Um einen ESXi-Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschränkungen für mehrere Parameter, Einstellungen und Aktivitäten auferlegt. Um Ihre Konfigurationsanforderungen zu erfüllen, können Sie die Einschränkungen verringern. Stellen Sie in diesem Fall sicher, dass Sie in einer vertrauenswürdigen Umgebung arbeiten und weitere Sicherheitsmaßnahmen ergreifen.

Was sind die integrierten ESXi-Sicherheitsfunktionen?

ESXi minimiert die Risiken für Ihre Hosts wie folgt:

  • Die ESXi Shell-Schnittstelle und die SSH-Schnittstelle sind standardmäßig deaktiviert. Aktivieren Sie diese Schnittstellen erst, wenn Fehlerbehebungs- oder Supportaktivitäten durchgeführt werden müssen. Verwenden Sie für die täglichen Aktivitäten den vSphere Client, wobei die Aktivität der rollenbasierten Zugriffssteuerung und modernen Zugriffssteuerungsmethoden unterliegt.
  • Nur einige Firewallports sind standardmäßig geöffnet. Sie können explizit Firewallports öffnen, die mit speziellen Diensten verknüpft sind.
  • Standardmäßig sind alle Ports, die nicht für den Verwaltungszugriff auf den Host notwendig sind, geschlossen. Öffnen Sie Ports, falls Sie zusätzliche Dienste benötigen.
  • ESXi führt nur Dienste aus, die zum Verwalten seiner Funktionen wesentlich sind. Die Distribution beschränkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.
  • Standardmäßig sind schwache Schlüssel deaktiviert und die Kommunikation der Clients wird durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom SSL-Handshake ab. In ESXi erstellte Standardzertifikate verwenden PKCS#1 SHA-256 mit RSA-Verschlüsselung als Signaturalgorithmus.
  • Ein interner Webdienst wird von ESXi zur Unterstützung des Zugriffs durch Webclients verwendet. Der Dienst wurde geändert, um nur Funktionen auszuführen, die ein Webclient für die Verwaltung und Überwachung benötigt. Daher ist ESXi nicht von den Webdienst-Sicherheitslücken betroffen, die für Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.
  • VMware überwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeinträchtigen können, und gibt ggf. einen Sicherheits-Patch aus. Um Sicherheitswarnungen zu erhalten, können Sie die Mailingliste „VMware Security Advisories and Security Alerts“ abonnieren. Weitere Informationen finden Sie auf der Webseite unter http://lists.vmware.com/mailman/listinfo/security-announce.
  • Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports für diese Dienste sind standardmäßig geschlossen.
  • Verwenden Sie UEFI Secure Boot, damit Hosts keine Treiber und Anwendungen laden können, die nicht kryptografisch signiert sind. Die Aktivierung von Secure Boot erfolgt im System-BIOS. Auf dem ESXi-Host sind keine zusätzlichen Konfigurationsänderungen erforderlich, z. B. für Festplattenpartitionen. Weitere Informationen hierzu finden Sie unter UEFI Secure Boot für ESXi-Hosts.
  • Wenn Ihr ESXi-Host über einen TPM 2.0-Chip verfügt, aktivieren und konfigurieren Sie diesen im System-BIOS. In Zusammenarbeit mit Secure Boot bietet TPM 2.0 verbesserte Sicherheit und vertrauenswürdige Zuverlässigkeit, die in der Hardware verankert ist. Weitere Informationen hierzu finden Sie unter Sichern von ESXi-Hosts mit Trusted Platform Module.
  • In ESXi 8.0 und höher können Sie den SSH-Prozess unter einer Sandbox-Domäne ausführen. Die Shell verfügt dann über eingeschränkte Berechtigungen und lässt nur den Zugriff auf eine begrenzte Teilmenge von Befehlen zu. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/87386.

Ergreifen weiterer ESXi-Sicherheitsmaßnahmen

Berücksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.

Begrenzen des Zugriffs auf ESXi-Hosts
Wenn Sie den Zugriff auf die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI), die ESXi Shell oder auf SSH ermöglichen, müssen Sie strenge Zugriffssicherheitsrichtlinien durchsetzen.
Die ESXi Shell hat privilegierten Zugriff auf bestimmte Teile des Hosts. Gewähren Sie nur vertrauenswürdigen Benutzern Anmeldezugriff auf die ESXi Shell.
Greifen Sie nicht direkt auf verwaltete ESXi-Hosts zu
Verwenden Sie den vSphere Client, um ESXi-Hosts zu verwalten, die von einem vCenter Server verwaltet werden. Greifen Sie mit dem VMware Host Client nicht direkt auf verwaltete Hosts zu und ändern Sie keine verwalteten Hosts über DCUI.
Wenn Sie Hosts mit einer Schnittstelle oder API zur Skripterstellung verwalten, dürfen Sie nicht den Host direkt als Ziel verwenden. Verwenden Sie stattdessen als Ziel das vCenter Server-System, das den Host verwaltet, und geben Sie den Hostnamen an.
Verwenden Sie DCUI nur für die Fehlerbehebung
Greifen Sie als Root-Benutzer nur zur Fehlerbehebung von der DCUI oder der ESXi Shell auf den Host zu. Um Ihre ESXi-Hosts zu verwalten, verwenden Sie den vSphere Client (oder den VMware Host Client) oder eine der VMware-CLIs oder -APIs. Weitere Informationen hierzu finden Sie unter ESXCLI – Konzepte und Beispiele. Wenn Sie die ESXi Shell oder SSH verwenden, sollten Sie die zugriffsberechtigten Konten beschränken und Zeitüberschreitungswerte festlegen.
Verwenden Sie nur VMware-Quellen für das Upgrade von ESXi-Komponenten.
Der Host führt mehrere Drittanbieterpakete aus, um Verwaltungsschnittstellen oder von Ihnen durchzuführende Aufgaben zu unterstützen. VMware unterstützt nur Upgrades auf Pakete, die aus einer VMware-Quelle stammen. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden, können die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefährdet werden. Überprüfen Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank auf Sicherheitswarnungen.
Hinweis: Beachten Sie die Sicherheitshinweise von VMware unter http://www.vmware.com/security/.