La sécurité de l'interface de gestion ESXi joue un rôle essentiel dans la protection contre les intrusions non autorisées et les abus. Si un hôte est compromis de quelque façon que ce soit, les machines virtuelles avec lesquelles il interagit peuvent également être compromises. Pour réduire les risques d'attaque par le biais de l'interface de gestion, ESXi est protégé par un pare-feu intégré.
Pour protéger l'hôte contre une intrusion non autorisée et contre les abus, VMware impose des contraintes s'appliquant à plusieurs paramètres, valeurs et activités. Ces contraintes peuvent être assouplies pour répondre aux besoins de la configuration mais, si vous agissez ainsi, vous devez prendre des mesures pour protéger le réseau dans son ensemble ainsi que les périphériques connectés à l'hôte.
Examinez les recommandations suivantes lorsque vous évaluez la sécurité et l'administration de l'hôte.
- Pour améliorer la sécurité, limitez l'accès utilisateur à l'interface de gestion et appliquez des stratégies de sécurité d'accès telles que la configuration de restrictions pour les mots de passe.
- Ne concédez un accès en connexion à ESXi Shell qu'aux utilisateurs autorisés. Le produit ESXi Shell dispose d'un accès privilégié à certaines parties de l'hôte.
- Dans la mesure du possible, exécutez uniquement les processus, services et agents essentiels, tels que les analyses antivirus, et les sauvegardes de machines virtuelles.
- Dans la mesure du possible, utilisez vSphere Web Client ou un outil de gestion de réseau tiers pour administrer les hôtes ESXi au lieu d'utiliser l'interface de ligne de commande en tant qu'utilisateur racine. Lorsque vous utilisez vSphere Web Client, vous vous connectez toujours à l'hôte ESXi par le biais d'un système vCenter Server.
L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches qu'un opérateur doit exécuter. VMware ne prend pas en charge la mise à niveau de ces modules à partir d'une source autre que VMware. Lorsqu'un téléchargement ou un correctif provenant d'une autre source est utilisé, la sécurité ou les fonctions de l'interface de gestion risquent d'être compromises. Consultez régulièrement les sites des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.
Pour atténuer les risques courus par les hôtesESXi, vous pouvez utiliser d'autres méthodes en plus de la mise en œuvre du pare-feu.
- Assurez-vous que tous les ports de pare-feu qui ne sont pas spécifiquement nécessaires à l'accès pour la gestion de l'hôte sont fermés. Les ports doivent être spécifiquement ouverts si des services supplémentaires sont requis.
- Remplacez les certificats par défaut et n'activez pas de chiffrement faible. Par défaut, les chiffrements faibles sont désactivés et toutes les communications provenant des clients sont sécurisées par TLS. Les algorithmes exacts utilisés pour sécuriser le canal dépendent du protocole de négociation TLS. Les certificats par défaut créés sur ESXi utilisent SHA-1 avec chiffrement RSA comme algorithme de signature.
- Installez les correctifs de sécurité. VMware surveille toutes les alertes de sécurité pouvant affecter la sécurité d' ESXi et, le cas échéant, produit un correctif de sécurité.
- Les services non sécurisés tels que FTP et Telnet ne sont pas installés et les ports dédiés à ces services sont fermés. Étant donné que des services plus sécurisés tels que les protocoles SSH et SFTP sont largement disponibles, évitez toujours d'utiliser ces services peu sûrs et préférez-leur des alternatives plus sûres. Si vous devez utiliser des services non sécurisés, mettez en œuvre une protection suffisante pour les hôtes ESXi et ouvrez les ports correspondants.
Vous pouvez placer des hôtes ESXi en mode de verrouillage. Lorsque le mode de verrouillage est activé, l'hôte peut uniquement être géré à partir de vCenter Server. Aucun utilisateur autre que vpxuser ne dispose d'une autorisation d'authentification et les connexions directes à l'hôte sont rejetées.