Para proteger un host ESXi contra la intromisión no autorizada o el uso incorrecto, VMware impone restricciones sobre varios parámetros, opciones de configuración y actividades. Es posible reducir las restricciones para cumplir con las necesidades de configuración del usuario. Si lo hace, asegúrese de trabajar en un entorno confiable y de tomar todas las medidas de seguridad necesarias para proteger la red en su totalidad y los dispositivos conectados al host.

Características de seguridad integradas

Los riesgos para los hosts se mitigan desde el comienzo de la siguiente manera:

  • ESXi Shell y SSH están deshabilitados de forma predeterminada.

  • Solo una cantidad limitada de puertos de firewall está abierta de forma predeterminada. Puede abrir de forma explícita puertos de firewall adicionales asociados con dispositivos específicos.

  • ESXi ejecuta solo los servicios que son fundamentales para administrar sus funciones. La distribución está limitada a las características necesarias para ejecutar ESXi.

  • De forma predeterminada, todos los puertos que no son estrictamente necesarios para el acceso de administración al host están cerrados. Si necesita servicios adicionales, debe abrir los puertos en cada situación en particular.

  • De forma predeterminada, los cifrados débiles están deshabilitados y las comunicaciones de los clientes están protegidas con SSL. Los algoritmos exactos utilizados para proteger el canal dependen del protocolo de enlace de SSL. Los certificados predeterminados creados en ESXi utilizan el cifrado PKCS#1 SHA-256 con RSA como algoritmo de firmas.

  • El servicio web Tomcat, que ESXi utiliza de forma interna para admitir el acceso de Web client, se modificó para ejecutar solo las funciones necesarias para la administración y la supervisión que realiza Web client. Como resultado, ESXi no es vulnerable a los problemas de seguridad de Tomcat que se experimentan durante el uso general.

  • VMware supervisa todas las alertas de seguridad que pueden afectar la seguridad de ESXi y emite una revisión de seguridad según sea necesario.

  • No se instalan servicios no seguros, como FTP y Telnet, y sus puertos están cerrados de forma predeterminada. Dado que hay servicios más seguros que son fáciles de obtener, como SSH y SFTP, evite el uso de los servicios no seguros y opte por alternativas más seguras. Por ejemplo, utilice Telnet con SSL para acceder a los puertos serie virtuales si SSH no está disponible y se debe utilizar Telnet.

    Si debe utilizar servicios no seguros, pero implementó las medidas de seguridad correspondientes para el host, puede abrir puertos de forma explícita para admitir estos servicios.

Medidas de seguridad adicionales

Tenga en cuenta las siguientes recomendaciones al evaluar la seguridad y la administración de los hosts.

Restricción del acceso

Si decide habilitar el acceso a la interfaz de usuario de la consola directa (DCUI), a ESXi Shell o a SSH, aplique directivas de seguridad de acceso estrictas.

ESXi Shell tiene acceso privilegiado a ciertas partes del host. Proporcione acceso de inicio de sesión a ESXi Shell solo a usuarios de confianza.

Acceso no directo a los hosts administrados

Utilice vSphere Web Client para administrar los hosts ESXi que administra un sistema vCenter Server. No acceda a los hosts administrados directamente con vSphere Client y no haga cambios en los hosts administrados desde la DCUI del host.

Si administra hosts con una interfaz o API de scripting, no apunte directamente al host. En su lugar, apunte al sistema vCenter Server que administra el host y especifique el nombre de host.

Usar vSphere Client, o de las CLI o las API de VMware para administrar hosts ESXi individuales

Utilice vSphere Client o una de las CLI o API de VMware para administrar los hosts ESXi. Acceda al host desde la DCUI o ESXi Shell como usuario raíz solo para solucionar problemas. Si decide utilizar ESXi Shell, limite las cuentas con acceso y establezca los tiempos de espera.

Usar orígenes de VMware solamente para actualizar los componentes de ESXi

El host ejecuta una variedad de paquetes externos para admitir las interfaces de administración o las tareas que se deben realizar. VMware no admite la actualización de estos paquetes desde cualquier otro elemento que no sea un origen de VMware. Si utiliza una descarga o una revisión de otro origen, puede comprometer la seguridad o las funciones de la interfaz de administración. Compruebe los sitios de proveedores externos y la base de conocimientos de VMware con regularidad para consultar las alertas de seguridad.

Nota:

Siga los avisos de seguridad de VMware en http://www.vmware.com/security/.