit der Akzeptanzebene „CommunitySupported“ oder „PartnerSupported“ hinzufügen, wenn Sie die Akzeptanzebene des Hosts explizit ändern.
- Verwalten von ESXi-Zertifikaten
- Die VMware Certificate Authority (VMCA) stellt für jeden ESXi-Host ein signiertes Zertifikat bereit, dessen Rootzertifizierungsstelle standardmäßig die VMCA ist. Wenn es von der bei Ihnen geltenden Unternehmensrichtlinie verlangt wird, können Sie die vorhandenen Zertifikate durch Zertifikate ersetzen, die von einer Zertifizierungsstelle eines Drittanbieters oder eines Unternehmens signiert wurden.
- Smartcard-Authentifizierung in Betracht ziehen
- ESXi unterstützt die Verwendung der Smartcard-Authentifizierung anstelle der Authentifizierung mit Benutzername und Kennwort. Um die Sicherheit weiter zu steigern, können Sie die Smartcard-Authentifizierung konfigurieren. Die Zwei-Faktor-Authentifizierung wird auch von vCenter Server unterstützt. Sie können die Authentifizierung über Benutzernamen- und Kennwort gleichzeitig mit der Smartcard-Authentifizierung konfigurieren.
- Sperren des ESXi-Kontos in Betracht ziehen
-
Das Sperren von Konten für den Zugriff über SSH und das vSphere Web Services SDK wird unterstützt. Standardmäßig wird das Konto nach maximal 10 fehlgeschlagenen Anmeldeversuchen gesperrt. Das Konto wird standardmäßig nach zwei Minuten entsperrt.
Hinweis: Die DCUI und die ESXi Shell unterstützen die Kontosperrung nicht.
Die Sicherheitsüberlegungen für eigenständige Hosts sind ähnlich, obwohl die Verwaltungsaufgaben sich möglicherweise unterscheiden. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.