L'hyperviseur ESXi est sécurisé par défaut. Vous pouvez renforcer la protection des hôtes ESXi en utilisant le mode de verrouillage et d'autres fonctionnalités intégrées. À des fins d'uniformité, vous pouvez définir un hôte de référence et laisser tous les hôtes en synchronisation avec le profil de l'hôte de référence. Vous pouvez également protéger votre environnement en effectuant une gestion chiffrée, qui garantit que les modifications sont appliquées à tous les hôtes.

Vous pouvez renforcer la protection des hôtes ESXi qui sont gérés par vCenter Server en effectuant les actions suivantes. Les considérations de sécurité pour les hôtes autonomes sont identiques, bien que les tâches de gestion puissent différer. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Limiter l'accès à ESXi

Par défaut, les services ESXi Shell et SSH ne s'exécutent pas et seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe (DCUI). Si vous décidez d'activer l'accès à ESXi ou SSH, vous pouvez définir des délais d'expiration pour limiter le risque d'accès non autorisé. Les hôtes pouvant accéder à l'hôte ESXi doivent disposer d'autorisations de gestion de l'hôte. Ces autorisations se définissent sur l'objet hôte du système vCenter Server qui gère l'hôte.

Reportez-vous à la section Utilisation du ESXi Shell.

Utiliser des utilisateur nommés et le moindre privilège

Par défaut, l'utilisateur racine peut effectuer de nombreuses tâches. N'autorisez pas les administrateurs à se connecter à l'hôte ESXi en utilisant le compte d'utilisateur racine. Au lieu de cela, créez des utilisateurs Administrateur nommés à partir de vCenter Server et attribuez-leur le rôle d'administrateur. Vous pouvez également attribuer à ces utilisateurs un rôle personnalisé. Reportez-vous à la section Créer un rôle personnalisé vCenter Server.

Si vous gérez les utilisateurs directement sur l'hôte, les options de gestion des rôles sont limitées. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Réduire le nombre de ports de pare-feu ESXi ouverts

Par défaut, les ports de pare-feu de votre hôte ESXi sont uniquement ouverts lorsque vous démarrez un service correspondant. Vous pouvez utiliser les commandes de vSphere Client, ESXCLI ou PowerCLI pour vérifier et gérer l'état des ports du pare-feu.

Reportez-vous à la section Configuration du pare-feu ESXi.

Automatiser la gestion de l'hôte ESXi

Parce qu'il est souvent important que les différents hôtes d'un même centre de données soient synchronisés, utilisez l'installation basée sur scripts ou vSphere Auto Deploy pour provisionner les hôtes. Vous pouvez gérer les hôtes à l'aide de scripts. Les profils d'hôte sont une alternative à la gestion chiffrée. Vous définissez un hôte de référence, exportez le profil d'hôte et appliquez celui-ci à tous les hôtes. Vous pouvez appliquer le profil d'hôte directement ou dans le cadre du provisionnement avec Auto Deploy.

Consultez Utiliser des scripts pour gérer des paramètres de configuration d'hôte ESXi et Installation et configuration de vCenter Server pour plus d'informations sur vSphere Auto Deploy.

Exploiter le mode de verrouillage d'ESXi

En mode de verrouillage, les hôtes ESXi sont, par défaut, uniquement accessibles par le biais de vCenter Server. Vous pouvez sélectionner le mode de verrouillage strict ou le mode de verrouillage normal. Vous pouvez définir des utilisateurs exceptionnels pour autoriser l'accès direct aux comptes de service, tels que les agents de sauvegarde.

Reportez-vous à la section Configuration et gestion du mode de verrouillage sur les hôtes ESXi.

Vérifier l'intégrité du module VIB

Un niveau d'acceptation est associé à chaque bundle d'installation vSphere (VIB). Vous pouvez ajouter un VIB à un hôte ESXi uniquement si son niveau d'acceptation est identique ou supérieur au niveau d'acceptation de l'hôte. Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported à un hôte, sauf si vous modifiez explicitement le niveau d’acceptation de l’hôte.

Reportez-vous à la section Gérer les niveaux d'acceptation des hôtes ESXi et des bundles d'installation vSphere.

Gérer les certificats ESXi

VMware Certificate Authority (VMCA) fournit à chaque hôte ESXi un certificat signé dont VMCA est l'autorité de certification racine par défaut. Si la stratégie de votre entreprise l'exige, vous pouvez remplacer les certificats existants par des certificats signés par une autorité de certification d'entreprise ou tierce.

Reportez-vous à la section Gestion de certificats pour les hôtes ESXi.

Envisager l'authentification par carte à puce pour ESXi

ESXi prend en charge l'utilisation de l'authentification par carte à puce plutôt que l'authentification par nom d'utilisateur et mot de passe. L'authentification à deux facteurs est également prise en charge pour vCenter Server. Vous pouvez configurer l'authentification par nom d'utilisateur et mot de passe, et l'authentification par carte à puce en même temps.

Reportez-vous à la section Configuration et gestion de l'authentification par carte à puce pour ESXi.

Envisager le verrouillage des comptes ESXi

Le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. Par défaut, un nombre maximal de 5 échecs de tentative de connexion est autorisé avant le verrouillage du compte. Le compte est déverrouillé au bout de 15 minutes par défaut.
Note : L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte.

Reportez-vous à la section Verrouillage des mots de passe et des comptes ESXi.