VMware は、不正侵入や不正使用から ESXi ホストを保護するために、パラメータ、設定、およびアクティビティに制約を設けています。構成上の必要に応じて、制約を緩和できます。その場合は、信頼できる環境で作業していることを確認し、他のセキュリティ対策を講じるようにします。
組み込みのセキュリティ機能
初期設定では、次のようにホストのリスクが低減されています。
- ESXi Shell および SSH はデフォルトで無効になっています。
- デフォルトでは、限られた数のファイアウォール ポートのみが開いています。特定のサービスに関連付けられている追加のファイアウォール ポートを明示的に開くことができます。
- ESXi は、その機能の管理に不可欠なサービスのみを実行します。ESXi の実行に必要な機能しか配布できません。
- デフォルトでは、ホストを管理するために必要でないポートは、すべて閉じられています。追加のサービスが必要な場合は、ポートを開きます。
- デフォルトでは、強度の低い暗号は無効になっており、クライアントからの通信は SSL で保護されます。チャネルの保護に使用するアルゴリズムは、SSL ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化の PKCS#1 SHA-256 を使用します。
- Web クライアントによるアクセスをサポートするため、内部では ESXi によって Tomcat Web サービスが使用されています。このサービスは、管理と監視のために Web クライアントで必要な機能のみを実行するように修正されています。そのため、ESXi は、さまざまな使用環境で報告されている Tomcat のセキュリティ問題による脆弱性に対応できます。
- VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。
- FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用のポートはデフォルトで閉じられています。SSH や SFTP など、よりセキュアなサービスを容易に使用できるため、これらの安全性の高いサービスを選択し、セキュリティ保護されていないサービスの使用は避けるようにしてください。たとえば、SSH を使用できず Telnet を使用する必要がある場合、SSL を使用した Telnet を使用して仮想シリアル ポートにアクセスします。
セキュリティ保護されていないサービスを使用する必要があり、ホストに十分な保護を実装している場合は、明示的にポートを開くことで対応できます。
- ESXi システムで UEFI セキュア ブートを使用することを検討します。ESXi ホストの UEFI セキュア ブートを参照してください。
追加のセキュリティ対策
ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。
- アクセスを制限する
- ダイレクト コンソール ユーザー インターフェイス (DCUI)、 ESXi Shell、または SSH へのアクセスを有効にする場合、厳格なアクセス セキュリティ ポリシーを適用します。
- 管理対象ホストに直接アクセスしない
- vSphere Web Client を使用して、 vCenter Server の管理下にある ESXi ホストを管理します。 VMware Host Client を使用して管理対象ホストに直接アクセスせず、DCUI から管理対象ホストを変更しないようにします。
- トラブルシューティングを行う場合にのみ DCUI を使用する
- トラブルシューティングを行う場合にのみ、DCUI または ESXi Shell から root ユーザーとしてホストにアクセスします。 ESXi ホストを管理するには、GUI クライアントのいずれか、または VMware CLI や API のいずれかを使用します。 ESXi Shell または SSH を使用する場合は、アクセス権を持つアカウントを制限し、タイムアウト時間を設定します。
- ESXi コンポーネントのアップグレードには VMware ソースのみを使用する
- ホストは、いくつかのサードパーティ製パッケージを実行して、管理インターフェイスや実行する必要のあるタスクをサポートします。VMware では、VMware ソースから提供されたこれらのパッケージへのアップグレードのみをサポートします。VMware が提供したものでないパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや VMware のナレッジベースの記事を確認してください。
注:
http://www.vmware.com/security/から入手可能な VMware のセキュリティ情報の指示に従ってください。