Questi controlli di sicurezza forniscono un set di basi di confronto delle procedure consigliate per la sicurezza dell'hardware vSphere. Sono strutturati in modo da spiegare i vantaggi e i compromessi dell'implementazione del controllo.

Variabili utilizzate

I comandi di PowerCLI in questa sezione utilizzano la variabile seguente:

  • $ESXi = "host_name"

Utilizzo della tecnologia Intel Trusted Execution Technology

Assicurarsi che la tecnologia Intel Trusted Execution Technology (TXT) sia attivata, se disponibile nel firmware di sistema.

Le piattaforme basate su processori scalabili Intel Xeon dispongono di TXT, che fornisce l'autenticità di una piattaforma e del relativo sistema operativo. Quando questa opzione è attivata, ESXi sfrutta i vantaggi di sicurezza offerti da questa tecnologia.

Valore suggerito
Attivato
Impatto potenziale se il valore predefinito viene modificato
Le prime implementazioni di TXT causavano occasionalmente arresti improvvisi del sistema, attivando allarmi di attestazione in vCenter Server o persino errori di avvio. Un riavvio del sistema risolve questi problemi, mentre un aggiornamento al firmware del sistema in genere lo risolve definitivamente. Vedere l'articolo della knowledge base VMware all'indirizzo https://kb.vmware.com/s/article/78243.
Valutazione del comando tramite PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.TxtEnabled

Configurazione dell'avvio sicuro UEFI

Assicurarsi che l'avvio sicuro UEFI sia attivato.

L'attivazione dell'avvio sicuro UEFI nell'hardware di un host ESXi consente di prevenire malware e configurazioni non attendibili.

Valore suggerito
Attivato
Impatto potenziale se il valore predefinito viene modificato
L'attivazione dell'avvio sicuro UEFI dopo l'installazione potrebbe impedire l'avvio di un host ESXi. Eseguire /usr/lib/vmware/secureboot/bin/secureBoot.py -c in un host di esempio per determinare se è possibile attivare l'avvio sicuro.
Valutazione del comando tramite PowerCLI
N/D

Utilizzo di TPM 2.0

Assicurarsi che negli host ESXi un Trusted Platform Module (TPM) 2.0 sia installato e configurato correttamente.

ESXi può utilizzare un TPM per attivare funzionalità di sicurezza avanzate in grado di prevenire malware, rimuovere le dipendenze e proteggere le operazioni del ciclo di vita dell'hardware. Quando possibile, configurare gli host in modo che utilizzino TPM 2.0 e attivare il TPM nel firmware di sistema.

Valore suggerito
TPM 2.0 installato e attivato (hashing SHA-256, interfaccia TIS/FIFO)
Impatto potenziale se il valore predefinito viene modificato
Nessuno
Valutazione del comando tramite PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmSupported
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmVersion

Assicurarsi che il firmware hardware sia aggiornato

Assicurarsi di applicare gli aggiornamenti del firmware più recenti a tutti i componenti dei sistemi e che il firmware sia autentico e fornito dal produttore dell'hardware.

Il firmware hardware non è immune da problemi gravi che influiscono sulla riservatezza, l'integrità o la disponibilità. Gli utenti malintenzionati possono utilizzare controller di gestione del sistema vulnerabili e motori di gestione per stabilire la persistenza e infettare e compromettere di nuovo gli host dopo i riavvii e gli aggiornamenti.

Valore suggerito
N/D
Impatto potenziale se il valore predefinito viene modificato
Se si utilizza vSAN, assicurarsi che le versioni del dispositivo di storage e del firmware del controller siano certificate.
Valutazione del comando tramite PowerCLI
N/D

Controller di gestione hardware integrati protetti

Assicurarsi che i controller di gestione hardware integrati siano completamente protetti.

Molti server dispongono di controller di gestione hardware integrati che possono essere estremamente utili durante il monitoraggio e l'aggiornamento di hardware, impostazioni e firmware. Per questi controller:

  • Disattivare tutte le funzionalità inutilizzate.
  • Disabilitare tutti i metodi di accesso inutilizzati.
  • Impostare password e controlli password.
  • Impostare firewall e controllo degli accessi in modo che l'accesso venga eseguito solo dalle workstation di accesso autorizzate per il team di amministrazione della virtualizzazione.

