El hipervisor de ESXi ya viene protegido. Puede aumentar la protección de los hosts ESXi con el modo de bloqueo y otras características integradas. Si configura un host de referencia y hace cambios en todos los hosts basados en los perfiles de ese host, o si realiza una administración generada por script, proporciona una mayor protección para el entorno, ya que garantiza que los cambios se apliquen en todos los hosts.

Use las siguientes características, que se describen en detalle en esta guía, para mejorar la protección de los hosts ESXi que se administran con vCenter Server. También consulte el informe técnico Seguridad de VMware vSphere Hypervisor.

Limitar el acceso a ESXi

De forma predeterminada, los servicios de ESXi Shell y SSH no se ejecutan, y solo el usuario raíz puede iniciar sesión en la interfaz de usuario de la consola directa (DCUI). Si decide habilitar el acceso a ESXi o SSH, puede establecer los tiempos de espera para reducir el riesgo de que se produzca un acceso no autorizado.

Los usuarios que pueden acceder al host ESXi deben tener permisos para administrar el host. Puede establecer permisos en el objeto de host de vCenter Server que administra el host.

Utilización de usuarios designados y privilegio mínimo

De forma predeterminada, el usuario raíz puede realizar varias tareas. En lugar de permitir a los administradores iniciar sesión en el host ESXi con la cuenta de usuario raíz, se pueden aplicar diferentes privilegios de configuración de host en distintos usuarios designados desde la interfaz de administración de permisos de vCenter Server. Es posible crear funciones personalizadas, asignar privilegios a una función y asociar la función con un usuario designado y un objeto de host ESXi desde vSphere Web Client.

En los casos en los que haya un solo host, los usuarios se administran de forma directa. Consulte la documentación de Administración de vSphere con vSphere Client.

Reducción de la cantidad de puertos de firewall de ESXi abiertos

De forma predeterminada, los puertos de firewall del host ESXi se abren solo cuando se inicia el servicio correspondiente. Se pueden utilizar los comandos de vSphere Web Client, ESXCLI o PowerCLI para comprobar y administrar el estado de los puertos de firewall.

Consulte Configurar firewalls de ESXi.

Automatización de la administración de hosts ESXi

Ya que generalmente es importante que diferentes hosts del mismo centro de datos estén sincronizados, utilice la instalación generada por script o vSphere Auto Deploy para aprovisionar los hosts. Los hosts se pueden administrar con los scripts. Una alternativa a la administración generada por script son los perfiles de host. Se debe configurar un host de referencia, exportar el perfil de host y aplicar el perfil de host al host. El perfil de host se puede aplicar directamente o como parte del aprovisionamiento con Auto Deploy.

Consulte Usar de scripts para administrar las opciones de configuración de hosts y lea Instalación y configuración de vSphere para obtener información sobre vSphere Auto Deploy.

Aprovechamiento del modo de bloqueo

En el modo de bloqueo, solo se puede acceder a los hosts ESXi a través de vCenter Server de forma predeterminada. A partir de vSphere 6.0, se puede seleccionar el modo de bloqueo estricto o el modo de bloqueo normal, y definir los usuarios con excepción para permitir el acceso directo a las cuentas de servicio, como agentes de copias de seguridad.

Consulte Modo de bloqueo.

Comprobación de la integridad de los paquetes de VIB

Cada paquete de VIB tiene un nivel de aceptación asociado. Es posible agregar un VIB a un host ESXi solo si el nivel de aceptación es el mismo o mejor que el nivel de aceptación del host. No se puede agregar un VIB CommunitySupported o PartnerSupported a un host a menos que se cambie de forma explícita el nivel de aceptación del host.

Consulte Comprobar los niveles de aceptación de hosts y VIB.

Administrar certificados de ESXi

En vSphere 6.0 y versiones posteriores, VMware Certificate Authority (VMCA) aprovisiona cada host ESXi con un certificado firmado cuya entidad de certificación raíz de forma predeterminada es VMCA. Si la directiva de la empresa lo requiere, puede reemplazar los certificados existentes por certificados firmados por una CA externa.

Consulte Administrar certificados para hosts ESXi

Autenticación de tarjeta inteligente

A partir de vSphere 6.0, ESXi admite la autenticación de tarjeta inteligente como una opción en lugar de la autenticación de nombre de usuario y contraseña.

Consulte Configurar la autenticación de tarjeta inteligente de ESXi.

Bloqueo de cuenta de ESXi

A partir de vSphere 6.0, se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas. De forma predeterminada, se permite un máximo de diez intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de dos minutos.

Consulte Bloqueo de cuenta y contraseñas ESXi.

Los parámetros de seguridad de los hosts individuales son similares, pero las tareas de administración pueden ser diferentes. Consulte la documentación de Administración de vSphere con vSphere Client.