Para proteger un host ESXi contra la intromisión no autorizada o el uso incorrecto, VMware impone restricciones sobre varios parámetros, opciones de configuración y actividades. Es posible reducir las restricciones para cumplir con las necesidades de configuración del usuario. Si lo hace, asegúrese de trabajar en un entorno de confianza y tome otras medidas de seguridad.

Características de seguridad integradas

Los riesgos para los hosts se mitigan desde el comienzo de la siguiente manera:

  • ESXi Shell y SSH están deshabilitados de forma predeterminada.

  • Solo una cantidad limitada de puertos de firewall está abierta de forma predeterminada. Puede abrir de forma explícita puertos de firewall adicionales asociados con dispositivos específicos.

  • ESXi ejecuta solo los servicios que son fundamentales para administrar sus funciones. La distribución está limitada a las características necesarias para ejecutar ESXi.

  • De forma predeterminada, todos los puertos que no son necesarios para el acceso de administración al host están cerrados. Abra los puertos si necesita servicios adicionales.

  • De forma predeterminada, los cifrados débiles están deshabilitados y las comunicaciones de los clientes están protegidas con SSL. Los algoritmos exactos utilizados para proteger el canal dependen del protocolo de enlace de SSL. Los certificados predeterminados creados en ESXi utilizan el cifrado PKCS#1 SHA-256 con RSA como algoritmo de firmas.

  • ESXi utiliza internamente un servicio web Tomcat para admitir el acceso mediante los clientes web. El servicio se modificó para que ejecute solo las funciones que necesita un cliente web para la administración y la supervisión. Como resultado, ESXi no es vulnerable a los problemas de seguridad de Tomcat que se experimentan durante el uso general.

  • VMware supervisa todas las alertas de seguridad que pueden afectar la seguridad de ESXi y emite una revisión de seguridad según sea necesario.

  • No se instalan servicios no seguros, como FTP y Telnet, y sus puertos están cerrados de forma predeterminada. Dado que hay servicios más seguros que son fáciles de obtener, como SSH y SFTP, evite el uso de los servicios no seguros y opte por alternativas más seguras. Por ejemplo, utilice Telnet con SSL para acceder a los puertos serie virtuales si SSH no está disponible y se debe utilizar Telnet.

    Si debe utilizar servicios no seguros, pero implementó las medidas de seguridad correspondientes para el host, puede abrir puertos de forma explícita para admitir estos servicios.

  • Considere usar el arranque seguro UEFI para el sistema ESXi. Consulte Arranque seguro UEFI para hosts ESXi.

Medidas de seguridad adicionales

Tenga en cuenta las siguientes recomendaciones al evaluar la seguridad y la administración de los hosts.

Restricción del acceso

Si habilita el acceso a la interfaz de usuario de la consola directa (DCUI), a ESXi Shell o a SSH, aplique directivas de seguridad de acceso estrictas.

ESXi Shell tiene acceso privilegiado a ciertas partes del host. Proporcione acceso de inicio de sesión a ESXi Shell solo a usuarios de confianza.

Acceso no directo a los hosts administrados

Utilice vSphere Web Client para administrar los hosts ESXi que administra un sistema vCenter Server. No acceda directamente a los hosts administrados con VMware Host Client y no cambie los hosts administrados de la DCUI.

Si administra hosts con una interfaz o API de scripting, no apunte directamente al host. En su lugar, apunte al sistema vCenter Server que administra el host y especifique el nombre de host.

Usar la DCUI solamente para la solución de problemas

Acceda al host desde la DCUI o ESXi Shell como usuario raíz solo para solucionar problemas. Use uno de los clientes de GUI o una de las CLI o API de VMware para administrar los hosts ESXi. Si utiliza ESXi Shell o SSH, limite las cuentas que tienen acceso y establezca tiempos de espera.

Usar orígenes de VMware solamente para actualizar los componentes de ESXi

El host ejecuta varios paquetes externos para admitir las interfaces de administración o las tareas que se deben realizar. VMware solo admite actualizaciones para estos paquetes que provienen de un origen de VMware. Si utiliza una descarga o una revisión de otro origen, puede comprometer la seguridad o las funciones de la interfaz de administración. Compruebe los sitios de proveedores externos y la base de conocimientos de VMware para consultar las alertas de seguridad.

Nota:

Siga los avisos de seguridad de VMware en http://www.vmware.com/security/.