Per proteggere un host ESXi da intrusioni e usi scorretti, VMware impone vincoli su diversi parametri, impostazioni e attività. Per soddisfare le esigenze di configurazione, è possibile allentare i vincoli. In tal caso, assicurarsi di lavorare in un ambiente attendibile e adottare altre misure di sicurezza.
Funzionalità di sicurezza integrate ESXi
ESXi consente di ridurre i rischi per gli host nel modo seguente:
- Per impostazione predefinita, l'interfaccia di ESXi Shell e l'interfaccia SSH sono disattivate. Mantenere queste interfacce disattivate a meno che non si stiano eseguendo attività di risoluzione dei problemi o di supporto. Per le attività quotidiane, utilizzare vSphere Client, in cui l'attività è soggetta al controllo degli accessi in base al ruolo e ai moderni metodi di controllo degli accessi.
- Per impostazione predefinita, solo alcune porte del firewall sono aperte. È possibile aprire esplicitamente le porte del firewall associate a servizi specifici.
- Per impostazione predefinita, tutte le porte che non sono necessarie per l'accesso di gestione all'host sono chiuse. Se sono necessari servizi aggiuntivi, aprire le porte.
- ESXi esegue solo servizi essenziali per la gestione delle relative funzioni. La distribuzione è limitata alle funzionalità richieste per l'esecuzione di ESXi.
- Per impostazione predefinita, le crittografie deboli vengono disattivate e le comunicazioni dai client vengono protette tramite SSL. Gli algoritmi esatti utilizzati per proteggere il canale dipendono dall'handshake SSL. I certificati predefiniti creati su ESXi utilizzano PKCS#1 SHA-256 con crittografia RSA come algoritmo di firma.
- Un servizio Web interno viene utilizzato da ESXi per supportare l'accesso dei client Web. Il servizio è stato modificato per eseguire solo le funzioni richieste da un client Web per l'amministrazione e il monitoraggio. Di conseguenza, ESXi non è vulnerabile ai problemi di sicurezza dei servizi Web segnalati in un uso più ampio.
- VMware monitora tutti gli avvisi di sicurezza che possono riguardare la sicurezza di ESXi e invia una patch di sicurezza, se necessario. È possibile effettuare la sottoscrizione alla mailing list di VMware Security Advisories e Security Alerts per ricevere gli avvisi di sicurezza. Vedere la pagina Web all'indirizzo http://lists.vmware.com/mailman/listinfo/security-announce.
- I servizi non sicuri, come FTP e Telnet, non vengono installati e le porte di questi servizi sono chiuse per impostazione predefinita.
- Per proteggere gli host dal caricamento di driver e applicazioni senza firma crittografica, utilizzare l'avvio sicuro UEFI. L'attivazione dell'avvio sicuro viene eseguita nel BIOS di sistema. Nell'host ESXi, ad esempio nelle partizioni del disco, non sono necessarie modifiche aggiuntive alla configurazione. Vedere Avvio protetto UEFI per gli host ESXi.
- Se l'host ESXi è dotato di un chip TPM 2.0, abilitare e configurare il chip nel BIOS di sistema. Grazie all'avvio sicuro, TPM 2.0 offre una sicurezza migliorata nell'hardware. Vedere Protezione degli host ESXi con Trusted Platform Module.
- In ESXi 8.0 e versioni successive, è possibile eseguire il processo SSH in un dominio sandbox. La shell dispone quindi di privilegi ridotti e consente l'accesso solo a un sottoinsieme limitato di comandi. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/87386.
Adottare ulteriori misure di sicurezza ESXi
Tenere presenti i consigli seguenti durante la valutazione della sicurezza e dell'amministrazione dell'host.
- Limitare l'accesso agli host ESXi
- Se si attiva l'accesso all'interfaccia utente di Direct Console (DCUI), ESXi Shell o SSH, applica criteri di protezione come l'accesso limitato.
- Non accedere direttamente agli host ESXi gestiti
- Utilizzare vSphere Client per amministrare host ESXi gestiti da un vCenter Server. Non accedere agli host gestiti direttamente con VMware Host Client e non modificare gli host gestiti da DCUI.
- Uso di DCUI solo per la risoluzione dei problemi
- Accedere all'host da DCUI o da ESXi Shell come utente root solo per la risoluzione dei problemi. Per amministrare gli host ESXi, utilizzare vSphere Client (o VMware Host Client) o una delle CLI o delle API VMware. Vedere Concetti ed esempi di ESXCLI. Se si utilizza ESXi Shell o SSH, limitare gli account con accesso e impostare i timeout.
- Uso di sole origini VMware per aggiornare i componenti ESXi
- L'host esegue diversi pacchetti di terze parti per supportare le interfacce o le attività di gestione che è necessario eseguire. VMware supporta solo gli aggiornamenti a questi pacchetti provenienti da un'origine VMware. Se si utilizza un download o una patch da un'altra origine, è possibile compromettere la sicurezza o le funzioni dell'interfaccia di gestione. Verificare la presenza di avvisi di sicurezza nei siti dei vendor di terze parti e nella Knowledge Base di VMware.
Nota: Seguire gli avvisi di sicurezza di VMware disponibili all'indirizzo
http://www.vmware.com/security/.