Pour protéger l'hôte contre les intrusions et autorisations illégales, VMware impose des contraintes au niveau de plusieurs paramètres et activités. Vous pouvez atténuer les contraintes pour répondre à vos besoins de configuration. Si vous le faites, assurez-vous de travailler dans un environnement sécurisé et de prendre suffisamment d'autres mesures de sécurité pour protéger le réseau globalement ainsi que les périphériques connectés à l'hôte.

Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.

  • Limitez l'accès utilisateur.

    Pour améliorer la sécurité, limitez l'accès des utilisateurs à l'interface DCUI (Direct Console User Interface) et à ESXi Shell, et mettez en œuvre des règles de sécurité d'accès, comme des restrictions de mots de passe.

    L'ESXi Shell possède un accès privilégié à certaines parties de l'hôte. Octroyez un accès de connexion à ESXi Shell uniquement aux utilisateurs approuvés.

  • Utilisez vSphere Client pour gérer les hôtes ESXi autonomes.

    Utilisez dès que vous le pouvez vSphere Client, ou encore un outil de gestion de réseau tiers pour l'administration de vos hôtes ESXi et non l'interface de ligne de commande en tant qu'utilisateur racine. L'utilisation de vSphere Client permet de limiter le nombre de comptes ayant accès à ESXi Shell, de déléguer des responsabilités en toute sécurité et de configurer des rôles empêchant les administrateurs et les utilisateurs d'utiliser les fonctions dont ils n'ont pas besoin.

  • Utilisez vSphere Web Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. Évitez d'accéder aux hôtes gérés directement avec vSphere Client, et n'apportez pas de modifications aux hôtes gérés à partir de l'interface utilisateur DCUI (Direct Console User Interface).

  • N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.

    L'hôte utilise un grand nombre de produits tiers pour soutenir les interfaces de gestion ou les tâches de gestion à exécuter. VMware ne prend pas en charge la mise à niveau de ces produits s'ils ne proviennent pas d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autre source, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Visitez régulièrement les sites Web de fournisseurs tiers, ainsi que la base de connaissances VMware pour connaître les alertes de sécurité correspondantes.

Outre la mise en place du pare-feu, d'autres méthodes sont utilisées pour limiter les risques pour les hôtes :

  • ESXi exécute uniquement les services nécessaires à la gestion de son fonctionnement, et la distribution est limitée aux fonctions requises pour l'exécution d'ESXi.

  • Par défaut, tous les ports non requis pour la gestion des accès à l'hôte sont fermés. Vous devez ouvrir spécialement les ports associés aux services supplémentaires dont vous avez besoin.

  • Par défaut, les chiffrements faibles sont désactivés, et toutes les communications provenant des clients sont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant de l'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avec le chiffrement RSA en tant qu'algorithme de signature.

  • Le service Web Tomcat, utilisé en interne par ESXi pour soutenir les accès des clients Web, a été modifié : il exécute uniquement les fonctions requises pour les tâches d'administration et de surveillance effectuées par un client Web. Par conséquent, ESXi n'est pas vulnérable aux problèmes de sécurité Tomcat signalés lors d'utilisations massives.

  • VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXi et envoie un correctif de sécurité en cas de besoin.

  • Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à ces services sont fermés par défaut. Vous trouverez facilement des services plus sécurisés tels que SSH et SFTP ; par conséquent, il est conseillé de les privilégier et d'éviter d'utiliser les services non sécurisés. Par exemple, utilisez Telnet avec SSL au lieu de Telnet pour accéder à des ports série virtuels. Si vous devez utiliser des services non sécurisés et que l'hôte bénéficie d'un niveau suffisant de sécurité, vous devez dans ce cas ouvrir les ports correspondants.

Remarque :

Suivez les instructions de sécurité fournies par VMware, proposées dans la page http://www.vmware.com/security/.