Diese Sicherheitskontrollen stellen einen Baseline-Satz von Best Practices für die Sicherheit der vSphere-Hardware bereit. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden.
Verwendete Variable
Die in diesem Abschnitt vorgestellten PowerCLI-Befehle verwenden folgende Variable:
- $ESXi = "host_name"
Verwenden von Intel Trusted Execution Technology
Stellen Sie sicher, dass Intel Trusted Execution Technology (TXT) aktiviert ist, sofern in der System-Firmware verfügbar.
Plattformen mit skalierbaren Intel Xeon-Prozessoren verfügen über TXT, das die Authentizität einer Plattform und des zugehörigen Betriebssystems bietet. Bei Aktivierung nutzt ESXi die Sicherheitsvorteile dieser Technologie.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Frühzeitige Implementierungen von TXT führten gelegentlich dazu, dass das System plötzlich heruntergefahren wurde oder Nachweisalarme in vCenter Server ausgelöst wurden oder. Oder es kam zu Startfehlern. Ein Systemneustart behebt diese Probleme, während ein Update der System-Firmware dies in der Regel dauerhaft behebt. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78243.
Konfigurieren von UEFI Secure Boot
Stellen Sie sicher, dass UEFI Secure Boot aktiviert ist.
Das Aktivieren von UEFI Secure Boot auf der Hardware eines ESXi-Hosts hilft dabei, Malware und nicht vertrauenswürdige Konfigurationen zu verhindern.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
-
Die Aktivierung von UEFI Secure Boot nach der Installation verhindert möglicherweise, dass ein
ESXi-Host gestartet wird. Führen Sie
/usr/lib/vmware/secureboot/bin/secureBoot.py -cauf einem Beispielhost aus, um zu ermitteln, ob Sie Secure Boot sicher aktivieren können.
Verwenden von TPM 2.0
Stellen Sie sicher, dass ein Trusted Platform Module (TPM) 2.0 auf Ihren ESXi-Hosts installiert und ordnungsgemäß konfiguriert ist.
ESXi kann mithilfe eines TPM erweiterte Sicherheitsfunktionen aktivieren, die Malware verhindern, Abhängigkeiten entfernen und Hardware-Lebenszyklusvorgänge schützen. Konfigurieren Sie nach Möglichkeit Ihre Hosts für die Verwendung von TPM 2.0, und aktivieren Sie das TPM in der System-Firmware.
Stetiges Verwenden der aktuellen Hardware-Firmware
Stellen Sie sicher, dass Sie die neuesten Firmware-Updates auf alle Komponenten Ihrer Systeme anwenden und dass die Firmware authentifiziert und von Ihrem Hardwarehersteller bereitgestellt wird.
Hardware-Firmware ist nicht immun gegen schwerwiegende Probleme, die die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen. Angreifer können anfällige Systemverwaltungs-Controller und Management-Engines verwenden, um Persistenz herzustellen und Hosts nach Neustarts und Updates zu infizieren und wieder zu kompromittieren.
Sichere integrierte Hardwareverwaltungs-Controller
Stellen Sie sicher, dass integrierte Hardwareverwaltungs-Controller vollständig geschützt sind.
Viele Server verfügen über integrierte Hardwareverwaltungs-Controller, die bei der Überwachung und Aktualisierung von Hardware, Einstellungen und Firmware äußerst hilfreich sein können. Für diese Controller:
- Deaktivieren Sie alle nicht verwendeten Funktionen.
- Deaktivieren Sie alle nicht verwendeten Zugriffsmethoden.
- Legen Sie Kennwörter und Kennwortsteuerungen fest.
- Setzen Sie Firewalls und Zugriffssteuerung ein, sodass der Zugriff nur von autorisierten Arbeitsstationen für das Virtualisierungsverwaltungsteam erfolgt.
Deaktivieren Sie alle Konfigurationsoptionen für den ersten Start, insbesondere diejenigen, die das System von einem eingesteckten USB-Gerät aus neu konfigurieren. Deaktivieren oder schützen Sie außerdem USB-Ports, die an Verwaltungs-Controller angeschlossen sind. Legen Sie nach Möglichkeit USB-Ports so fest, dass nur Tastaturen zulässig sind.
Ändern Sie Standardkennwörter für Konten.
