Siga las prácticas recomendadas de seguridad de ESXi para garantizar la integridad de la implementación de vSphere. Para obtener información adicional, consulte la guía de fortalecimiento.

Comprobación de los medios de instalación

Revise siempre el hash SHA1 después de descargar una ISO, un paquete sin conexión o una revisión para garantizar la integridad y la autenticidad de los archivos descargados. Si obtiene los soportes físicos desde VMware y el sello de seguridad está roto, devuelva el software a VMware para su reemplazo.

Después de descargar los elementos multimedia, utilice el valor de suma MD5 para comprobar la integridad de la descarga. Compare el resultado de la suma de MD5 con el valor publicado en el sitio web de VMware. Cada sistema operativo usa un método y herramientas distintos para comprobar los valores de suma de MD5. En Linux, utilice el comando "md5sum". En Microsoft Windows, puede descargar un producto complementario.

Revisión manual de CRL

De manera predeterminada, un host ESXi no admite la comprobación de las listas de revocación de certificados (CRL). Los certificados revocados se deben buscar y quitar manualmente. Generalmente, se trata de certificados generados en forma personalizada de una entidad de certificación corporativa o una entidad de certificación externa. Muchas empresas usan scripts para buscar y reemplazar los certificados SSL revocados en hosts ESXi.

Supervisión del grupo ESX Admins en Active Directory

El grupo de Active Directory que utiliza vSphere está definido en la configuración avanzada del sistema plugins.hostsvc.esxAdminsGroup. La opción predeterminada es ESX Admins. Todos los miembros del grupo ESX Admins tienen acceso administrativo completo sobre todos los hosts ESXi del dominio. Supervise Active Directory para la creación de este grupo y limite la pertenencia a los usuarios y los grupos de mucha confianza.

Supervisión de archivos de configuración

Si bien la mayoría de los valores de configuración de ESXi se controlan mediante una API, una cantidad limitada de archivos de configuración afectan al host directamente. Estos archivos quedan expuestos a través de la API de transferencia de archivos de vSphere, que utiliza el protocolo HTTPS. Si se hacen cambios en estos archivos, también se debe realizar la acción administrativa correspondiente, como efectuar un cambio de configuración.

Nota:

No intente supervisar los archivos que NO están expuestos mediante esta API de transferencia archivos.

Utilización de vmkfstools para borrar datos confidenciales

Cuando elimine un archivo de VMDK con datos confidenciales, apague o detenga la máquina virtual y, a continuación, ejecute el comando de vCLI vmkfstools --writezeros en ese archivo. Posteriormente, puede eliminar el archivo del almacén de datos.