Disattivare tutte le opzioni di configurazione "al primo avvio", in particolare quelle che riconfigurano il sistema da un dispositivo USB inserito. Disattivare o proteggere inoltre le porte USB collegate ai controller di gestione. Laddove possibile, impostare le porte USB in modo che consentano solo le tastiere.

Modificare le password predefinite per gli account.

Proteggere la visualizzazione di informazioni esterne per evitare la perdita di informazioni. Proteggere i pulsanti di alimentazione e le informazioni contro l'uso non autorizzato.

Molti controller di gestione hardware forniscono meccanismi di avviso quando si verificano errori hardware e modifiche della configurazione. È consigliabile utilizzarli se non si utilizza un altro metodo per il monitoraggio dell'hardware.

Valore suggerito
N/D
Impatto potenziale se il valore predefinito viene modificato
La disattivazione dei metodi di connessione potrebbe causare modifiche future del monitoraggio e della gestione delle configurazioni del controller di gestione hardware nei server distribuiti. Se possibile, utilizzare i metodi di gestione CLI e API che è possibile eseguire tramite script anziché utilizzare applicazioni o software di gestione aggiuntivi. L'apprendimento di queste tecniche consente di risparmiare tempo, evita ulteriori sforzi di installazione e manutenzione di strumenti aggiuntivi e consente modifiche tempestive della configurazione.
Valutazione del comando tramite PowerCLI
N/D

Sincronizzazione dell'ora su controller di gestione hardware integrati

Assicurarsi di sincronizzare l'ora nei controller di gestione hardware integrati.

La crittografia, la registrazione di controllo, le operazioni del cluster e le risposte agli incidenti dipendono dall'ora sincronizzata. Questo consiglio si estende a tutti i dispositivi dell'infrastruttura. Il protocollo NTP (Network Time Protocol) deve avere almeno quattro origini. Se è necessario scegliere tra due origini e un'origine, è preferibile un'origine.

Valore suggerito

Specifico del sito o:

0.vmware.pool.ntp.org,

1.vmware.pool.ntp.org,

2.vmware.pool.ntp.org,

3.vmware.pool.ntp.org

Impatto potenziale se il valore predefinito viene modificato
Nessuno
Valutazione del comando tramite PowerCLI
N/D

Protezione dell'utilizzo di Active Directory da parte dei controller di gestione hardware integrati

Assicurarsi di non creare un ciclo di dipendenze o un vettore di attacco nel modo in cui i controller di gestione hardware integrati utilizzano Active Directory.

Disattivare le connessioni ad Active Directory o, come minimo, considerarle come vettori di attacco e cicli di dipendenze (per autenticazione, autorizzazione, DNS, DHCP e tempo). È consigliabile gestire gli account locali su questi dispositivi tramite API e CLI. Se è necessario utilizzare Active Directory per l'autenticazione, utilizzare l'autorizzazione locale in modo che gli utenti malintenzionati con accesso ad Active Directory non possano promuoversi tramite l'iscrizione al gruppo.

Valore suggerito
N/D
Impatto potenziale se il valore predefinito viene modificato
La mancata connessione dei controller di gestione hardware alle origini di autenticazione e autorizzazione centralizzate comporta una gestione aggiuntiva. La maggior parte dei controller di gestione hardware dispone di toolkit CLI o API per automatizzare il processo.
Valutazione del comando tramite PowerCLI
N/D

Disattivazione dei controller di gestione hardware integrati virtuali

Assicurarsi che i controller di gestione hardware integrati con interfacce di rete interne, emulate o virtuali siano disattivate.

Alcuni controller di gestione hardware possono presentare le interfacce della rete virtuale per ESXi come interfacce di gestione. Questi approcci creano potenziali back door per l'accesso che gli avversari possono utilizzare per aggirare i firewall basati sulla rete e perimetrali, in entrambe le direzioni, ed evitare l'osservazione da parte di IDS, IPS e strumenti di analisi delle minacce. In molti casi, questa funzionalità non è strettamente necessaria per gestire gli host.

Valore suggerito
N/D
Impatto potenziale se il valore predefinito viene modificato
La disattivazione della rete interna potrebbe limitare l'efficacia dello strumento di gestione dei fornitori.
Valutazione del comando tramite PowerCLI
N/D

Attivazione di Secure Encrypted Virtualization-Encrypted State di AMD

Assicurarsi che Secure Encrypted Virtualization-Encrypted State (SEV-ES) di AMD sia attivato, se disponibile nel firmware di sistema. Assicurarsi che il valore di ASID SEV non ES minimo sia uguale al numero di macchine virtuali SEV-ES più una.

