Características de seguridad integradas

Los riesgos para los hosts se mitigan de la siguiente manera:

• ESXi Shell y las interfases SSH están deshabilitados de forma predeterminada. Mantenga estas interfaces deshabilitadas a menos que esté realizando actividades de solución de problemas o de soporte. Para las actividades cotidianas, utilice la vSphere Client, donde la actividad está sujeta al control de acceso basado en roles y a métodos de control de acceso modernos.
• Solo una cantidad limitada de puertos de firewall está abierta de forma predeterminada. Puede abrir de forma explícita puertos de firewall adicionales asociados con dispositivos específicos.
• ESXi ejecuta solo los servicios que son fundamentales para administrar sus funciones. La distribución está limitada a las características necesarias para ejecutar ESXi.
• De forma predeterminada, todos los puertos que no son necesarios para el acceso de administración al host están cerrados. Abra los puertos si necesita servicios adicionales.
• De forma predeterminada, los cifrados débiles están deshabilitados y las comunicaciones de los clientes están protegidas con SSL. Los algoritmos exactos utilizados para proteger el canal dependen del protocolo de enlace de SSL. Los certificados predeterminados creados en ESXi utilizan el cifrado PKCS#1 SHA-256 con RSA como algoritmo de firmas.
• ESXi utiliza un servicio web interno para permitir el acceso a través de clientes web. El servicio se modificó para que ejecute solo las funciones que necesita un cliente web para la administración y la supervisión. Por lo tanto, ESXi no es vulnerable a los problemas de seguridad del servicio web que se experimentan durante el uso general.
• VMware supervisa todas las alertas de seguridad que pueden afectar la seguridad de ESXi y emite una revisión de seguridad según sea necesario. Puede suscribirse a la lista de correo de alertas de seguridad y advertencias de seguridad de VMware para recibir alertas de seguridad. Consulte la página web en http://lists.vmware.com/mailman/listinfo/security-announce.
• No se instalan servicios no seguros, como FTP y Telnet, y sus puertos están cerrados de forma predeterminada.
• Para proteger a los hosts de la carga de controladores y aplicaciones que no están firmados criptográficamente, utilice el arranque seguro UEFI. La habilitación del arranque seguro se realiza en el BIOS del sistema. No se requieren cambios de configuración adicionales en el host ESXi, por ejemplo, para las particiones de disco. Consulte Arranque seguro UEFI para hosts ESXi.
• Si el host ESXi tiene un chip TPM 2.0, habilite y configure el chip en el BIOS del sistema. Al trabajar junto con el arranque seguro, TPM 2.0 proporciona una seguridad mejorada y una garantía de confianza basada en hardware. Consulte Proteger hosts ESXi con el módulo de plataforma de confianza.

Medidas de seguridad adicionales

Tenga en cuenta las siguientes recomendaciones al evaluar la seguridad y la administración de los hosts.

Restricción del acceso

Si habilita el acceso a la interfaz de usuario de la consola directa (Direct Console User Interface, DCUI), a ESXi Shell o a SSH, aplique directivas de seguridad de acceso estrictas.

ESXi Shell tiene acceso privilegiado a ciertas partes del host. Proporcione acceso de inicio de sesión a ESXi Shell solo a usuarios de confianza.

Acceso no directo a los hosts administrados

Utilice vSphere Client para administrar los hosts ESXi que administra un sistema vCenter Server. No acceda directamente a los hosts administrados con VMware Host Client y no cambie los hosts administrados de la DCUI.

Si administra hosts con una interfaz o API de scripting, no apunte directamente al host. En su lugar, apunte al sistema vCenter Server que administra el host y especifique el nombre de host.

Usar la DCUI solamente para la solución de problemas

Acceda al host desde la DCUI o ESXi Shell como usuario raíz solo para solucionar problemas. Para administrar los hosts ESXi, utilice uno de los clientes de la GUI o una de las CLI o las API de VMware. Consulte Conceptos y ejemplos de ESXCLI en https://code.vmware.com/. Si utiliza ESXi Shell o SSH, limite las cuentas que tienen acceso y establezca tiempos de espera.

Usar orígenes de VMware solamente para actualizar los componentes de ESXi

El host ejecuta varios paquetes externos para admitir las interfaces de administración o las tareas que se deben realizar. VMware solo admite actualizaciones para estos paquetes que provienen de un origen de VMware. Si utiliza una descarga o una revisión de otro origen, puede comprometer la seguridad o las funciones de la interfaz de administración. Compruebe los sitios de proveedores externos y la base de conocimientos de VMware para consultar las alertas de seguridad.