Para proteger un host ESXi contra la intromisión no autorizada o el uso incorrecto, VMware impone restricciones sobre varios parámetros, opciones de configuración y actividades. Para satisfacer sus necesidades de configuración, puede modificar las restricciones. Si lo hace, asegúrese de trabajar en un entorno de confianza y tome otras medidas de seguridad.
Cuáles son las funciones de seguridad integradas de ESXi
ESXi mitiga los riesgos para los hosts de la siguiente manera:
- La interfaz de ESXi Shell y la interfaz SSH están desactivadas de forma predeterminada. Mantenga estas interfaces desactivadas a menos que esté realizando actividades de solución de problemas o de soporte. Para las actividades cotidianas, utilice la vSphere Client, donde la actividad está sujeta al control de acceso basado en roles y a métodos de control de acceso modernos.
- Solo algunos puertos de firewall están abiertos de forma predeterminada. Puede abrir de forma explícita puertos de firewall asociados con dispositivos específicos.
- De forma predeterminada, todos los puertos que no son necesarios para el acceso de administración al host están cerrados. Abra los puertos si necesita servicios adicionales.
- ESXi ejecuta solo los servicios que son fundamentales para administrar sus funciones. La distribución está limitada a las características necesarias para ejecutar ESXi.
- De forma predeterminada, los cifrados débiles están desactivados y las comunicaciones de los clientes están protegidas con SSL. Los algoritmos exactos utilizados para proteger el canal dependen del protocolo de enlace de SSL. Los certificados predeterminados creados en ESXi utilizan el cifrado PKCS#1 SHA-256 con RSA como algoritmo de firmas.
- ESXi utiliza un servicio web interno para permitir el acceso a través de clientes web. El servicio se modificó para que ejecute solo las funciones que necesita un cliente web para la administración y la supervisión. Por lo tanto, ESXi no es vulnerable a los problemas de seguridad del servicio web que se experimentan durante el uso general.
- VMware supervisa todas las alertas de seguridad que pueden afectar la seguridad de ESXi y emite una revisión de seguridad según sea necesario. Para recibir alertas de seguridad, puede suscribirse a la lista de correo de advertencias y alertas de seguridad de VMware. Consulte la página web en http://lists.vmware.com/mailman/listinfo/security-announce.
- No se instalan servicios no seguros, como FTP y Telnet, y sus puertos están cerrados de forma predeterminada.
- Para proteger a los hosts de la carga de controladores y aplicaciones que no están firmados criptográficamente, utilice el arranque seguro UEFI. La habilitación del arranque seguro se realiza en el BIOS del sistema. No se requieren cambios de configuración adicionales en el host ESXi, por ejemplo, para las particiones de disco. Consulte Arranque seguro UEFI para hosts ESXi.
- Si el host ESXi tiene un chip TPM 2.0, habilite y configure el chip en el BIOS del sistema. Al trabajar junto con el arranque seguro, TPM 2.0 proporciona una seguridad mejorada y una garantía de confianza basada en hardware. Consulte Proteger hosts ESXi con el módulo de plataforma de confianza.
- En ESXi 8.0 y versiones posteriores, puede ejecutar el proceso de SSH en un dominio de espacio aislado. A continuación, el shell tiene privilegios reducidos y solo permite el acceso a un subconjunto limitado de comandos. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/87386.
Tomar otras medidas de seguridad de ESXi
Tenga en cuenta las siguientes recomendaciones al evaluar la seguridad y la administración de los hosts.
- Limitar el acceso a hosts ESXi
- Si activa el acceso a la interfaz de usuario de la consola directa (Direct Console User Interface, DCUI), a ESXi Shell o a SSH, aplique directivas de seguridad de acceso estrictas.
- No acceda a los hosts ESXi administrados directamente
- Utilice vSphere Client para administrar los hosts ESXi que administra un sistema vCenter Server. No acceda directamente a los hosts administrados con VMware Host Client y no cambie los hosts administrados de la DCUI.
- Usar la DCUI solamente para la solución de problemas
- Acceda al host desde la DCUI o ESXi Shell como usuario raíz solo para solucionar problemas. Para administrar los hosts ESXi, utilice vSphere Client (o VMware Host Client) o una de las CLI o las API de VMware. Consulte Conceptos y ejemplos de ESXCLI. Si utiliza ESXi Shell o SSH, limite las cuentas que tienen acceso y establezca tiempos de espera.
- Usar orígenes de VMware solamente para actualizar los componentes de ESXi
- El host ejecuta varios paquetes externos para admitir las interfaces de administración o las tareas que se deben realizar. VMware solo admite actualizaciones para estos paquetes que provienen de un origen de VMware. Si utiliza una descarga o una revisión de otro origen, puede comprometer la seguridad o las funciones de la interfaz de administración. Compruebe los sitios de proveedores externos y la base de conocimientos de VMware para consultar las alertas de seguridad.
Nota: Siga los avisos de seguridad de VMware en
http://www.vmware.com/security/.