Pour protéger un hôte ESXi contre les intrusions et autorisations illégales, VMware impose des contraintes au niveau de plusieurs paramètres et activités. Vous pouvez atténuer les contraintes pour répondre à vos besoins de configuration. Dans ce cas, assurez-vous de travailler dans un environnement de confiance et prenez d'autres mesures de sécurité.
Fonctionnalités de sécurité intégrées
Les risques encourus par les hôtes sont limités par défaut, de la façon suivante :
- ESXi Shell et SSH sont désactivés par défaut.
- Un nombre limité de ports de pare-feu sont ouverts par défaut. Vous pouvez ouvrir explicitement des ports de pare-feu supplémentaires associés à des services spécifiques.
- ESXi exécute uniquement les services essentiels pour gérer ses fonctions. La distribution est limitée aux fonctionnalités requises pour exécuter ESXi.
- Par défaut, tous les ports non requis pour l'accès de gestion à l'hôte sont fermés. Ouvrez les ports si vous avez besoin de services supplémentaires.
- Par défaut, les chiffrements faibles sont désactivés et les communications provenant des clients sont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant de l'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avec le chiffrement RSA comme algorithme de signature.
- Un service Web Tomcat est utilisé en interne par ESXi pour prendre en charge l'accès par les clients Web. Le service a été modifié pour exécuter uniquement les fonctions dont un client Web a besoin pour l'administration et la surveillance. Par conséquent, ESXi n'est pas vulnérable aux problèmes de sécurité Tomcat signalés lors d'utilisations massives.
- VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXi et envoie un correctif de sécurité en cas de besoin.
- Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à ces services sont fermés par défaut. Vous trouverez facilement des services plus sécurisés tels que SSH et SFTP. Il est donc conseillé de les privilégier et d'éviter d'utiliser les services non sécurisés. Par exemple, utilisez Telnet avec SSL pour accéder aux ports série virtuels si SSH n'est pas disponible et que vous devez utiliser Telnet.
Si vous devez utiliser des services non sécurisés et que l'hôte bénéficie d'un niveau suffisant de sécurité, vous pouvez ouvrir des ports explicitement pour les prendre en charge.
- Envisagez d'utiliser le démarrage sécurisé UEFI pour votre système ESXi. Reportez-vous à Démarrage sécurisé UEFI des hôtes ESXi.
Mesures de sécurité supplémentaires
Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.
- Limiter l'accès
- Si vous activez l'accès à l'interface DCUI (Direct Console User Interface), ESXi Shell ou SSH impose des stratégies de sécurité d'accès strictes.
- Ne pas accéder directement aux hôtes gérés
- Utilisez vSphere Web Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. N'accédez pas aux hôtes gérés directement avec VMware Host Client et ne modifiez pas les hôtes gérés à partir de l'interface DCUI.
- Utiliser l'interface DCUI pour le dépannage
- Accédez à l'hôte via l'interface DCUI ou ESXi Shell en tant qu'utilisateur racine uniquement pour le dépannage. Pour administrer vos hôtes ESXi, utilisez un des clients d'interface utilisateur ou une des API ou des interfaces de ligne de commande VMware. Si vous utilisez ESXi Shell ou SSH, limitez les comptes qui disposent d'un accès et définissez des délais d'expiration.
- N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.
- L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches que vous devez effectuer. VMware prend en charge uniquement les mises à niveau vers les modules provenant d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autre source, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Consultez les sites Web des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.
Note : Suivez les instructions de sécurité fournies par VMware, disponible sur le site
http://www.vmware.com/security/.