Sichere externe Informationen werden angezeigt, um zu verhindern, dass Informationen durchsickern. Schützen Sie Schaltflächen zum Ein-/Ausschalten und für Informationen vor unbefugter Nutzung.
Viele Hardwareverwaltungs-Controller bieten Warnungsmechanismen, wenn Hardwarefehler und Konfigurationsänderungen auftreten. Sie sollten diese verwenden, wenn Sie keine andere Methode für die Hardwareüberwachung verwenden.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Das Deaktivieren von Verbindungsmethoden kann zu künftigen Überwachungs- und Verwaltungsänderungen an den Hardwareverwaltungs-Controller-Konfigurationen auf Ihren bereitgestellten Servern führen. Verwenden Sie nach Möglichkeit CLI- und API-Verwaltungsmethoden, die Sie per Skript erstellen können, anstatt zusätzliche Verwaltungssoftware oder -anwendungen zu verwenden. Das Erlernen dieser Techniken spart Zeit, vermeidet den zusätzlichen Aufwand für die Installation und Wartung zusätzlicher Tools und ermöglicht rechtzeitige Konfigurationsänderungen.
Synchronisieren der Uhrzeit auf integrierten Hardwareverwaltungs-Controllern
Stellen Sie sicher, dass Sie die Uhrzeit auf integrierten Hardwareverwaltungs-Controllern synchronisieren.
Kryptografie, Überwachungsprotokollierung, Clustervorgänge und Reaktion auf Vorfälle hängen von der synchronisierten Uhrzeit ab. Diese Empfehlung gilt für alle Geräte in Ihrer Infrastruktur. Für NTP (Network Time Protocol) müssen mindestens vier Quellen verfügbar sein. Wenn Sie sich zwischen zwei Quellen oder einer Quelle entscheiden müssen, sollten Sie eine Quelle vorziehen.
Schützen der Art und Weise der Verwendung von Active Directory durch integrierte Hardwareverwaltungs-Controller
Stellen Sie sicher, dass Sie weder eine Abhängigkeitsschleife noch einen Angriffsvektor erstellen, wenn integrierte Hardwareverwaltungs-Controller Active Directory verwenden.
Deaktivieren Sie Verbindungen mit Active Directory, oder betrachten Sie sie mindestens als Angriffsvektoren und Abhängigkeitsschleifen (für Authentifizierung, Autorisierung, DNS, DHCP und Uhrzeit). Ziehen Sie in Erwägung, lokale Konten auf diesen Geräten über APIs und CLIs zu verwalten. Wenn Sie Active Directory für die Authentifizierung verwenden müssen, verwenden Sie die lokale Autorisierung, damit Angreifer mit Zugriff auf Active Directory sich nicht selbst über die Gruppenmitgliedschaft heraufstufen können.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Wenn Hardwareverwaltungscontroller nicht mit zentralen Authentifizierungs- und Autorisierungsquellen verbunden werden, ist eine zusätzliche Verwaltung erforderlich. Die meisten Hardwareverwaltungs-Controller verfügen über CLI-Toolkits oder APIs, um den Prozess zu automatisieren.
Deaktivieren von virtuellen integrierten Hardwareverwaltungs-Controllern
Stellen Sie sicher, dass integrierte Hardwareverwaltungs-Controller mit internen, emulierten oder virtuellen Netzwerkschnittstellen deaktiviert sind.
Einige Hardwareverwaltungs-Controller haben die Möglichkeit, ESXi virtuelle Netzwerkschnittstellen als Verwaltungsschnittstelle zu präsentieren. Diese Ansätze schaffen potenzielle Hintertüren für den Zugriff, die Angreifer verwenden können, um netzwerkbasierte Firewalls und Perimeter-Firewalls in beide Richtungen zu umgehen und die Beobachtung durch IDS, IPS und Bedrohungsanalysetools zu vermeiden. In vielen Fällen ist diese Funktionalität für die Verwaltung von Hosts nicht unbedingt erforderlich.
Aktivieren von AMD Secure Encrypted Virtualization-Encrypted State
Stellen Sie sicher, dass AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) aktiviert ist, sofern in der System-Firmware verfügbar. Stellen Sie sicher, dass der Wert für Mindestanzahl SEV-Nicht-ES-ASID der Anzahl an virtuellen SEV-ES-Maschinen plus eins entspricht.
