Diese Sicherheitskontrollen stellen einen Baseline-Satz von Best Practices für die Sicherheit der vSphere-Hardware bereit. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden.

Verwendete Variable

Die in diesem Abschnitt vorgestellten PowerCLI-Befehle verwenden folgende Variable:

  • $ESXi = "host_name"

Verwenden von Intel Trusted Execution Technology

Stellen Sie sicher, dass Intel Trusted Execution Technology (TXT) aktiviert ist, sofern in der System-Firmware verfügbar.

Plattformen mit skalierbaren Intel Xeon-Prozessoren verfügen über TXT, das die Authentizität einer Plattform und des zugehörigen Betriebssystems bietet. Bei Aktivierung nutzt ESXi die Sicherheitsvorteile dieser Technologie.

Vorgeschlagener Wert
Aktiviert
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Frühzeitige Implementierungen von TXT führten gelegentlich dazu, dass das System plötzlich heruntergefahren wurde oder Nachweisalarme in vCenter Server ausgelöst wurden oder. Oder es kam zu Startfehlern. Ein Systemneustart behebt diese Probleme, während ein Update der System-Firmware dies in der Regel dauerhaft behebt. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78243.
PowerCLI-Befehlsbeurteilung
(Get-VMHost -Name $ESXi | Get-View).Capability.TxtEnabled

Konfigurieren von UEFI Secure Boot

Stellen Sie sicher, dass UEFI Secure Boot aktiviert ist.

Das Aktivieren von UEFI Secure Boot auf der Hardware eines ESXi-Hosts hilft dabei, Malware und nicht vertrauenswürdige Konfigurationen zu verhindern.

Vorgeschlagener Wert
Aktiviert
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Die Aktivierung von UEFI Secure Boot nach der Installation verhindert möglicherweise, dass ein ESXi-Host gestartet wird. Führen Sie /usr/lib/vmware/secureboot/bin/secureBoot.py -c auf einem Beispielhost aus, um zu ermitteln, ob Sie Secure Boot sicher aktivieren können.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Verwenden von TPM 2.0

Stellen Sie sicher, dass ein Trusted Platform Module (TPM) 2.0 auf Ihren ESXi-Hosts installiert und ordnungsgemäß konfiguriert ist.

ESXi kann mithilfe eines TPM erweiterte Sicherheitsfunktionen aktivieren, die Malware verhindern, Abhängigkeiten entfernen und Hardware-Lebenszyklusvorgänge schützen. Konfigurieren Sie nach Möglichkeit Ihre Hosts für die Verwendung von TPM 2.0, und aktivieren Sie das TPM in der System-Firmware.

Vorgeschlagener Wert
TPM 2.0 installiert und aktiviert (SHA-256-Hashing, TIS/FIFO-Schnittstelle)
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmSupported
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmVersion

Stetiges Verwenden der aktuellen Hardware-Firmware

Stellen Sie sicher, dass Sie die neuesten Firmware-Updates auf alle Komponenten Ihrer Systeme anwenden und dass die Firmware authentifiziert und von Ihrem Hardwarehersteller bereitgestellt wird.

Hardware-Firmware ist nicht immun gegen schwerwiegende Probleme, die die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen. Angreifer können anfällige Systemverwaltungs-Controller und Management-Engines verwenden, um Persistenz herzustellen und Hosts nach Neustarts und Updates zu infizieren und wieder zu kompromittieren.

Vorgeschlagener Wert
Nicht verfügbar
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Wenn Sie vSAN verwenden, stellen Sie sicher, dass die Versionen des Speichergeräts und der Controller-Firmware zertifiziert sind.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Sichere integrierte Hardwareverwaltungs-Controller

Stellen Sie sicher, dass integrierte Hardwareverwaltungs-Controller vollständig geschützt sind.

Viele Server verfügen über integrierte Hardwareverwaltungs-Controller, die bei der Überwachung und Aktualisierung von Hardware, Einstellungen und Firmware äußerst hilfreich sein können. Für diese Controller:

  • Deaktivieren Sie alle nicht verwendeten Funktionen.
  • Deaktivieren Sie alle nicht verwendeten Zugriffsmethoden.
  • Legen Sie Kennwörter und Kennwortsteuerungen fest.
  • Setzen Sie Firewalls und Zugriffssteuerung ein, sodass der Zugriff nur von autorisierten Arbeitsstationen für das Virtualisierungsverwaltungsteam erfolgt.

Deaktivieren Sie alle Konfigurationsoptionen für den ersten Start, insbesondere diejenigen, die das System von einem eingesteckten USB-Gerät aus neu konfigurieren. Deaktivieren oder schützen Sie außerdem USB-Ports, die an Verwaltungs-Controller angeschlossen sind. Legen Sie nach Möglichkeit USB-Ports so fest, dass nur Tastaturen zulässig sind.

Ändern Sie Standardkennwörter für Konten.

