Ces contrôles de sécurité fournissent un ensemble de lignes de base des meilleures pratiques de vSphere en matière de sécurité matérielle. Ils sont structurés de manière à expliquer les avantages et les contreparties de la mise en œuvre du contrôle.

Variable utilisée

Les commandes PowerCLI de cette section utilisent la variable suivante :

  • $ESXi = « host_name »

Utiliser la technologie d'exécution approuvée Intel

Assurez-vous que la technologie Intel Trusted Execution Technology (TXT) est activée, si elle est disponible dans le microprogramme du système.

Les plateformes de processeur évolutif Intel Xeon disposent de TXT, qui fournit l'authenticité d'une plateforme et de son système d'exploitation. Lorsqu'elle est activée, ESXi bénéficie des avantages de sécurité offerts par cette technologie.

Valeur suggérée
Activé
Impact potentiel si la valeur par défaut est modifiée
Les implémentations précoces de TXT provoquaient parfois des arrêts système soudains, le déclenchement d'alarmes d'attestation dans vCenter Server ou même des échecs de démarrage. Un redémarrage du système résout ces problèmes, tandis qu'une mise à jour du microprogramme système le résout généralement définitivement. Reportez-vous à l'article de la base de connaissances VMware accessible à l'adresse https://kb.vmware.com/s/article/78243 .
Évaluation de la commande PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.TxtEnabled

Configurer le démarrage sécurisé UEFI

Assurez-vous que le démarrage sécurisé UEFI est activé.

L'activation du démarrage sécurisé UEFI sur le matériel d'un hôte ESXi permet d'éviter les programmes malveillants et les configurations non approuvées.

Valeur suggérée
Activé
Impact potentiel si la valeur par défaut est modifiée
L'activation du démarrage sécurisé UEFI après l'installation peut empêcher le démarrage d'un hôte ESXi. Exécutez /usr/lib/vmware/secureboot/bin/secureBoot.py -c sur un exemple d'hôte pour déterminer si vous pouvez activer le démarrage sécurisé en toute sécurité.
Évaluation de la commande PowerCLI
S.O.

Utiliser TPM 2.0

Assurez-vous qu'un module de plateforme sécurisée (TPM) 2.0 est installé et configuré correctement sur vos hôtes ESXi.

ESXi peut utiliser un TPM pour activer des fonctionnalités de sécurité avancées qui empêchent les programmes malveillants, suppriment les dépendances et sécurisent les opérations de cycle de vie du matériel. Lorsque cela est possible, configurez vos hôtes pour utiliser TPM 2.0 et activez le TPM dans le microprogramme du système.

Valeur suggérée
TPM 2.0 installé et activé (hachage SHA-256, interface TIS/FIFO)
Impact potentiel si la valeur par défaut est modifiée
Aucun
Évaluation de la commande PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmSupported
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmVersion

Assurez-vous que le microprogramme matériel est à jour

Assurez-vous que vous appliquez les dernières mises à jour du microprogramme à tous les composants de vos systèmes, et que le microprogramme est authentique et fourni par le fabricant de votre matériel.

Le microprogramme matériel n'est pas à l'abri de problèmes graves affectant la confidentialité, l'intégrité ou la disponibilité. Les pirates peuvent utiliser des contrôleurs de gestion du système vulnérables et des moteurs de gestion pour établir la persistance, et infecter et compromettre de nouveau les hôtes après les redémarrages et les mises à jour.

Valeur suggérée
S.O.
Impact potentiel si la valeur par défaut est modifiée
Si vous utilisez vSAN, assurez-vous que les versions du périphérique de stockage et du microprogramme du contrôleur sont certifiées.
Évaluation de la commande PowerCLI
S.O.

Contrôleurs de gestion du matériel intégrés sécurisés

Assurez-vous que les contrôleurs de gestion du matériel intégrés sont entièrement sécurisés.

De nombreux serveurs disposent de contrôleurs de gestion du matériel intégrés qui peuvent être extrêmement utiles lors de la surveillance et de la mise à jour du matériel, des paramètres et du microprogramme. Pour ces contrôleurs :

  • Désactivez toutes les fonctionnalités inutilisées.
  • Désactivez toutes les méthodes d'accès inutilisées.
  • Définissez des mots de passe et des contrôles de mot de passe.
  • Mettez en place des pare-feu et un contrôle d'accès afin que l'accès se fasse uniquement à partir de stations de travail avec un accès autorisé à l'équipe d'administration de la virtualisation.

