L'hyperviseur ESXi est sécurisé par nature. Vous pouvez accroître la protection des hôtes ESXi en utilisant le mode de verrouillage et d'autres fonctionnalités intégrées. Si vous configurez un hôte de référence et apportez des modifications à tous les hôtes en fonction des profils d'hôte de cet hôte, ou si vous effectuez une gestion par scripts, vous renforcez la protection de votre environnement en veillant à ce que les modifications s'appliquent à tous les hôtes.

Utilisez les fonctionnalités suivantes (présentées en détail dans ce guide) pour renforcer la protection des hôtes ESXi gérés par vCenter Server. Reportez-vous également au livre blanc Sécurité de VMware vSphere Hypervisor.

Limiter l'accès à ESXi

Par défaut, les services ESXi Shell et SSH ne s'exécutent pas et seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe (DCUI). Si vous décidez d'activer l'accès à ESXi ou SSH, vous pouvez définir des délais d'expiration pour limiter le risque d'accès non autorisé.

Les hôtes pouvant accéder à l'hôte ESXi doivent disposer d'autorisations de gestion de l'hôte. Ces autorisations se définissent sur l'objet hôte de vCenter Server qui gère l'hôte.

Utiliser des utilisateur nommés et le moindre privilège

Par défaut, l'utilisateur racine peut effectuer de nombreuses tâches. Au lieu d'autoriser les administrateurs à se connecter à l'hôte ESXi à l'aide du compte d'utilisateur racine, vous pouvez appliquer des privilèges de configuration de l'hôte différents à divers utilisateurs nommés à partir de l'interface de gestion des autorisations de vCenter Server. Vous pouvez créer des rôles personnalisés, attribuer des privilèges à un rôle et associer le rôle à un utilisateur nommé et à un objet hôte d'ESXi en utilisant vSphere Web Client.

Dans une configuration à hôte unique, vous gérez directement les utilisateurs. Consultez la documentation de Administration de vSphere avec vSphere Client.

Réduire le nombre de ports de pare-feu ESXi ouverts

Par défaut, les ports de pare-feu de votre hôte ESXi sont uniquement ouverts lorsque vous démarrez un service correspondant. Vous pouvez utiliser les commandes de vSphere Web Client, ESXCLI ou PowerCLI pour vérifier et gérer l'état des ports du pare-feu.

Reportez-vous à ESXi.

Automatiser la gestion de l'hôte ESXi

Parce qu'il est souvent important que les différents hôtes d'un même centre de données soient synchronisés, utilisez l'installation basée sur scripts ou vSphere Auto Deploy pour provisionner les hôtes. Vous pouvez gérer les hôtes à l'aide de scripts. Les profils d'hôtes constituent une alternative à la gestion basée sur scripts. Vous configurez un hôte de référence, exportez le profil d'hôte et appliquez celui-ci à votre hôte. Vous pouvez appliquer le profil d'hôte directement ou dans le cadre du provisionnement avec Auto Deploy.

Consultez Utiliser des scripts pour gérer des paramètres de configuration d'hôte et Installation et configuration de vSphere pour plus d'informations sur vSphere Auto Deploy.

Exploiter le mode de verrouillage

En mode de verrouillage, les hôtes ESXi sont, par défaut, uniquement accessibles par le biais de vCenter Server. À partir de vSphere 6.0, vous avez le choix entre un mode de verrouillage strict et un mode de verrouillage normal. Vous pouvez également définir des utilisateurs exceptionnels pour permettre un accès direct aux comptes de service tels que les agents de sauvegarde.

Reportez-vous à Mode verrouillage.

Vérifier l'intégrité du module VIB

Un niveau d'acceptation est associé à chaque module VIB. Vous pouvez ajouter un VIB à un hôte ESXi uniquement si son niveau d'acceptation est identique ou supérieur au niveau d'acceptation de l'hôte. Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported à un hôte à moins d'avoir explicitement modifié le niveau d'acceptation de l'hôte.

Reportez-vous à Vérifier les niveaux d'acceptation des hôtes et des fichiers VIB.

Gérer les certificats ESXi

Dans vSphere 6.0 et version ultérieure, l'autorité de certification VMware (VMCA) provisionne chaque hôte ESXi à l'aide d'un certificat signé dont l'autorité de certification racine par défaut est VMCA. Si la stratégie d'une entreprise l'exige, vous pouvez remplacer les certificats existants par des certificats signés par une autorité de certification tierce.

Reportez-vous à Gestion de certificats pour les hôtes ESXi

Authentification par carte à puce

À partir de vSphere 6.0, ESXi prend en charge l'option d'authentification par carte à puce plutôt que par nom d'utilisateur et mot de passe.

Reportez-vous à Configuration de l'authentification par carte à puce pour ESXi.

Verrouillage de compte ESXi

À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de dix tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes.

Reportez-vous à Verrouillage des mots de passe et des comptes ESXi.

Les considérations de sécurité pour les hôtes autonomes sont identiques, bien que les tâches de gestion puissent différer. Consultez la documentation de Administration de vSphere avec vSphere Client.