ESXi ハイパーバイザーは、初期状態でセキュリティ強化されています。さらに ESXi ホストを保護するには、ロックダウン モードや他の組み込み機能を使用できます。一貫性を保つために、リファレンス ホストを設定し、すべてのホストをこのホストのホスト プロファイルに常に同期させることができます。また、スクリプトによる管理を実行し、変更を確実にすべてのホストに適用することで、使用環境を保護することもできます。

次のアクションを実施すると、vCenter Server が管理する ESXi ホストの保護を強化できます。背景や詳細については、『Security of the VMware vSphere Hypervisor』のホワイト ペーパーを参照してください。

ESXi アクセスを制限する

デフォルトでは、ESXi Shell サービスと SSH サービスは実行されておらず、root ユーザーのみがダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。ESXi または SSH アクセスを有効化する場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。

ESXi ホストにアクセスできるユーザーには、ホストを管理するためのアクセス許可が必要です。ホスト オブジェクトに対する権限は、ホストを管理する vCenter Server システムから設定します。

名前付きユーザーと最小限の権限の使用

デフォルトで、root ユーザーは多くのタスクを実行できます。管理者が root ユーザー アカウントを使用して ESXi ホストにログインすることは、許可しないようにします。代わりに、vCenter Server から特定の管理者ユーザーを作成し、それらのユーザーに管理者ロールを割り当てます。これらのユーザーに、カスタム ロールを割り当てることもできます。カスタム ロールの作成を参照してください。

ホスト上で直接ユーザーを管理している場合は、ロール管理オプションは制限されます。『vSphere 単一ホスト管理:VMware Host Client』ドキュメントを参照してください。

開いている ESXi ファイアウォール ポートの数の最小化

ESXi ホストのファイアウォール ポートは、デフォルトで、対応するサービスを開始するときにのみ開かれます。vSphere Web Client、または ESXCLI コマンドや PowerCLI コマンドを使用して、ファイアウォール ポートのステータスを確認および管理できます。

ESXi ファイアウォールの構成を参照してください。

ESXi ホスト管理の自動化

多くの場合、同じデータセンター内の異なるホストが同期されていることが重要なため、スクリプトによるインストールか vSphere Auto Deploy を使用してホストをプロビジョニングします。ホストはスクリプトを使用して管理できます。ホスト プロファイルは、スクリプトによる管理の代替となる機能です。リファレンス ホストを設定し、ホスト プロファイルをエクスポートし、そのプロファイルをすべてのホストに適用します。ホスト プロファイルは、直接適用するか、Auto Deploy によるプロビジョニングの一部として適用できます。

vSphere Auto Deploy の詳細については、ホストの構成設定を管理するスクリプトの使用および『vSphere のインストールとセットアップ』ドキュメントを参照してください。

ロックダウン モードの利用

ロックダウン モードの場合、ESXi ホストには、デフォルトで vCenter Server を介してのみアクセスできます。vSphere 6.0 以降では、厳密なロックダウン モードか通常ロックダウン モードを選択することができます。例外ユーザーを定義して、バックアップ エージェントなどのサービス アカウントへの直接アクセスを許可することができます。

ロックダウン モードを参照してください。

VIB パッケージの整合性の確認

各 VIB パッケージには許容レベルが関連付けられています。VIB は、VIB 許容レベルがホストの許容レベル以上の場合にのみ、ESXi ホストに追加することができます。CommunitySupported VIB または PartnerSupported VIB は、ホストの許容レベルを明示的に変更しない限り、ホストに追加することができません。

ホストと VIB の許容レベルの管理を参照してください。

ESXi 証明書の管理

vSphere 6.0 以降では、VMware Certificate Authority (VMCA) により、VMCA をデフォルトでルート認証局とする署名証明書を使用して、各 ESXi ホストをプロビジョニングします。企業ポリシーで規定されている場合は、既存の証明書を、サードパーティまたはエンタープライズ認証局 (CA) によって署名された証明書で置き換えることができます。

ESXi ホストの証明書管理を参照してください。

スマート カード認証の検討

vSphere 6.0 以降、ESXi では、ユーザー名とパスワードの認証の代わりにスマート カード認証の使用がサポートされます。セキュリティ強化のために、スマート カード認証を設定できます。vCenter Server 用に 2 要素認証もサポートされます。

ESXi のスマート カード認証の構成を参照してください。

ESXi アカウント ロックアウトの検討

vSphere 6.0 以降では、SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 10 回許容されています。デフォルトでは 2 分後に、アカウントのロックが解除されます。

注:

ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。

ESXi のパスワードとアカウントのロックアウトを参照してください。

スタンドアロン ホストのセキュリティの考慮事項は類似していますが、管理タスクは若干異なります。『vSphere 単一ホスト管理:VMware Host Client』ドキュメントを参照してください。