Suivez les recommandations de sécurité ESXi pour garantir l'intégrité de votre déploiement vSphere. Pour plus d'informations, consultez le Guide de sécurisation renforcée.

Vérifier le support d'installation

Vérifiez toujours le hachage SHA1 après le téléchargement d'une offre groupée hors ligne ISO ou d'un correctif pour garantir l'intégrité et l'authenticité des fichiers téléchargés. Si vous obtenez des supports physiques de VMware et si le sceau de sécurité a été rompu, retournez le logiciel à VMware en demandant son remplacement.

Après avoir téléchargé le support, utilisez la somme MD5 pour vérifier l'intégrité du téléchargement. Comparez la somme MD5 à la valeur diffusée sur le site Web de VMware. Chaque système d'exploitation a une méthode et un outil différents pour vérifier les sommes MD5. Pour Linux, utilisez la commande « md5sum ». Pour Microsoft Windows, vous pouvez télécharger un produit complémentaire

Vérifier les CRL manuellement

Par défaut, un hôte ESXi ne prend pas en charge la vérification des listes de révocation de certificats (CRL). Vous devez rechercher et supprimer manuellement les certificats révoqués. Ces certificats sont généralement des certificats personnalisés générés à partir d’une autorité de certification d’entreprise ou d'une autorité de certification tierce. De nombreuses entreprises utilisent des scripts pour trouver et remplacer les certificats SSL révoqués sur des hôtes ESXi.

Surveiller le groupe Active Directory ESX Admins

Le groupe Active Directory utilisé par vSphere est défini par le paramètre système avancé plugins.hostsvc.esxAdminsGroup. Par défaut, cette option est définie sur ESX Admins. Tous les membres du groupe ESX Admins obtiennent un accès administratif complet à tous les hôtes ESXi du domaine. Surveillez Active Directory pour la création de ce groupe et limitez l'appartenance aux utilisateurs et aux groupes hautement approuvés.

Surveiller les fichiers de configuration

Bien que la plupart des paramètres de configuration ESXi soient contrôlés par une API, un nombre limité de fichiers de configuration affecte l'hôte directement. Ces fichiers sont exposés par l'API de transfert de fichiers vSphere qui utilise HTTPS. Si vous apportez des modifications à ces fichiers, vous devez également effectuer l'action administrative correspondante (par exemple, apporter une modification de configuration).

Remarque :

Ne tentez pas de surveiller des fichiers qui ne sont pas exposés via cette API de transfert de fichiers.

Utiliser vmkfstools pour effacer les données sensibles

Lorsque vous supprimez un fichier VMDK contenant des données sensibles, éteignez ou arrêtez la machine virtuelle, puis exécutez la commande vCLI vmkfstools --writezeros sur ce fichier. Vous pouvez ensuite supprimer le fichier de la banque de données.