Es esencial la seguridad de la interfaz de administración de ESXi para brindar protección contra la intrusión no autorizada y el uso indebido. Si hay algún host comprometido de alguna manera, las máquinas virtuales con las que interactúa también podrían quedar comprometidas. Para reducir el riesgo de un ataque a través de la interfaz de administración, ESXi recibe la protección de un firewall integrado.

Para proteger al host de la intrusión no autorizada y el uso indebido, VMware impone restricciones en algunos parámetros, ajustes y actividades. Las restricciones se pueden flexibilizar para cumplir con las necesidades de configuración. No obstante, si lo hace, debe tomar las medidas para proteger a la red en conjunto y a los dispositivos conectados al host.

Tenga en cuenta las siguientes recomendaciones a la hora de evaluar la administración y la seguridad del host.

  • Para mejorar la seguridad, limite el acceso del usuario a la interfaz de administración y aplique políticas de seguridad de acceso, como restricciones con contraseña.
  • Solo proporcione a usuarios confiables acceso para iniciar sesión en ESXi Shell. ESXi Shell tiene acceso privilegiado a determinadas instancias del host.
  • Siempre que sea posible, ejecute solamente procesos, servicios y agentes esenciales, como los controles de virus y las copias de seguridad de la máquina virtual.
  • Siempre que sea posible, use vSphere Web Client, o alguna herramienta de administración de redes de terceros, para administrar los hosts ESXi en lugar de trabajar en la interfaz de línea de comandos como usuario raíz. Cuando use vSphere Web Client, conéctese siempre al host ESXi a través de un sistema vCenter Server.

El host ejecuta varios paquetes de terceros para admitir las tareas o interfaces de administración que debe emplear un operador. VMware no admite la actualización de esos paquetes si no se realiza desde un origen VMware. Si se usa alguna descarga o revisión de otro origen, podrían verse comprometidas las funciones o la seguridad de la interfaz de administración. Visite con frecuencia los sitios de proveedores de terceros y la base de conocimientos de VMware para conocer las alertas de seguridad.

Además de implementar el firewall, puede mitigar riesgos en el host ESXi por medio de otros métodos.

  • Asegúrese de dejar cerrados los puertos del firewall que no sean específicamente necesarios para el acceso de administración al host. Los puertos deben abrirse puntualmente si se requieren servicios adicionales.
  • Reemplace los certificados predeterminados y no habilite cifrados débiles. De manera predeterminada, los cifrados débiles están deshabilitados, y todas las comunicaciones de los clientes están protegidas por TLS. Los algoritmos exactos que se usan para proteger el canal dependen del protocolo de enlace de TLS. Los certificados predeterminados que se crean en ESXi usan SHA-1 con cifrado RSA como algoritmo de firma.
  • Instale las revisiones de seguridad. VMware supervisa todas las alertas de seguridad que podrían afectar la seguridad de ESXi y, si fuera necesario, emite una revisión de seguridad.
  • Los servicios no seguros, como FTP y Telnet, no se instalan; los puertos para esos servicios están cerrados. Como se dispone fácilmente de servicios más seguros como SSH y SFTP, evite siempre usar esos servicios inseguros en favor de las alternativas más seguras. Si debe usar servicios no seguros, implemente la suficiente protección para los hosts ESXi y abra los puertos correspondientes.

Puede ejecutar los hosts ESXi en modo de bloqueo. Cuando el modo de bloqueo está habilitado, el host solo puede administrarse desde vCenter Server. No hay ningún usuario aparte de vpxuser que cuente con permisos de autenticación; quedan denegadas las conexiones directas con el host.