Le piattaforme EPYC AMD supportano SEV-ES, una tecnologia per crittografare lo stato di registrazione della memoria e della CPU e limitare la visibilità all'hypervisor per aumentare la sicurezza del carico di lavoro e ridurre l'esposizione a determinati tipi di attacchi. Se configurato correttamente, SEV-ES offre sicurezza avanzata al sistema operativo guest nelle macchine virtuali e nei contenitori vSphere e vSphere with Tanzu. L'attivazione di SEV-ES nel firmware del sistema semplifica l'abilitazione futura all'interno di macchine virtuali, contenitori e sistemi operativi guest.

Valore suggerito
Attivato (il valore minimo SEV non-ES ASID è uguale al numero di macchine virtuali SEV-ES più una)
Impatto potenziale se il valore predefinito viene modificato
Il sistema operativo guest di una macchina virtuale deve supportare SEV-ES, pertanto limita alcune funzionalità, come vMotion, snapshot e così via. Per ulteriori informazioni su tali compromessi, vedere Funzionalità VMware non supportate su SEV-ES.
Valutazione del comando tramite PowerCLI
N/D

Attivazione di Virtual Intel Software Guard Extensions (vSGX)

Assicurarsi che Virtual Intel® Software Guard Extensions (vSGX) sia attivato, se disponibile nel firmware di sistema.

Le piattaforme Intel Xeon Scalable Processor dispongono di Software Guard Extensions, o SGX, una tecnologia che consente alle applicazioni di proteggere i dati nella memoria di sistema. Se configurata correttamente, vSphere supporta l'utilizzo di SGX nelle macchine virtuali. L'abilitazione di SGX nel firmware di sistema semplifica l'abilitazione futura all'interno delle macchine virtuali e dei sistemi operativi guest.

Valore suggerito
Suggerito: Attivato (software, sbloccato)
Impatto potenziale se il valore predefinito viene modificato
Il sistema operativo guest di una macchina virtuale deve supportare vSGX. Pertanto, limita alcune funzionalità come vMotion, snapshot e così via. Per ulteriori informazioni su tali compromessi, vedere Funzionalità VMware non supportate in vSGX.
Valutazione del comando tramite PowerCLI
(Get-VMHost -Name $ESXi | Get-View).Capability.SgxRegistrationSupported

Disattivazione delle porte esterne

Assicurarsi che le porte esterne inutilizzate siano disattivate o protette dall'uso non autorizzato.

Le porte inutilizzate, in particolare USB, possono essere utilizzate dagli utenti malintenzionati per collegare storage, rete e tastiere. Effettuare il possibile per controllare l'accesso a queste porte tramite la disabilitazione e il controllo dell'accesso. Laddove possibile, utilizzare altri mezzi come porte a rack solidi, pannelli laterali del rack e flooring per rendere le porte inaccessibili dall'esterno del rack quando la porta del rack è chiusa. Si tenga presente che i cavi entrano facilmente in molte fessure all'interno e intorno a rack e alle porte dei rack e i fili rigidi possono essere utilizzati per spingere i cavi in prese dall'esterno del rack, nonché per rimuovere i cavi per creare un'interruzione del servizio.

Laddove possibile, impostare le porte USB in modo che consentano solo le tastiere.

Quando si disattiva questo tipo di funzionalità, tenere presente che potrebbe essere necessario accedere a un server utilizzando una tastiera USB durante un'interruzione o come parte delle operazioni del ciclo di vita e pianificare di conseguenza.

Valore suggerito
N/D
Impatto potenziale se il valore predefinito viene modificato
La sicurezza è sempre un compromesso. Quando si considera un controllo di sicurezza come la disattivazione di porte esterne, includervi la facilità del ripristino da un'interruzione o un evento imprevisto. In questo caso, la disattivazione di porte esterne influisce sulla possibilità di utilizzare la console ESXi in caso di emergenza.
Alcuni server possono disattivare e attivare dinamicamente determinate porte USB per la gestione. Assicurarsi che la scelta di questo controllo di sicurezza soddisfi le esigenze della propria organizzazione e di testare questi metodi prima di implementarli.
Valutazione del comando tramite PowerCLI
N/D