Pour protéger un hôte ESXi contre les intrusions et autorisations illégales, VMware impose des contraintes au niveau de plusieurs paramètres et activités. Vous pouvez atténuer les contraintes pour répondre à vos besoins de configuration. Dans ce cas, assurez-vous de travailler dans un environnement de confiance et prenez d'autres mesures de sécurité.
Fonctionnalités de sécurité intégrées
Les risques pour les hôtes sont atténués comme suit :
- Les interfaces ESXi Shell et SSH sont désactivées par défaut. Maintenez ces interfaces désactivées, sauf si vous effectuez des activités de dépannage ou de prise en charge. Pour les activités quotidiennes, utilisez vSphere Client, où l'activité est soumise à des méthodes de contrôle d'accès basé sur les rôles et modernes.
- Un nombre limité de ports de pare-feu sont ouverts par défaut. Vous pouvez ouvrir explicitement des ports de pare-feu supplémentaires associés à des services spécifiques.
- ESXi exécute uniquement les services essentiels pour gérer ses fonctions. La distribution est limitée aux fonctionnalités requises pour exécuter ESXi.
- Par défaut, tous les ports non requis pour l'accès de gestion à l'hôte sont fermés. Ouvrez les ports si vous avez besoin de services supplémentaires.
- Par défaut, les chiffrements faibles sont désactivés et les communications provenant des clients sont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant de l'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avec le chiffrement RSA comme algorithme de signature.
- Un service Web interne est utilisé par ESXi pour prendre en charge l'accès par les clients Web. Le service a été modifié pour exécuter uniquement les fonctions dont un client Web a besoin pour l'administration et la surveillance. Par conséquent, ESXi n'est pas exposé aux problèmes de sécurité du service Web signalés pour une utilisation plus large.
- VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXi et envoie un correctif de sécurité en cas de besoin. Vous pouvez vous abonner à la liste de diffusion d'avis et d'alertes de sécurité VMware pour recevoir des alertes de sécurité. Consultez la page Web à l'adresse http://lists.vmware.com/mailman/listinfo/security-announce.
- Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à ces services sont fermés par défaut.
- Pour protéger les hôtes contre le chargement de pilotes et d'applications qui ne sont pas signés avec chiffrement, utilisez le démarrage sécurisé UEFI. L'activation du démarrage sécurisé s'effectue au niveau du BIOS du système. Aucune modification de configuration supplémentaire n'est requise sur l'hôte ESXi, par exemple, sur des partitions de disque. Reportez-vous à la section Démarrage sécurisé UEFI des hôtes ESXi.
- Si votre hôte ESXi dispose d'une puce TPM 2.0, activez et configurez la puce dans le BIOS du système. En collaboration avec le démarrage sécurisé, TPM 2.0 fournit une sécurité améliorée et une assurance d'approbation intégrée dans le matériel. Reportez-vous à la section Sécurisation des hôtes ESXi avec un module de plate-forme sécurisée.
Mesures de sécurité supplémentaires
Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.
- Limiter l'accès
- Si vous activez l'accès à l'interface DCUI (Direct Console User Interface), ESXi Shell ou SSH, appliquez des stratégies de sécurité d'accès strictes.
- Ne pas accéder directement aux hôtes gérés
- Utilisez vSphere Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. N'accédez pas aux hôtes gérés directement avec VMware Host Client et ne modifiez pas les hôtes gérés à partir de l'interface DCUI.
- Utiliser l'interface DCUI pour le dépannage
- Accédez à l'hôte via l'interface DCUI ou ESXi Shell en tant qu'utilisateur racine uniquement pour le dépannage. Pour administrer vos hôtes ESXi, utilisez l'un des clients d'interface utilisateur graphique ou l'une des API VMware. Reportez-vous à Concepts et exemples d'ESXCLI à l'adresse https://code.vmware.com/. Si vous utilisez ESXi Shell ou SSH, limitez les comptes qui disposent d'un accès et définissez des délais d'expiration.
- N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.
- L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches que vous devez effectuer. VMware prend en charge uniquement les mises à niveau vers les modules provenant d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autre source, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Consultez les sites Web des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.
Note : Suivez les instructions de sécurité fournies par VMware, disponible sur le site
http://www.vmware.com/security/.