Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas de seguridad para el hardware de vSphere. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control.
Variable utilizada
Los comandos de PowerCLI de esta sección utilizan la siguiente variable:
- $ESXi = "host_name"
Usar tecnología de ejecución de confianza de Intel
Asegúrese de que Intel Trusted Execution Technology (TXT) esté activada, si está disponible en el firmware del sistema.
Las plataformas Intel Xeon Scalable Processor tienen TXT, que proporciona la autenticidad de una plataforma y su sistema operativo. Cuando se activa, ESXi aprovecha las ventajas de seguridad que ofrece esta tecnología.
- Impacto potencial si se cambia el valor predeterminado
- En ocasiones, las implementaciones tempranas de TXT provocaban apagados repentinos del sistema, activación de alarmas de atestación en vCenter Server o incluso errores de arranque. El reinicio del sistema resuelve estos problemas, mientras que la actualización del firmware del sistema, por lo general, los resuelve de forma permanente. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/78243.
Configurar el arranque seguro UEFI
Asegúrese de que el arranque seguro UEFI esté activado.
La activación del arranque seguro UEFI en el hardware de un host ESXi ayuda a evitar malware y configuraciones que no son de confianza.
- Impacto potencial si se cambia el valor predeterminado
-
La activación del arranque seguro UEFI después de la instalación podría evitar que se inicie un host
ESXi. Ejecute
/usr/lib/vmware/secureboot/bin/secureBoot.py -cen un host de ejemplo para determinar si puede activar el arranque seguro de forma segura.
Usar TPM 2.0
Asegúrese que hay un módulo de plataforma de confianza (Trusted Platform Module, TPM) 2.0 instalado y configurado correctamente en los hosts ESXi.
ESXi pueden utilizar un TPM para activar funciones de seguridad avanzadas que evitan el malware, eliminan dependencias y protegen las operaciones del ciclo de vida del hardware. Cuando sea posible, configure los hosts para que usen TPM 2.0 y active el TPM en el firmware del sistema.
Asegúrese de que el firmware del hardware esté actualizado
Asegúrese de aplicar las actualizaciones de firmware más recientes a todos los componentes de los sistemas y de que el firmware sea auténtico y lo suministre el fabricante del hardware.
El firmware del hardware no es inmune a problemas graves que afectan a la confidencialidad, la integridad o la disponibilidad. Los atacantes pueden utilizar controladores de administración del sistema y motores de administración vulnerables para establecer persistencia y volver a infectar y poner en peligro los hosts después de los reinicios y las actualizaciones.
Controladoras de administración de hardware integradas y seguras
Asegúrese de que las controladoras de administración de hardware integradas estén totalmente protegidas.
Muchos servidores tienen controladoras de administración de hardware integradas que pueden ser sumamente útiles para supervisar y actualizar hardware, configuración y firmware. Para estas controladoras:
- Desactive todas las funcionalidades no utilizadas.
- Deshabilite todos los métodos de acceso no utilizados.
- Establezca contraseñas y controles de contraseñas.
- Establezca firewalls y control de acceso para que el acceso solo se produzca desde estaciones de trabajo con acceso autorizado para el equipo de administración de virtualización.
Desactive todas las opciones de configuración de "primer arranque", especialmente aquellas que vuelvan a configurar el sistema desde un dispositivo USB insertado. Además, desactive o proteja los puertos USB conectados a controladoras de administración. Siempre que sea posible, configure los puertos USB para que solo admitan teclados.
Cambie las contraseñas predeterminadas de las cuentas.
Proteja las pantallas de información externas para evitar que se filtre información. Proteja los botones de encendido y de información contra el uso no autorizado.
Muchos controladores de administración de hardware proporcionan mecanismos de alerta cuando se producen errores de hardware y cambios de configuración. Considere la posibilidad de utilizarlos si no utiliza otro método para la supervisión del hardware.
- Impacto potencial si se cambia el valor predeterminado
- La desactivación de los métodos de conexión podría provocar futuros cambios de supervisión y administración en las configuraciones de la controladora de administración de hardware en los servidores implementados. Siempre que sea posible, utilice métodos de administración de CLI y API que pueda implementar usando scripts en lugar de utilizar aplicaciones o software de administración adicionales. Aprender estas técnicas ahorra tiempo, evita el esfuerzo adicional de instalar y mantener herramientas adicionales y permite realizar cambios de configuración a tiempo.
Sincronizar la hora de las controladoras de administración de hardware integradas
Asegúrese de sincronizar la hora de las controladoras de administración de hardware integradas.
La criptografía, el registro de auditoría, las operaciones del clúster y las respuestas a incidentes dependen de la hora sincronizada. Esta recomendación se extiende a todos los dispositivos de la infraestructura. El protocolo de tiempo de red (NTP) debe tener al menos cuatro orígenes. Si debe elegir entre dos orígenes y un origen, es preferible uno solo.
Proteger la forma en que las controladoras de administración de hardware integradas usan Active Directory
Asegúrese de no crear un bucle de dependencia o un vector de ataque por la forma en que las controladoras de administración de hardware integradas utilizan Active Directory.
