Pour sécuriser un hôte ESXi contre les intrusions et autorisations illégales, VMware impose des contraintes au niveau de plusieurs paramètres et activités. Pour répondre à vos besoins de configuration, vous pouvez assouplir les contraintes. Dans ce cas, assurez-vous de travailler dans un environnement de confiance et prenez d'autres mesures de sécurité.
Quelles sont les fonctionnalités de sécurité intégrées de ESXi ?
ESXi atténue les risques pour vos hôtes comme suit :
- L'interface ESXi Shell et l'interface SSH sont désactivées par défaut. Maintenez ces interfaces désactivées, sauf si vous effectuez des activités de dépannage ou d'assistance. Pour les activités quotidiennes, utilisez vSphere Client, où l'activité est soumise à des méthodes de contrôle d'accès basé sur les rôles et modernes.
- Seuls certains ports de pare-feu sont ouverts par défaut. Vous pouvez ouvrir explicitement les ports de pare-feu associés à des services spécifiques.
- Par défaut, tous les ports non requis pour l'accès de gestion à l'hôte sont fermés. Ouvrez les ports si vous avez besoin de services supplémentaires.
- ESXi exécute uniquement les services essentiels pour gérer ses fonctions. La distribution est limitée aux fonctionnalités requises pour exécuter ESXi.
- Par défaut, les chiffrements faibles sont désactivés et les communications provenant des clients sont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant de l'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avec le chiffrement RSA comme algorithme de signature.
- Un service Web interne est utilisé par ESXi pour prendre en charge l'accès par les clients Web. Le service a été modifié pour exécuter uniquement les fonctions dont un client Web a besoin pour l'administration et la surveillance. Par conséquent, ESXi n'est pas exposé aux problèmes de sécurité du service Web signalés pour une utilisation plus large.
- VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXi et envoie un correctif de sécurité en cas de besoin. Pour recevoir des alertes de sécurité, vous pouvez vous abonner à la liste de diffusion d'avis et d'alertes de sécurité VMware. Reportez-vous à la page Web à l'adresse http://lists.vmware.com/mailman/listinfo/security-announce.
- Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à ces services sont fermés par défaut.
- Pour protéger les hôtes contre le chargement de pilotes et d'applications qui ne sont pas signés avec chiffrement, utilisez le démarrage sécurisé UEFI. L'activation du démarrage sécurisé s'effectue au niveau du BIOS du système. Aucune modification de configuration supplémentaire n'est requise sur l'hôte ESXi, par exemple, sur des partitions de disque. Reportez-vous à la section Démarrage sécurisé UEFI des hôtes ESXi.
- Si votre hôte ESXi dispose d'une puce TPM 2.0, activez et configurez la puce dans le BIOS du système. En collaboration avec le démarrage sécurisé, TPM 2.0 fournit une sécurité améliorée et une assurance d'approbation intégrée dans le matériel. Reportez-vous à la section Sécurisation des hôtes ESXi avec un module de plate-forme sécurisée.
- Dans ESXi 8.0 et versions ultérieures, vous pouvez exécuter le processus SSH sous un domaine sandbox. Le shell dispose alors de privilèges réduits et autorise uniquement l'accès à un sous-ensemble de commandes limité. Pour plus d'informations, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/87386.
Prendre des mesures de sécurité ESXi supplémentaires
Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.
- Limiter l'accès aux hôtes ESXi
- Si vous activez l'accès à l'interface DCUI (Direct Console User Interface), ESXi Shell ou SSH, appliquez des stratégies de sécurité d'accès strictes.
- Ne pas accéder directement aux hôtes ESXi gérés
- Utilisez vSphere Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. N'accédez pas aux hôtes gérés directement avec VMware Host Client et ne modifiez pas les hôtes gérés à partir de l'interface DCUI.
- Utiliser l'interface DCUI pour le dépannage
- Accédez à l'hôte via l'interface DCUI ou ESXi Shell en tant qu'utilisateur racine uniquement pour le dépannage. Pour administrer vos hôtes ESXi, utilisez vSphere Client (ou VMware Host Client) ou l'une des interfaces utilisateur graphiques ou API VMware. Reportez-vous à la section Concepts et exemples d'ESXCLI. Si vous utilisez ESXi Shell ou SSH, limitez les comptes qui disposent d'un accès et définissez des délais d'expiration.
- N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.
- L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches que vous devez effectuer. VMware prend en charge uniquement les mises à niveau vers les modules provenant d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autre source, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Consultez les sites Web des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.
Note : Suivez les instructions de sécurité fournies par VMware, proposées sur la page
http://www.vmware.com/security/.