AMD EPYC-Plattformen unterstützen SEV-ES, eine Technologie zum Verschlüsseln des Arbeitsspeicher- und CPU-Registerstatus und zur Einschränkung der Sichtbarkeit auf den Hypervisor, um die Sicherheit der Arbeitslast zu erhöhen und die Offenlegung gegenüber bestimmten Arten von Angriffen zu verringern. Bei ordnungsgemäßer Konfiguration bietet SEV-ES erweiterte Sicherheit für das Gastbetriebssystem auf virtuellen Maschinen und Containern unter vSphere und vSphere with Tanzu. Die Aktivierung von SEV-ES in der System-Firmware erleichtert die künftige Aktivierung innerhalb virtueller Maschinen, Container und Gastbetriebssysteme.
- Vorgeschlagener Wert
- Aktiviert (Wert für Mindestanzahl SEV-Nicht-ES-ASID entspricht der Anzahl an virtuellen SEV-ES-Maschinen plus eins)
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Das Gastbetriebssystem für eine virtuelle Maschine muss SEV-ES unterstützen und schränkt daher einige Funktionen wie vMotion, Snapshots usw. ein. Weitere Informationen zu diesen Kompromissen finden Sie unter Nicht unterstützte VMware-Funktionen in SEV-ES.
Aktivieren von Virtual Intel Software Guard Extensions (vSGX)
Stellen Sie sicher, dass Virtual Intel® Software Guard Extensions (vSGX) aktiviert ist, sofern in der System-Firmware verfügbar.
Plattformen mit skalierbaren Intel Xeon-Prozessoren verfügen über Software Guard Extensions (SGX), eine Technologie, mit der Anwendungen Daten im Systemspeicher schützen können. Bei ordnungsgemäßer Konfiguration unterstützt vSphere die Verwendung von SGX innerhalb virtueller Maschinen. Die Aktivierung von SGX in der System-Firmware erleichtert die künftige Aktivierung innerhalb virtueller Maschinen und Gastbetriebssysteme.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Das Gastbetriebssystem für eine virtuelle Maschine muss vSGX unterstützen und schränkt daher einige Funktionen wie vMotion, Snapshots usw. ein. Weitere Informationen zu diesen Kompromissen finden Sie unter Nicht unterstützte VMware-Funktionen auf vSGX.
Deaktivieren von externen Ports
Stellen Sie sicher, dass nicht verwendete externe Ports deaktiviert oder vor unbefugter Nutzung geschützt sind.
Nicht verwendete Ports, insbesondere USB, können von Angreifern zum Anhängen von Speicher, Netzwerken und Tastaturen verwendet werden. Ergreifen Sie angemessene Schritte, um den Zugriff auf diese Ports durch Deaktivierung und Zugriffssteuerung zu kontrollieren. Verwenden Sie nach Möglichkeit andere Mittel wie stabile Rack-Türen, Rack-Seitenverkleidungen und Bodenbeläge, um die Ports außerhalb des Racks unzugänglich zu machen, wenn die Rack-Tür geschlossen ist. Beachten Sie, dass Kabel leicht durch viele Lücken in und um Racks und Rack-Türen passen. Zudem können steife Drähte verwendet werden, um Kabel von außerhalb des Racks in Steckdosen zu schieben und Kabel zu trennen, um eine Unterbrechung des Betriebs zu verursachen.
Legen Sie nach Möglichkeit USB-Ports so fest, dass nur Tastaturen zulässig sind.
Beachten Sie bei der Deaktivierung dieser Art von Funktionalität, dass Sie möglicherweise während eines Ausfalls oder als Teil von Lebenszyklusvorgängen mithilfe einer USB-Tastatur auf einen Server zugreifen müssen, und planen Sie dies entsprechend.
- Potenzielle Auswirkung infolge der Änderung des Standardwerts
- Beim Thema Sicherheit muss man immer einen Kompromiss eingehen. Wenn Sie eine Sicherheitskontrolle in Betracht ziehen, etwa die Deaktivierung externer Ports, sollten Sie auch eine einfache Wiederherstellung nach einem Ausfall oder Vorfall berücksichtigen. In diesem Fall beeinträchtigt die Deaktivierung externer Ports die Möglichkeit, im Notfall die ESXi-Konsole zu verwenden.