Désactivez toutes les options de configuration du « premier démarrage », en particulier celles qui reconfigurent le système à partir d'un périphérique USB inséré. Désactivez ou protégez également les ports USB connectés aux contrôleurs de gestion. Si possible, définissez les ports USB pour autoriser uniquement les claviers.

Modifiez les mots de passe par défaut des comptes.

Les informations externes sécurisées s'affichent pour éviter toute fuite d'informations. Sécurisez les boutons d'alimentation et d'information contre toute utilisation non autorisée.

De nombreux contrôleurs de gestion du matériel fournissent des mécanismes d'alerte lorsque des pannes matérielles et des modifications de configuration se produisent. Envisagez de les utiliser si vous n'utilisez pas d'autre méthode pour la surveillance du matériel.

Valeur suggérée
S.O.
Impact potentiel si la valeur par défaut est modifiée
La désactivation des méthodes de connexion peut entraîner de futures modifications de surveillance et de gestion des configurations du contrôleur de gestion du matériel sur vos serveurs déployés. Lorsque cela est possible, utilisez des méthodes de gestion d'interface de ligne de commande et d'API dont vous pouvez effectuer un script au lieu d'utiliser des applications ou des logiciels de gestion supplémentaires. L'apprentissage de ces techniques permet de gagner du temps, d'éviter les efforts supplémentaires d'installation et de maintenance d'outils complémentaires et de permettre des modifications de configuration en temps opportun.
Évaluation de la commande PowerCLI
S.O.

Synchroniser l'heure sur les contrôleurs de gestion de matériel intégrés

Assurez-vous de synchroniser l'heure sur les contrôleurs de gestion de matériel intégrés.

La cryptographie, la journalisation d'audit, les opérations de cluster et les réponses aux incidents dépendent de l'heure synchronisée. Cette recommandation s'applique à tous les périphériques de votre infrastructure. Le protocole NTP (Network Time Protocol) doit avoir au moins quatre sources. Si vous devez choisir entre deux sources et une source, une source est préférable.

Valeur suggérée

Spécifique au site ou :

0.vmware.pool.ntp.org,

1.vmware.pool.ntp.org,

2.vmware.pool.ntp.org,

3.vmware.pool.ntp.org

Impact potentiel si la valeur par défaut est modifiée
Aucun
Évaluation de la commande PowerCLI
S.O.

Sécuriser la manière dont les contrôleurs de gestion du matériel intégrés utilisent Active Directory

Assurez-vous de ne pas créer de boucle de dépendance ou de vecteur d'attaque dans la manière dont les contrôleurs de gestion du matériel intégrés utilisent Active Directory.

Désactivez les connexions à Active Directory ou, au minimum, considérez-les comme des vecteurs d'attaque et des boucles de dépendance (pour l'authentification, l'autorisation, le DNS, DHCP et l'heure). Envisagez de gérer des comptes locaux sur ces périphériques via des API et des interfaces de ligne de commande. Si vous devez utiliser Active Directory pour l'authentification, utilisez l'autorisation locale afin que les pirates ayant accès à Active Directory ne puissent pas se promouvoir via l'appartenance à un groupe.

Valeur suggérée
S.O.
Impact potentiel si la valeur par défaut est modifiée
La non-connexion des contrôleurs de gestion du matériel à des sources d'authentification et d'autorisation centralisées implique une gestion supplémentaire. La plupart des contrôleurs de gestion du matériel disposent de boîtes à outils d'interface de ligne de commande ou d'API pour automatiser le processus.
Évaluation de la commande PowerCLI
S.O.

Désactiver les contrôleurs virtuels intégrés de gestion du matériel

Assurez-vous que les contrôleurs virtuels intégrés de gestion du matériel avec des interfaces réseau internes, émulées ou virtuelles sont désactivés.

Certains contrôleurs de gestion du matériel ont la possibilité de présenter des interfaces réseau virtuelles pour ESXi en tant qu'interface de gestion. Ces approches créent des portes inverses potentielles pour l'accès que les adversaires peuvent utiliser pour contourner les pare-feu basés sur le réseau et de périmètre, dans les deux sens, et pour éviter l'observation par IDS, IPS et les outils d'analyse des menaces. Dans de nombreux cas, cette fonctionnalité n'est pas strictement nécessaire pour gérer les hôtes.

Valeur suggérée
S.O.
Impact potentiel si la valeur par défaut est modifiée
La désactivation de la mise en réseau interne peut limiter l'efficacité de l'outil de gestion du fournisseur.
Évaluation de la commande PowerCLI
S.O.