Desactive las conexiones con Active Directory, o como mínimo, considérelas como vectores de ataque y bucles de dependencia (para autenticación, autorización, DNS, DHCP y hora). Considere la posibilidad de administrar cuentas locales en estos dispositivos a través de API y CLI. Si debe utilizar Active Directory para la autenticación, utilice la autorización local para que los atacantes con acceso a Active Directory no puedan promocionarse a sí mismos mediante la pertenencia a grupos.
- Impacto potencial si se cambia el valor predeterminado
- No conectar controladoras de administración de hardware a fuentes de autorización y autenticación centralizadas implica una administración adicional. La mayoría de los controladores de administración de hardware tienen kits de herramientas de CLI o API para automatizar el proceso.
Desactivar controladoras de administración de hardware integradas virtuales
Asegúrese de que estén desactivadas las controladoras de administración de hardware integradas con interfaces de red internas, emuladas o virtuales.
Algunas controladoras de administración de hardware tienen la capacidad de presentar interfaces de red virtual para ESXi como una interfaz de administración. Estos enfoques crean posibles puertas traseras de acceso que los atacantes pueden utilizar para burlar los cortafuegos perimetrales y basados en red, en cualquier dirección, y para evitar ser observados por IDS, IPS y herramientas de análisis de amenazas. En muchos casos, esta funcionalidad no es estrictamente necesaria para administrar hosts.
Activar SEV-ES de AMD
Asegúrese de activar Secure Encrypted Virtualization-Encrypted State (SEV-ES) de AMD, si está disponible en el firmware del sistema. Asegúrese de que el valor mínimo de ASID de elementos SEV y sin estado cifrado sea igual al número de máquinas virtuales SEV-ES más una.
Las plataformas AMD EPYC admiten SEV-ES, una tecnología para cifrar el estado de registro de cpu y memoria, y limitar la visibilidad para el hipervisor, con el fin de aumentar la seguridad de la carga de trabajo y reducir la exposición a ciertos tipos de ataques. Cuando se configura correctamente, SEV-ES proporciona seguridad mejorada al sistema operativo invitado en máquinas virtuales y contenedores en vSphere y vSphere with Tanzu. La activación de SEV-ES en el firmware del sistema facilita la habilitación futura dentro de las máquinas virtuales, los contenedores y los sistemas operativos invitados.
- Valor sugerido
- Activado (el ASID mínimo de elementos SEV no-ES es igual al número de máquinas virtuales SEV-ES más una)
- Impacto potencial si se cambia el valor predeterminado
- El sistema operativo invitado de una máquina virtual debe ser compatible con SEV-ES y, por lo tanto, limita algunas características, como vMotion, instantáneas, etc. Para obtener más información sobre estas alternativas, consulte Funciones de VMware no admitidas en SEV-ES.
Activar Virtual Intel Software Guard Extensions (vSGX)
Asegúrese de que Virtual Intel® Software Guard Extensions (vSGX) esté activado, si está disponible en el firmware del sistema.
Las plataformas de procesador escalable Intel Xeon tienen Software Guard Extensions, o SGX, una tecnología que ayuda a las aplicaciones a proteger los datos en la memoria del sistema. Cuando se configura correctamente, vSphere admite el uso de SGX dentro de las máquinas virtuales. Habilitar SGX en el firmware del sistema facilita la habilitación futura dentro de las máquinas virtuales y los sistemas operativos invitados.
- Impacto potencial si se cambia el valor predeterminado
- El sistema operativo invitado de una máquina virtual debe admitir vSGX y, por lo tanto, limita algunas características, como vMotion, instantáneas, etc. Para obtener más información sobre estas alternativas, consulte Funciones de VMware no admitidas en vSGX.
Desactivar puertos externos
Asegúrese de que los puertos externos sin utilizar estén desactivados o protegidos contra el uso no autorizado.
Los atacantes pueden utilizar puertos no utilizados, especialmente USB, para conectar teclados, redes y almacenamiento. Tome medidas razonables para controlar el acceso a estos puertos, como deshabilitarlos y controlar el acceso. Siempre que sea posible, utilice otros medios, como puertas de rack, paneles laterales de rack y pisos resistentes que no permitan acceder a los puertos desde fuera del rack cuando la puerta del rack esté cerrada. Tenga en cuenta que los cables caben fácilmente a través de muchos huecos dentro y alrededor de los bastidores y puertas de rack, y se pueden utilizar hilos rígidos para meter cables en las tomas desde fuera del rack, así como para desprender cables para crear una interrupción del servicio.
Siempre que sea posible, configure los puertos USB para que solo admitan teclados.
Al desactivar este tipo de funcionalidad, tenga en cuenta que es posible que necesite acceder a un servidor con un teclado USB durante una interrupción o como parte de las operaciones de ciclo de vida, y planifique según corresponda.
- Impacto potencial si se cambia el valor predeterminado
- La seguridad siempre implica ceder en algo. Cuando considere un control de seguridad, como la desactivación de puertos externos, incluya en la ecuación la facilidad de recuperación tras una interrupción o un incidente. En este caso, la desactivación de los puertos externos afecta a la capacidad de utilizar la consola de ESXi en caso de emergencia.