Sichere externe Informationen werden angezeigt, um zu verhindern, dass Informationen durchsickern. Schützen Sie Schaltflächen zum Ein-/Ausschalten und für Informationen vor unbefugter Nutzung.

Viele Hardwareverwaltungs-Controller bieten Warnungsmechanismen, wenn Hardwarefehler und Konfigurationsänderungen auftreten. Sie sollten diese verwenden, wenn Sie keine andere Methode für die Hardwareüberwachung verwenden.

Vorgeschlagener Wert
Nicht verfügbar
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Das Deaktivieren von Verbindungsmethoden kann zu künftigen Überwachungs- und Verwaltungsänderungen an den Hardwareverwaltungs-Controller-Konfigurationen auf Ihren bereitgestellten Servern führen. Verwenden Sie nach Möglichkeit CLI- und API-Verwaltungsmethoden, die Sie per Skript erstellen können, anstatt zusätzliche Verwaltungssoftware oder -anwendungen zu verwenden. Das Erlernen dieser Techniken spart Zeit, vermeidet den zusätzlichen Aufwand für die Installation und Wartung zusätzlicher Tools und ermöglicht rechtzeitige Konfigurationsänderungen.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Synchronisieren der Uhrzeit auf integrierten Hardwareverwaltungs-Controllern

Stellen Sie sicher, dass Sie die Uhrzeit auf integrierten Hardwareverwaltungs-Controllern synchronisieren.

Kryptografie, Überwachungsprotokollierung, Clustervorgänge und Reaktion auf Vorfälle hängen von der synchronisierten Uhrzeit ab. Diese Empfehlung gilt für alle Geräte in Ihrer Infrastruktur. Für NTP (Network Time Protocol) müssen mindestens vier Quellen verfügbar sein. Wenn Sie sich zwischen zwei Quellen oder einer Quelle entscheiden müssen, sollten Sie eine Quelle vorziehen.

Vorgeschlagener Wert

Standortspezifisch oder:

0.vmware.pool.ntp.org,

1.vmware.pool.ntp.org,

2.vmware.pool.ntp.org,

3.vmware.pool.ntp.org

Potenzielle Auswirkung infolge der Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Schützen der Art und Weise der Verwendung von Active Directory durch integrierte Hardwareverwaltungs-Controller

Stellen Sie sicher, dass Sie weder eine Abhängigkeitsschleife noch einen Angriffsvektor erstellen, wenn integrierte Hardwareverwaltungs-Controller Active Directory verwenden.

Deaktivieren Sie Verbindungen mit Active Directory, oder betrachten Sie sie mindestens als Angriffsvektoren und Abhängigkeitsschleifen (für Authentifizierung, Autorisierung, DNS, DHCP und Uhrzeit). Ziehen Sie in Erwägung, lokale Konten auf diesen Geräten über APIs und CLIs zu verwalten. Wenn Sie Active Directory für die Authentifizierung verwenden müssen, verwenden Sie die lokale Autorisierung, damit Angreifer mit Zugriff auf Active Directory sich nicht selbst über die Gruppenmitgliedschaft heraufstufen können.

Vorgeschlagener Wert
Nicht verfügbar
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Wenn Hardwareverwaltungscontroller nicht mit zentralen Authentifizierungs- und Autorisierungsquellen verbunden werden, ist eine zusätzliche Verwaltung erforderlich. Die meisten Hardwareverwaltungs-Controller verfügen über CLI-Toolkits oder APIs, um den Prozess zu automatisieren.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Deaktivieren von virtuellen integrierten Hardwareverwaltungs-Controllern

Stellen Sie sicher, dass integrierte Hardwareverwaltungs-Controller mit internen, emulierten oder virtuellen Netzwerkschnittstellen deaktiviert sind.

Einige Hardwareverwaltungs-Controller haben die Möglichkeit, ESXi virtuelle Netzwerkschnittstellen als Verwaltungsschnittstelle zu präsentieren. Diese Ansätze schaffen potenzielle Hintertüren für den Zugriff, die Angreifer verwenden können, um netzwerkbasierte Firewalls und Perimeter-Firewalls in beide Richtungen zu umgehen und die Beobachtung durch IDS, IPS und Bedrohungsanalysetools zu vermeiden. In vielen Fällen ist diese Funktionalität für die Verwaltung von Hosts nicht unbedingt erforderlich.

Vorgeschlagener Wert
Nicht verfügbar
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Das Deaktivieren interner Netzwerke kann die Effektivität des Anbieterverwaltungstools einschränken.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Aktivieren von AMD Secure Encrypted Virtualization-Encrypted State

Stellen Sie sicher, dass AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) aktiviert ist, sofern in der System-Firmware verfügbar. Stellen Sie sicher, dass der Wert für Mindestanzahl SEV-Nicht-ES-ASID der Anzahl an virtuellen SEV-ES-Maschinen plus eins entspricht.

