VMware は、不正侵入や不正使用から ESXi ホストを保護するために、パラメータ、設定、およびアクティビティに制約を設けています。構成上の必要に応じて、制約を緩和できます。緩和する場合は、信頼できる環境で作業していることを確認し、他の適切なセキュリティ対策を十分に取ることでネットワーク全体とホストの接続デバイスを保護してください。

組み込みのセキュリティ機能

初期設定では、次のようにホストのリスクが低減されています。

  • ESXi Shell および SSH はデフォルトで無効になっています。

  • デフォルトでは、限られた数のファイアウォール ポートのみが開いています。特定のサービスに関連付けられている追加のファイアウォール ポートを明示的に開くことができます。

  • ESXi は、その機能の管理に不可欠なサービスのみを実行します。ESXi の実行に必要な機能しか配布できません。

  • デフォルトでは、ホストを管理するために必要でないポートは、すべて閉じられています。追加サービスが必要な場合、そのためにポートを開く必要があります。

  • デフォルトでは、強度の低い暗号は無効になっており、クライアントからの通信は SSL で保護されます。チャネルの保護に使用するアルゴリズムは、SSL ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化の PKCS#1 SHA-256 を使用します。

  • Tomcat Web サービスは、Web クライアントからのアクセスをサポートするため、ESXi によって内部で使用されます。このサービスは、Web クライアントによる管理および監視に必要な機能のみを実行するように修正されています。そのため、ESXi は、さまざまな使用環境で報告されている Tomcat のセキュリティ問題による脆弱性に対応できます。

  • VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。

  • FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用のポートはデフォルトで閉じられています。SSH や SFTP など、よりセキュアなサービスを簡単に使用できるため、これらの安全性の高いサービスを選択し、セキュリティ保護されていないサービスの使用は避けるようにしてください。たとえば、SSH を使用できず Telnet を使用する必要がある場合、SSL を使用した Telnet を使用して仮想シリアル ポートにアクセスします。

    セキュリティ保護されていないサービスを使用する必要があり、ホストに十分な保護を実装している場合は、明示的にポートを開くことで対応できます。

追加のセキュリティ対策

ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。

アクセスを制限する

ダイレクト コンソール ユーザー インターフェイス (DCUI)、ESXi Shell、または SSH へのアクセスを有効にする場合、厳格なアクセス セキュリティ ポリシーを適用します。

ESXi Shell には、ホストの特定の分野に対するアクセス権があります。ESXi Shell へのログインおよびアクセス権限は信頼できるユーザーのみに付与してください。

管理対象ホストに直接アクセスしない

vSphere Web Client を使用して、vCenter Server の管理下にある ESXi ホストを管理します。vSphere Client で管理対象ホストに直接アクセスしないでください。また、ホストの DCUI から管理対象ホストに変更を加えないでください。

スクリプト インターフェイスまたは API を使用してホストを管理する場合、ホストを直接ターゲットとして指定しないでください。代わりに、ホストを管理する vCenter Server システムをターゲットにして、ホスト名を指定します。

vSphere Client や、VMware CLI または API を使用して、スタンドアロン ESXi ホストを管理する

vSphere Client や、VMware CLI または API のいずれかを使用して、ESXi ホストを管理します。トラブルシューティングを行う場合にのみ、DCUI または ESXi Shell から root ユーザーとしてホストにアクセスします。ESXi Shell を使用する場合、アクセス権でアカウントを制限し、タイムアウトを設定します。

ESXi コンポーネントのアップグレードには VMware ソースのみを使用する

ホストは、さまざまなサードパーティ製のパッケージを実行して、管理インターフェイスや実行する必要のあるタスクをサポートします。VMware は、VMware が提供するもの以外、パッケージのアップグレードをサポートしていません。VMware が提供したものでないパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや VMware のナレッジベースを定期的に確認してください。

注:

http://www.vmware.com/security/から入手可能な VMware のセキュリティ情報の指示に従ってください。