VMware では、不正侵入や不正使用からホストを保護するために、パラメータ、設定、およびアクティビティに制約が設けられています。構成上の必要性に応じて、制約を緩和できます。緩和する場合は、信頼できる環境で作業していることを確認し、他の適切なセキュリティ対策を十分に取ることでネットワーク全体とホストの接続デバイスを保護してください。

ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。

  • ユーザー アクセスを制限する。

    セキュリティを強化するには、ダイレクト コンソール ユーザー インターフェイス (DCUI) と ESXi Shell へのユーザー アクセスを制限し、パスワード制限などを設定してアクセス セキュリティ ポリシーを実施します。

    ESXi Shell には、ホストの特定の部分に対するアクセス権があります。ESXi Shell にログインしてアクセスする権限は信頼できるユーザーのみに付与してください。

  • vSphere Client を使用して、スタンドアロン ESXi ホストを管理します。

    root ユーザーとしてコマンドライン インターフェイスを使用する代わりに、可能な場合は必ず、vSphere Client、またはサードパーティ製のネットワーク管理ツールを使用して ESXi ホストを管理します。vSphere Client を使用して ESXi Shell へのアクセス権を持つアカウントを制限し、責任を安全に委譲して、またロールを設定し、システム管理者やユーザーが不必要な機能を使用することを防止できます。

  • vSphere Web Client を使用して、vCenter Server によって管理されている ESXi ホストを管理します。vSphere Client で管理対象ホストに直接アクセスしないでください。また、ホストの DCUI から管理対象ホストに変更を加えないでください。

  • ESXi コンポーネントのアップグレードには、VMware ソースのみを使用します。

    ホストは、さまざまなサードパーティ製のパッケージを実行して、実行する必要のある管理インターフェイスやタスクをサポートします。VMware 製品では、VMware ソース以外からのパッケージのアップグレードをサポートしていません。別のソースからダウンロードしたパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや当社のナレッジ ベースを定期的に確認してください。

ファイアウォールを実装するだけでなく、ほかの方法も使用してホストのリスクを軽減しています。

  • ESXi はその機能の管理に必要なサービスだけを実行し、ディストリビューションは ESXi の実行に必要な機能に制限されます。

  • デフォルトでは、ホストを管理するためのアクセスに特に必要でないポートは、すべて閉じられています。追加サービスが必要な場合、ポートを特別に開く必要があります。

  • デフォルトでは、強度の低い暗号は無効になっており、クライアントからのすべての通信は SSL で保護されます。チャネルの保護に使用する的確なアルゴリズムは、SSL ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化による PKCS#1 SHA-256 を使用します。

  • Tomcat Web サービスは、Web クライアントからのアクセスをサポートするために、ESXi により内部的に使用されます。このサービスは、Web クライアントによる管理および監視に必要な機能のみを実行するように変更されています。その結果、ESXi は、さまざまな使用場面で報告されている Tomcat のセキュリティ問題による脆弱性に対応できます。

  • VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。

  • FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。 これらのサービス用のポートはデフォルトで閉じられています。SSH や SFTP など、よりセキュアなサービスを簡単に使用できるため、これらの安全性の高いサービスを選択し、セキュリティ保護されていないサービスの使用は避けるようにしてください。たとえば、Telnet ではなく、SSL を使用した Telnet を使用して仮想シリアル ポートにアクセスします。セキュリティ保護されていないサービスを使用する必要があり、ホストに十分な保護を実装している場合は、明示的にポートを開いてサポートを行なってください。

注:

http://www.vmware.com/security/ から入手可能な当社のセキュリティ報告の指示に従ってください。