ESXiハイパーバイザーは、初期状態でセキュリティ強化されています。さらに ESXi ホストを保護するため、ロックダウン モードや他の組み込み機能を使用できます。一貫性を維持するには、リファレンス ホストを設定して、このホストのホスト プロファイルにすべてのホストを同期させることができます。また、スクリプトによる管理を実行し、確実にすべてのホストに変更を適用することで、使用環境を保護することもできます。

次のアクションを実施すると、vCenter Server が管理する ESXi ホストの保護を強化できます。背景や詳細については、『Security of the VMware vSphere Hypervisor』のホワイト ペーパーを参照してください。

ESXiアクセスの制限

デフォルトでは、 ESXi Shell サービスと SSH サービスは実行されておらず、root ユーザーのみがダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。 ESXiまたは SSH アクセスを有効にする場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。

ESXiホストにアクセスできるユーザーには、ホストを管理する権限が必要です。ホスト オブジェクトに対する権限は、ホストを管理する vCenter Server システムから設定します。

特定ユーザーと最小限の権限の使用

デフォルトで、root ユーザーは多くのタスクを実行できます。管理者が root ユーザー アカウントを使用して ESXi ホストにログインすることを許可しないようにしてください。代わりに、 vCenter Server から特定の管理者ユーザーを作成し、それらのユーザーに管理者ロールを割り当てます。これらのユーザーに、カスタム ロールを割り当てることもできます。「 カスタム ロールの作成」を参照してください。

ホスト上で直接ユーザーを管理している場合は、ロール管理オプションは制限されます。『 vSphere の単一ホスト管理：VMware Host Client』を参照してください。

開いている ESXi ファイアウォール ポートの数の最小化

デフォルトで ESXi ホストのファイアウォール ポートは、対応するサービスを開始するときにのみ開かれます。 vSphere Client、または ESXCLI コマンドや PowerCLI コマンドを使用して、ファイアウォール ポートのステータスを確認および管理できます。

ESXi ファイアウォールの構成を参照してください。

ESXiホスト管理の自動化

多くの場合、同じデータセンター内のさまざまなホストが同期されていることが重要です。これを実現するには、スクリプトによるインストールか vSphere Auto Deploy を使用してホストをプロビジョニングします。ホストはスクリプトを使用して管理できます。ホスト プロファイルは、スクリプトによる管理の代替となる機能です。リファレンス ホストを設定し、ホスト プロファイルをエクスポートし、そのプロファイルをすべてのホストに適用します。ホスト プロファイルは、直接適用するか、Auto Deploy によるプロビジョニングの一部として適用できます。

vSphere Auto Deploy の詳細については、 ホストの構成設定を管理するスクリプトの使用および『 vCenter Server のインストールとセットアップ』を参照してください。

ロックダウン モードの利用

ロックダウン モードでは、 ESXi ホストはデフォルトで、 vCenter Server を介してのみアクセスできます。vSphere 6.0 以降では、厳密なロックダウン モードか通常ロックダウン モードを選択することができます。例外ユーザーを定義して、バックアップ エージェントなどのサービス アカウントへの直接アクセスを許可することができます。

ロックダウン モードを参照してください。

VIB パッケージの整合性の確認

各 VIB パッケージには許容レベルが関連付けられています。VIB は、VIB 許容レベルがホストの許容レベル以上の場合にのみ、 ESXi ホストに追加することができます。CommunitySupported VIB または PartnerSupported VIB は、ホストの許容レベルを明示的に変更しない限り、ホストに追加することができません。

ホストと VIB の許容レベルの管理を参照してください。

ESXi証明書の管理

vSphere 6.0 以降では、VMware Certificate Authority (VMCA) により、デフォルトで VMCA をルート認証局とする署名証明書を使用して、各 ESXi ホストをプロビジョニングします。企業ポリシーで規定されている場合は、サードパーティまたはエンタープライズ認証局 (CA) によって署名された証明書で、既存の証明書を置き換えることができます。

ESXi ホストの証明書管理を参照してください。

スマート カード認証の検討

vSphere 6.0 以降、 ESXi では、ユーザー名とパスワードの認証の代わりにスマート カード認証の使用がサポートされます。セキュリティ強化のために、スマート カード認証を設定できます。 vCenter Server用に 2 要素認証もサポートされます。ユーザー名およびパスワードによる認証と同時に、スマート カード認証も設定できます。

ESXi のスマート カード認証の構成を参照してください。

ESXiアカウント ロックアウトの検討

vSphere 6.0 以降では、SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 10 回許容されています。デフォルトでは 2 分後に、アカウントのロックが解除されます。

注： ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。

ESXi のパスワードとアカウントのロックアウトを参照してください。

スタンドアローン ホストのセキュリティの考慮事項と類似していますが、管理タスクは若干異なります。『vSphere の単一ホスト管理：VMware Host Client』を参照してください。