L'hypervisor ESXi è protetto per impostazione predefinita. È possibile proteggere ulteriormente gli host ESXi utilizzando la modalità di blocco e altre funzionalità integrate. Per garantire la coerenza, è possibile configurare un host di riferimento e tenere tutti gli host sincronizzati con il profilo host dell'host di riferimento. È inoltre possibile proteggere l'ambiente eseguendo una gestione controllata da script, che garantisce l'applicazione delle modifiche a tutti gli host.

È possibile migliorare la protezione degli host ESXi gestiti da vCenter Server tramite le seguenti azioni. Le considerazioni sulla sicurezza degli host autonomi sono simili anche se le attività di gestione potrebbero essere diverse. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.

Limitazione dell'accesso a ESXi

Per impostazione predefinita, i servizi ESXi Shell e SSH non sono in esecuzione e solo l'utente root può accedere a Direct Console User Interface (DCUI). Se si decide di abilitare l'accesso a ESXi o SSH, è possibile impostare timeout per limitare il rischio di accesso non autorizzato. Gli utenti che possono accedere all'host ESXi devono disporre delle autorizzazioni necessarie per gestire l'host. Le autorizzazioni per l'oggetto host vengono impostate dal sistema vCenter Server che gestisce l'host.

Vedere Utilizzo della ESXi Shell.

Utilizzo degli utenti denominati e dei privilegi minimi

Per impostazione predefinita, l'utente root può eseguire numerose attività. Non consentire agli amministratori di accedere all'host ESXi utilizzando l'account utente root. Al contrario, creare utenti amministratori denominati da vCenter Server e assegnare a tali utenti il ruolo Amministratore. È anche possibile assegnare un ruolo personalizzato a tali utenti. Vedere Creazione di un ruolo personalizzato di vCenter Server.

Se si gestiscono gli utenti direttamente nell'host, le opzioni di gestione dei ruoli sono limitate. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.

Riduzione al minimo del numero di porte del firewall di ESXi aperte

Per impostazione predefinita, le porte del firewall nell'host ESXi vengono aperte solo quando si avvia un servizio corrispondente. È possibile utilizzare i comandi di vSphere Client, ESXCLI o PowerCLI per controllare e gestire lo stato della porta del firewall.

Vedere Configurazione del firewall ESXi.

Automazione della gestione dell'host ESXi

Poiché è spesso importante che diversi host nello stesso data center siano sincronizzati, utilizzare l'installazione controllata da script o vSphere Auto Deploy per eseguire il provisioning degli host. È possibile gestire gli host utilizzando gli script. I profili host rappresentano un'alternativa alla gestione controllata da script. Configurare un host di riferimento, esportare il profilo host e applicare il profilo host a tutti gli host. È possibile applicare il profilo host direttamente o come parte del provisioning con Auto Deploy.

Vedere Utilizzo degli script per gestire le impostazioni di configurazione dell'host ESXi e consultare la documentazione Installazione e configurazione di vCenter Server per informazioni su vSphere Auto Deploy.

Utilizzo della modalità di blocco di ESXi

In modalità di blocco, è possibile accedere agli host ESXi solo tramite vCenter Server per impostazione predefinita. È possibile selezionare la modalità di blocco rigida o la modalità di blocco normale. È possibile definire utenti eccezione per consentire l'accesso diretto agli account di servizio come gli agenti di backup.

Vedere Configurazione e gestione della modalità di blocco sugli host ESXi.

Controllo dell'integrità del pacchetto VIB

Ogni pacchetto VIB (vSphere Installation Bundle) è associato a un livello di accettazione. È possibile aggiungere un VIB in un host ESXi solo se il livello di accettazione del VIB è uguale o migliore del livello di accettazione dell'host. Non è possibile aggiungere un VIB CommunitySupported o PartnerSupported in un host a meno che non si modifichi esplicitamente il livello di accettazione dell'host.

Vedere Gestione dei livelli di accettazione degli host ESXi e dei bundle di installazione di vSphere.

Gestione dei certificati di ESXi

Per impostazione predefinita, VMware Certificate Authority (VMCA) fornisce a ogni host ESXi un certificato firmato con VMCA come autorità di certificazione root. Se i criteri dell'azienda lo richiedono, è possibile sostituire i certificati esistenti con certificati firmati da un'autorità di certificazione di terze parti o da un'autorità di certificazione aziendale.

Vedere Gestione dei certificati per gli host ESXi.

Autenticazione smart card per ESXi

ESXi supporta l'utilizzo dell'autenticazione con smart card anziché l'autenticazione con nome utente e password. Anche per vCenter Server è supportata l'autenticazione a due fattori. È possibile configurare contemporaneamente l'autenticazione con nome utente e password e l'autenticazione smart card.

Vedere Configurazione e gestione dell'autenticazione smart card per ESXi.

Blocco dell'account ESXi

Il blocco dell'account è supportato per l'accesso tramite SSH e tramite vSphere Web Services SDK. Per impostazione predefinita, è consentito un massimo di cinque tentativi non riusciti prima che l'account venga bloccato. Per impostazione predefinita, l'account viene sbloccato dopo 15 minuti.
Nota: L'interfaccia DCUI (Direct Console Interface) e ESXi Shell non supportano il blocco dell'account.

Vedere Password e blocco dell'account ESXi.