VMware は、不正侵入や不正使用から ESXi ホストを保護するために、パラメータ、設定、およびアクティビティに制約を設けています。構成上の必要に応じて、制約を緩和できます。その場合は、信頼できる環境で作業していることを確認し、他のセキュリティ対策を講じるようにします。
組み込みのセキュリティ機能
次のようにホストのリスクが低減されています。
- ESXi Shell および SSH インターフェイスはデフォルトで無効になっています。トラブルシューティングまたはサポート アクティビティを実行する場合以外は、これらのインターフェイスは無効のままにしてください。日常のアクティビティでは、vSphere Client を使用します。そのため、アクティビティはロールベースのアクセス制御および最新のアクセス制御方法の影響を受けます。
- デフォルトでは、限られた数のファイアウォール ポートのみが開いています。特定のサービスに関連付けられている追加のファイアウォール ポートを明示的に開くことができます。
- ESXi は、その機能の管理に不可欠なサービスのみを実行します。ESXi の実行に必要な機能しか配布できません。
- デフォルトでは、ホストを管理するために必要でないポートは、すべて閉じられています。追加のサービスが必要な場合は、ポートを開きます。
- デフォルトでは、強度の低い暗号は無効になっており、クライアントからの通信は SSL で保護されます。チャネルの保護に使用するアルゴリズムは、SSL ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化の PKCS#1 SHA-256 を使用します。
- Web クライアントによるアクセスをサポートするため、ESXi によって内部 Web サービスが使用されています。このサービスは、管理と監視のために Web クライアントで必要な機能のみを実行するように修正されています。そのため、ESXi は、さまざまな使用環境で報告されている Web サービスのセキュリティ問題による脆弱性に対応できます。
- VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。「VMware Security Advisories」およびセキュリティ アラートのメーリング リストを購読して、セキュリティ関連の警告を受け取ることができます。http://lists.vmware.com/mailman/listinfo/security-announceの Web ページを参照してください。
- FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用のポートはデフォルトで閉じられています。
- 暗号で署名されていないドライバやアプリケーションがホストでロードされないようにするには、UEFI セキュア ブートを使用します。セキュア ブートの有効化は、システム BIOS で実行します。ESXi ホストで、ディスク パーティションなどに対して追加の設定変更を行う必要はありません。ESXi ホストの UEFI セキュア ブートを参照してください。
- ESXi ホストに TPM 2.0 チップが搭載されている場合は、システム BIOS でチップを有効にして設定します。TPM 2.0 は、セキュア ブートと連携することでセキュリティを強化し、ハードウェア内のルートに信頼保証を配置します。Trusted Platform Module による ESXi ホストの保護を参照してください。
追加のセキュリティ対策
ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。
- アクセスを制限する
- ダイレクト コンソール ユーザー インターフェイス (DCUI)、 ESXi Shell、または SSH へのアクセスを有効にする場合、厳格なアクセス セキュリティ ポリシーを適用します。
- 管理対象ホストに直接アクセスしない
- vSphere Client を使用して、 vCenter Server の管理下にある ESXi ホストを管理します。 VMware Host Client を使用して管理対象ホストに直接アクセスせず、DCUI から管理対象ホストを変更しないようにします。
- トラブルシューティングを行う場合にのみ DCUI を使用する
- トラブルシューティングを行う場合にのみ、DCUI または ESXi Shell から root ユーザーとしてホストにアクセスします。 ESXi ホストを管理するには、GUI クライアントのいずれか、または VMware CLI や API のいずれかを使用します。 ESXCLI の概念と範例( https://code.vmware.com/) を参照してください。 ESXi Shell または SSH を使用する場合は、アクセス権を持つアカウントを制限し、タイムアウト時間を設定します。
- ESXi コンポーネントのアップグレードには VMware ソースのみを使用する
- ホストは、いくつかのサードパーティ製パッケージを実行して、管理インターフェイスや実行する必要のあるタスクをサポートします。VMware では、VMware ソースから提供されたこれらのパッケージへのアップグレードのみをサポートします。VMware が提供したものでないパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや VMware のナレッジベースの記事を確認してください。
注:
http://www.vmware.com/security/から入手可能な VMware のセキュリティ情報の指示に従ってください。