Sécurisation de l'hyperviseur ESXi

L'hyperviseur ESXi est sécurisé par défaut. Vous pouvez renforcer la protection des hôtes ESXi en utilisant le mode de verrouillage et d'autres fonctionnalités intégrées. À des fins d'uniformité, vous pouvez définir un hôte de référence et laisser tous les hôtes en synchronisation avec le profil de l'hôte de référence. Vous pouvez également protéger votre environnement en effectuant une gestion chiffrée, qui garantit que les modifications sont appliquées à tous les hôtes.

Vous pouvez renforcer la protection des hôtes ESXi qui sont gérés par vCenter Server en effectuant les actions suivantes. Consultez le livre blanc Sécurité de VMware vSphere Hypervisor pour accéder à des informations de fond et des détails.

Limiter l'accès à ESXi: Par défaut, les services ESXi Shell et SSH ne s'exécutent pas et seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe (DCUI). Si vous décidez d'activer l'accès à ESXi ou SSH, vous pouvez définir des délais d'expiration pour limiter le risque d'accès non autorisé.; Les hôtes pouvant accéder à l'hôte ESXi doivent disposer d'autorisations de gestion de l'hôte. Ces autorisations se définissent sur l'objet hôte du système vCenter Server qui gère l'hôte.
Utiliser des utilisateurs nommés et le moindre privilège: Par défaut, l'utilisateur racine peut effectuer de nombreuses tâches. N'autorisez pas les administrateurs à se connecter à l'hôte ESXi en utilisant le compte d'utilisateur racine. Au lieu de cela, créez des utilisateurs Administrateur nommés à partir de vCenter Server et attribuez-leur le rôle d'administrateur. Vous pouvez également attribuer à ces utilisateurs un rôle personnalisé. Reportez-vous à la section Créer un rôle personnalisé.; Si vous gérez les utilisateurs directement sur l'hôte, les options de gestion des rôles sont limitées. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
Réduire le nombre de ports de pare-feu ESXi ouverts: Par défaut, les ports de pare-feu de votre hôte ESXi sont uniquement ouverts lorsque vous démarrez un service correspondant. Vous pouvez utiliser les commandes de vSphere Web Client, ESXCLI ou PowerCLI pour vérifier et gérer l'état des ports du pare-feu.; Reportez-vous à la section Configuration du pare-feu ESXi.
Automatiser la gestion des hôtes ESXi: Parce qu'il est souvent important que les différents hôtes d'un même centre de données soient synchronisés, utilisez l'installation basée sur scripts ou vSphere Auto Deploy pour provisionner les hôtes. Vous pouvez gérer les hôtes à l'aide de scripts. Les profils d'hôte sont une alternative à la gestion chiffrée. Vous définissez un hôte de référence, exportez le profil d'hôte et appliquez celui-ci à tous les hôtes. Vous pouvez appliquer le profil d'hôte directement ou dans le cadre du provisionnement avec Auto Deploy.; Consultez Utiliser des scripts pour gérer des paramètres de configuration d'hôte et Installation et configuration de vSphere pour plus d'informations sur vSphere Auto Deploy.
Exploiter le mode de verrouillage: En mode de verrouillage, les hôtes ESXi sont, par défaut, uniquement accessibles par le biais de vCenter Server. À partir de vSphere 6.0, vous avez le choix entre un mode de verrouillage strict et un mode de verrouillage normal. Vous pouvez également définir des utilisateurs exceptionnels pour permettre un accès direct aux comptes de service tels que les agents de sauvegarde.; Reportez-vous à la section Mode verrouillage.
Vérifier l'intégrité du module VIB: Un niveau d'acceptation est associé à chaque module VIB. Vous pouvez ajouter un VIB à un hôte ESXi uniquement si son niveau d'acceptation est identique ou supérieur au niveau d'acceptation de l'hôte. Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported à un hôte à moins d'avoir explicitement modifié le niveau d'acceptation de l'hôte.; Reportez-vous à la section Vérifier les niveaux d'acceptation des hôtes et des fichiers VIB.
Gérer les certificats ESXi: Dans vSphere 6.0 et version ultérieure, VMware Certificate Authority (VMCA) provisionne chaque hôte ESXi à l'aide d'un certificat signé dont l'autorité de certification racine par défaut est VMCA. Si la stratégie de l'entreprise l'exige, vous pouvez remplacer les certificats existants par des certificats signés par une autorité de certification d'entreprise ou tierce.; Reportez-vous à la section Gestion de certificats pour les hôtes ESXi.
Envisager l'authentification par carte à puce: À partir de vSphere 6.0, ESXi prend en charge l'utilisation de l'authentification par carte à puce plutôt que l'authentification par nom d'utilisateur et mot de passe. Pour une sécurité renforcée, vous pouvez configurer l'authentification par carte à puce. L'authentification à deux facteurs est également prise en charge pour vCenter Server. Vous pouvez configurer l'authentification par nom d'utilisateur et mot de passe, et l'authentification par carte à puce en même temps.; Reportez-vous à la section Configuration de l'authentification par carte à puce pour ESXi.
Envisager le verrouillage des comptes ESXi: À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. Par défaut, un nombre maximal de 10 tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes.
Note : L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte.; Reportez-vous à la section Verrouillage des mots de passe et des comptes ESXi.

Les considérations de sécurité pour les hôtes autonomes sont identiques, bien que les tâches de gestion puissent différer. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.