AMD EPYC-Plattformen unterstützen SEV-ES, eine Technologie zum Verschlüsseln des Arbeitsspeicher- und CPU-Registerstatus und zur Einschränkung der Sichtbarkeit auf den Hypervisor, um die Sicherheit der Arbeitslast zu erhöhen und die Offenlegung gegenüber bestimmten Arten von Angriffen zu verringern. Bei ordnungsgemäßer Konfiguration bietet SEV-ES erweiterte Sicherheit für das Gastbetriebssystem auf virtuellen Maschinen und Containern unter vSphere und vSphere with Tanzu. Die Aktivierung von SEV-ES in der System-Firmware erleichtert die künftige Aktivierung innerhalb virtueller Maschinen, Container und Gastbetriebssysteme.

Vorgeschlagener Wert
Aktiviert (Wert für Mindestanzahl SEV-Nicht-ES-ASID entspricht der Anzahl an virtuellen SEV-ES-Maschinen plus eins)
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Das Gastbetriebssystem für eine virtuelle Maschine muss SEV-ES unterstützen und schränkt daher einige Funktionen wie vMotion, Snapshots usw. ein. Weitere Informationen zu diesen Kompromissen finden Sie unter Nicht unterstützte VMware-Funktionen in SEV-ES.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar

Aktivieren von Virtual Intel Software Guard Extensions (vSGX)

Stellen Sie sicher, dass Virtual Intel® Software Guard Extensions (vSGX) aktiviert ist, sofern in der System-Firmware verfügbar.

Plattformen mit skalierbaren Intel Xeon-Prozessoren verfügen über Software Guard Extensions (SGX), eine Technologie, mit der Anwendungen Daten im Systemspeicher schützen können. Bei ordnungsgemäßer Konfiguration unterstützt vSphere die Verwendung von SGX innerhalb virtueller Maschinen. Die Aktivierung von SGX in der System-Firmware erleichtert die künftige Aktivierung innerhalb virtueller Maschinen und Gastbetriebssysteme.

Vorgeschlagener Wert
Vorgeschlagen: Aktiviert (Software, entsperrt)
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Das Gastbetriebssystem für eine virtuelle Maschine muss vSGX unterstützen und schränkt daher einige Funktionen wie vMotion, Snapshots usw. ein. Weitere Informationen zu diesen Kompromissen finden Sie unter Nicht unterstützte VMware-Funktionen auf vSGX.
PowerCLI-Befehlsbeurteilung
(Get-VMHost -Name $ESXi | Get-View).Capability.SgxRegistrationSupported

Deaktivieren von externen Ports

Stellen Sie sicher, dass nicht verwendete externe Ports deaktiviert oder vor unbefugter Nutzung geschützt sind.

Nicht verwendete Ports, insbesondere USB, können von Angreifern zum Anhängen von Speicher, Netzwerken und Tastaturen verwendet werden. Ergreifen Sie angemessene Schritte, um den Zugriff auf diese Ports durch Deaktivierung und Zugriffssteuerung zu kontrollieren. Verwenden Sie nach Möglichkeit andere Mittel wie stabile Rack-Türen, Rack-Seitenverkleidungen und Bodenbeläge, um die Ports außerhalb des Racks unzugänglich zu machen, wenn die Rack-Tür geschlossen ist. Beachten Sie, dass Kabel leicht durch viele Lücken in und um Racks und Rack-Türen passen. Zudem können steife Drähte verwendet werden, um Kabel von außerhalb des Racks in Steckdosen zu schieben und Kabel zu trennen, um eine Unterbrechung des Betriebs zu verursachen.

Legen Sie nach Möglichkeit USB-Ports so fest, dass nur Tastaturen zulässig sind.

Beachten Sie bei der Deaktivierung dieser Art von Funktionalität, dass Sie möglicherweise während eines Ausfalls oder als Teil von Lebenszyklusvorgängen mithilfe einer USB-Tastatur auf einen Server zugreifen müssen, und planen Sie dies entsprechend.

Vorgeschlagener Wert
Nicht verfügbar
Potenzielle Auswirkung infolge der Änderung des Standardwerts
Beim Thema Sicherheit muss man immer einen Kompromiss eingehen. Wenn Sie eine Sicherheitskontrolle in Betracht ziehen, etwa die Deaktivierung externer Ports, sollten Sie auch eine einfache Wiederherstellung nach einem Ausfall oder Vorfall berücksichtigen. In diesem Fall beeinträchtigt die Deaktivierung externer Ports die Möglichkeit, im Notfall die ESXi-Konsole zu verwenden.
Einige Server können bestimmte USB-Ports für die Verwaltung dynamisch deaktivieren und aktivieren. Stellen Sie sicher, dass Ihre Auswahl für diese Sicherheitskontrolle den Anforderungen Ihrer Organisation entspricht und dass Sie diese Methoden testen, bevor Sie sie implementieren.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar