El hipervisor de ESXi ya viene protegido. Puede aumentar la protección de los hosts ESXi con el modo de bloqueo y otras características integradas. A los fines de coherencia, puede configurar un host de referencia y mantener todos los hosts sincronizados con el perfil de host del host de referencia. También puede proteger el entorno con la administración generada por script para garantizar que los cambios se apliquen a todos los hosts.

Puede mejorar la protección de los hosts ESXi administrados por vCenter Server mediante las siguientes acciones. Consulte el informe técnico Seguridad de VMware vSphere Hypervisor para conocer el contexto y obtener más información.

Limitar el acceso a ESXi

De forma predeterminada, los servicios de ESXi Shell y SSH no se ejecutan, y solo el usuario raíz puede iniciar sesión en la interfaz de usuario de la consola directa (DCUI). Si decide habilitar el acceso a ESXi o SSH, puede establecer los tiempos de espera para reducir el riesgo de que se produzca un acceso no autorizado.

Los usuarios que pueden acceder al host ESXi deben tener permisos para administrar el host. Puede establecer permisos en el objeto de host del sistema vCenter Server que administra el host.

Utilizar usuarios designados y privilegio mínimo

De manera predeterminada, el usuario raíz puede realizar muchas tareas. No permita que los administradores inicien sesión en el host ESXi con la cuenta de usuario raíz. En su lugar, cree usuarios administradores designados de vCenter Server y asigne la función de administrador a dichos usuarios. También puede asignar una función personalizada a esos usuarios. Consulte Crear una función personalizada.

Si administra usuarios directamente en el host, las opciones de administración de funciones son limitadas. Consulte la documentación de Administrar un host único de vSphere: VMware Host Client.

Reducir la cantidad de puertos de firewall de ESXi abiertos

De forma predeterminada, los puertos de firewall del host ESXi se abren solo cuando se inicia el servicio correspondiente. Se pueden utilizar los comandos de vSphere Client, ESXCLI o PowerCLI para comprobar y administrar el estado de los puertos de firewall.

Consulte Configurar firewalls de ESXi.

Automatizar la administración de hosts ESXi

Ya que generalmente es importante que diferentes hosts del mismo centro de datos estén sincronizados, utilice la instalación generada por script o vSphere Auto Deploy para aprovisionar los hosts. Los hosts se pueden administrar con los scripts. Los perfiles de host son una alternativa a la administración generada por script. Se debe configurar un host de referencia, exportar el perfil de host y aplicar el perfil de host a todos los hosts. El perfil de host se puede aplicar directamente o como parte del aprovisionamiento con Auto Deploy.

Consulte Usar scripts para administrar las opciones de configuración de hosts y la documentación Instalar y configurar vCenter Server para obtener información sobre vSphere Auto Deploy.

Aprovechar el modo de bloqueo

En el modo de bloqueo, solo se puede acceder a los hosts ESXi a través de vCenter Server de forma predeterminada. A partir de vSphere 6.0, es posible seleccionar el modo de bloqueo estricto o el modo de bloqueo normal. Puede definir los usuarios con excepción para permitir el acceso directo a las cuentas de servicio, como agentes de copias de seguridad.

Consulte Modo de bloqueo.

Comprobar la integridad de los paquetes de VIB

Cada paquete de VIB tiene un nivel de aceptación asociado. Es posible agregar un VIB a un host ESXi solo si el nivel de aceptación de VIB es el mismo o mejor que el nivel de aceptación del host. No se puede agregar un VIB CommunitySupported o PartnerSupported a un host a menos que se cambie de forma explícita el nivel de aceptación del host.

Consulte Administrar los niveles de aceptación de hosts y VIB.

Administrar certificados de ESXi

En vSphere 6.0 y versiones posteriores, VMware Certificate Authority (VMCA) aprovisiona cada host ESXi con un certificado firmado cuya entidad de certificación raíz de forma predeterminada es VMCA. Si las directivas de la empresa lo requieren, puede reemplazar los certificados existentes con certificados firmados por una CA empresarial o de terceros.

Consulte Administrar certificados para hosts ESXi.

Consideración de la autenticación de tarjeta inteligente

A partir de vSphere 6.0, ESXi admite el uso de autenticación de tarjeta inteligente en lugar de la autenticación de nombre de usuario y contraseña. Para mayor seguridad, puede configurar la autenticación de tarjeta inteligente. También se admite la autenticación en dos fases para vCenter Server. Puede configurar al mismo tiempo la autenticación con nombre de usuario y contraseña, y la autenticación de tarjeta inteligente.

Consulte Configurar la autenticación de tarjeta inteligente de ESXi.

Consideración de bloqueo de cuentas de ESXi

A partir de vSphere 6.0, se admite el bloqueo de cuentas para el acceso a través de SSH y vSphere Web Services SDK. De forma predeterminada, se permite un máximo de 10 intentos con errores antes de que la cuenta se bloquee. De forma predeterminada, la cuenta se desbloquea después de dos minutos.

Nota: La interfaz de la consola directa (DCUI) y ESXi Shell no admiten el bloqueo de cuentas.

Consulte Bloqueo de cuenta y contraseñas ESXi.

Los parámetros de seguridad de los hosts individuales son similares, pero las tareas de administración pueden ser diferentes. Consulte la documentación de Administrar un host único de vSphere: VMware Host Client.