ESXi ハイパーバイザーは、初期状態でセキュリティ強化されています。さらに ESXi ホストを保護するには、ロックダウン モードや他の組み込み機能を使用できます。参照ホストを設定し、そのホストのホスト プロファイルに基づいてすべてのホストに変更を加える場合、またはスクリプトによる管理を実行する場合は、変更がすべてのホストに確実に適用されるようにして使用環境をさらに保護することができます。

このガイドで詳しく説明されている次の機能を使用して、vCenter Server によって管理される ESXi ホストの保護機能を強化します。『Security of the VMware vSphere Hypervisor』ホワイト ペーパーも参照してください。

ESXi アクセスの制限

デフォルトでは、ESXi Shell サービスと SSH サービスは実行されておらず、ルート ユーザーのみがダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。ESXi または SSH アクセスを有効化する場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。

ESXi ホストにアクセスできるユーザーには、ホストを管理するためのアクセス許可が必要です。ホスト オブジェクトでのアクセス許可は、ホストを管理する vCenter Server から設定します。

名前付きユーザーと最小限の権限の使用

多くのタスクは、デフォルトでルート ユーザーが実行できます。管理者がルート ユーザー アカウントを使用して ESXi ホストにログインできるようにする代わりに、vCenter Server のアクセス許可管理インターフェイスから、異なるホスト構成権限を異なる名前付きユーザーに適用することができます。vSphere Web Client から、カスタム ロールを作成し、そのロールに権限を割り当て、そのロールを名前付きユーザーと ESXi ホスト オブジェクトに関連付けることができます。

単一ホスト シナリオでは、ユーザーを直接に管理します。『vSphere Client による vSphere 管理』ドキュメントを参照してください。

開いている ESXi ファイアウォール ポートの数の最小化

ESXi ホストのファイアウォール ポートは、デフォルトで、対応するサービスを開始するときにのみ開かれます。vSphere Web Client、または ESXCLI コマンドや PowerCLI コマンドを使用して、ファイアウォール ポートのステータスを確認および管理できます。

ESXi ファイアウォールの構成 を参照してください。

ESXi ホスト管理の自動化

多くの場合、同じデータセンター内の異なるホストが同期されていることが重要なため、スクリプトによるインストールか vSphere Auto Deploy を使用してホストをプロビジョニングします。ホストはスクリプトを使用して管理できます。スクリプトによる管理の代わりに、ホスト プロファイルを使用することもできます。参照ホストを設定し、ホスト プロファイルをエクスポートし、そのプロファイルをホストに適用します。ホスト プロファイルは、直接適用するか、Auto Deploy によるプロビジョニングの一部として適用できます。

vSphere Auto Deploy の詳細については、ホストの構成設定を管理するスクリプトの使用および『vSphere のインストールとセットアップ』を参照してください。

ロックダウン モードの利用

ロックダウン モードの場合、ESXi ホストには、デフォルトで vCenter Server を介してのみアクセスできます。vSphere 6.0 以降では、厳密なロックダウン モードか通常ロックダウン モードを選択することができ、例外ユーザーを定義して、バックアップ エージェントなどのサービス アカウントへの直接アクセスを許可することができます。

ロックダウン モード を参照してください。

VIB パッケージの整合性の確認

各 VIB パッケージには許容レベルが関連付けられています。VIB は、許容レベルがホストの許容レベル以上の場合にのみ、ESXi ホストに追加することができます。CommunitySupported VIB または PartnerSupported VIB は、ホストの許容レベルを明示的に変更しない限り、ホストに追加することができません。

ホストと VIB の許容レベルの確認 を参照してください。

ESXi 証明書の管理

vSphere 6.0 以降では、VMware 認証局 (VMCA) により、VMCA をデフォルトでルート認証局とする署名証明書を使用して、各 ESXi ホストをプロビジョニングします。企業ポリシーで規定されている場合は、既存の証明書を、サードパーティ CA によって署名された証明書で置き換えることができます。

を参照してください。ESXi ホストの証明書管理

スマート カード認証

vSphere 6.0 以降、ESXi では、ユーザー名とパスワード認証に代わるオプションとしてスマート カード認証がサポートされます。

ESXi のスマート カード認証の構成 を参照してください。

ESXi アカウントのロックアウト

vSphere 6.0 以降では、SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。デフォルトでは、アカウントがロックされるまでに、最大 10 回のログイン試行の失敗が許可されています。アカウントはデフォルトで 2 分後にロック解除されます。

ESXi のパスワードとアカウントのロックアウト を参照してください。

スタンドアロン ホストのセキュリティの考慮事項は類似していますが、管理タスクは若干異なります。『vSphere Client による vSphere 管理』ドキュメントを参照してください。