Activer AMD Secure Encrypted Virtualization-Encrypted State

Assurez-vous que AMD SEV-ES (Secure Encrypted Virtualization-Encrypted State) est activé, s'il est disponible dans le microprogramme du système. Assurez-vous que la valeur de Minimum SEV non-ES ASID est égale au nombre de machines virtuelles SEV-ES plus un.

Les plates-formes AMD EPYC prennent en charge SEV-ES, une technologie qui permet de chiffrer la mémoire et l'état du registre du CPU, et de limiter la visibilité de l'hyperviseur, afin d'augmenter la sécurité de la charge de travail et de réduire l'exposition à certains types d'attaques. Lorsqu'il est configuré correctement, SEV-ES fournit une sécurité renforcée au système d'exploitation invité sur les machines virtuelles et les conteneurs sous vSphere et vSphere with Tanzu. L'activation de SEV-ES dans le microprogramme du système facilite l'activation future dans les machines virtuelles, les conteneurs et les systèmes d'exploitation invités.

Valeur suggérée
Activé (la valeur de Minimum SEV non-ES ASID est égale au nombre de machines virtuelles SEV-ES plus un)
Impact potentiel si la valeur par défaut est modifiée
Le système d'exploitation invité d'une machine virtuelle doit prendre en charge SEV-ES, ce qui limite certaines fonctionnalités, telles que vMotion, les snapshots, etc. Pour plus d'informations sur ces compromis, reportez-vous à la section Fonctionnalités de VMware non prises en charge sur SEV-ES.
Évaluation de la commande PowerCLI
S.O.

Activer vSGX (Virtual Intel Software Guard Extensions)

Assurez-vous que vSGX (Virtual Intel® Software Guard Extensions) est activé, s'il est disponible dans le microprogramme du système.

Les plateformes de processeur évolutif Intel Xeon disposent de Software Guard Extensions ou SGX, une technologie qui aide les applications à protéger les données dans la mémoire système. Lorsqu'il est configuré correctement, vSphere prend en charge l'utilisation de SGX dans les machines virtuelles. L'activation de SGX dans le microprogramme du système facilite l'activation future dans les machines virtuelles et les systèmes d'exploitation invités.

Valeur suggérée
Suggéré : Activé (logiciel, déverrouillé)
Impact potentiel si la valeur par défaut est modifiée
Le système d'exploitation invité d'une machine virtuelle doit prendre en charge vSGX et donc limiter certaines fonctionnalités telles que vMotion, les snapshots, etc. Pour plus d'informations sur ces compromis, reportez-vous à la section Fonctionnalités de VMware non prises en charge sur vSGX.
Évaluation de la commande PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.SgxRegistrationSupported

Désactiver les ports externes

Assurez-vous que les ports externes inutilisés sont désactivés ou protégés contre une utilisation non autorisée.

Les pirates peuvent utiliser des ports inutilisés, en particulier USB, pour attacher le stockage, la mise en réseau et les claviers. Prenez des mesures raisonnables pour contrôler l'accès à ces ports via la désactivation et le contrôle d'accès. Dans la mesure du possible, utilisez d'autres moyens, tels que des portes à rack solide, des panneaux latéraux de rack et des planchers pour rendre les ports inaccessibles depuis l'extérieur du rack lorsque la porte du rack est fermée. Sachez que les câbles passent facilement à travers de nombreux écarts dans et autour des racks et des portes de rack, et des fils rigides peuvent être utilisés pour pousser les câbles dans leur manchon depuis l'extérieur du rack, ainsi que pour déloger les câbles afin de créer une interruption de service.

Si possible, définissez les ports USB pour autoriser uniquement les claviers.

Lors de la désactivation de ce type de fonctionnalité, tenez compte du fait que vous devrez peut-être accéder à un serveur à l'aide d'un clavier USB lors d'une panne, ou dans le cadre d'opérations de cycle de vie, et planifiez en conséquence.

Valeur suggérée
S.O.
Impact potentiel si la valeur par défaut est modifiée
La sécurité doit toujours être vue comme un compromis. Lorsque vous envisagez un contrôle de sécurité tel que la désactivation de ports externes, efforcez-vous de faciliter la récupération après une panne ou un incident pour qu'elle fasse partie de l'équation. Dans ce cas, la désactivation des ports externes affecte la capacité à utiliser la console ESXi en cas d'urgence.
Des serveurs peuvent désactiver et activer dynamiquement certains ports USB pour la gestion. Assurez-vous que votre choix pour ce contrôle de sécurité répond aux besoins de votre organisation, et testez ces méthodes avant de les mettre en œuvre.
Évaluation de la commande PowerCLI
S.O.