ESXiハイパーバイザーは、初期状態でセキュリティ強化されています。さらにESXiホストを保護するため、ロックダウン モードや他の組み込み機能を使用できます。一貫性を維持するには、リファレンス ホストを設定して、このホストのホスト プロファイルにすべてのホストを同期させることができます。また、スクリプトによる管理を実行し、確実にすべてのホストに変更を適用することで、使用環境を保護することもできます。

次のアクションを実施すると、vCenter Serverが管理するESXi ホストの保護を強化できます。背景や詳細については、『Security of the VMware vSphere Hypervisor』のホワイト ペーパーを参照してください。

ESXiアクセスの制限

デフォルトでは、 ESXi Shellサービスと SSH サービスは実行されておらず、root ユーザーのみがダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。 ESXiまたは SSH アクセスを有効にする場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。

ESXiホストにアクセスできるユーザーには、ホストを管理する権限が必要です。ホスト オブジェクトに対する権限は、ホストを管理する vCenter Serverシステムから設定します。

特定ユーザーと最小限の権限の使用

デフォルトで、root ユーザーは多くのタスクを実行できます。管理者が root ユーザー アカウントを使用して ESXiホストにログインすることを許可しないようにしてください。代わりに、 vCenter Serverから特定の管理者ユーザーを作成し、それらのユーザーに管理者ロールを割り当てます。これらのユーザーに、カスタム ロールを割り当てることもできます。「 vCenter Server カスタム ロールの作成」を参照してください。

ホスト上で直接ユーザーを管理している場合は、ロール管理オプションは制限されます。『 vSphere の単一ホスト管理：VMware Host Client』を参照してください。

開いている ESXiファイアウォール ポートの数の最小化

デフォルトで ESXiホストのファイアウォール ポートは、対応するサービスを開始するときにのみ開かれます。 vSphere Client、または ESXCLI コマンドや PowerCLI コマンドを使用して、ファイアウォール ポートのステータスを確認および管理できます。

ESXi ファイアウォールの構成を参照してください。

ESXiホスト管理の自動化

多くの場合、同じデータセンター内のさまざまなホストが同期されていることが重要です。これを実現するには、スクリプトによるインストールか vSphere Auto Deploy を使用してホストをプロビジョニングします。ホストはスクリプトを使用して管理できます。ホスト プロファイルは、スクリプトによる管理の代替となる機能です。リファレンス ホストを設定し、ホスト プロファイルをエクスポートし、そのプロファイルをすべてのホストに適用します。ホスト プロファイルは、直接適用するか、Auto Deploy によるプロビジョニングの一部として適用できます。

vSphere Auto Deploy の詳細については、 ホストの構成設定を管理するスクリプトの使用および『 vCenter Server のインストールとセットアップ』を参照してください。

ロックダウン モードの利用

ロックダウン モードでは、 ESXiホストはデフォルトで、 vCenter Server を介してのみアクセスできます。厳密なロックダウン モードまたは通常のロックダウン モードを選択できます。バックアップ エージェントなどのサービス アカウントへの直接アクセスを許可するように例外ユーザーを定義できます。

ロックダウン モードを参照してください。

VIB パッケージの整合性の確認

各 VIB パッケージには許容レベルが関連付けられています。VIB は、VIB 許容レベルがホストの許容レベル以上の場合にのみ、 ESXiホストに追加することができます。CommunitySupported VIB または PartnerSupported VIB は、ホストの許容レベルを明示的に変更しない限り、ホストに追加することができません。

ホストと VIB の許容レベルの管理を参照してください。

ESXi証明書の管理

VMware Certificate Authority (VMCA) は、VMCA をデフォルトでルート認証局とする署名証明書を使用して、各 ESXiホストをプロビジョニングします。企業ポリシーで規定されている場合は、サードパーティまたはエンタープライズ認証局 (CA) によって署名された証明書で、既存の証明書を置き換えることができます。

ESXi ホストの証明書管理を参照してください。

スマート カード認証の検討

ESXiでは、ユーザー名とパスワードの認証の代わりにスマート カード認証の使用がサポートされます。セキュリティ強化のために、スマート カード認証を設定できます。 vCenter Server用に 2 要素認証もサポートされます。ユーザー名およびパスワードによる認証と同時に、スマート カード認証も設定できます。

ESXi のスマート カード認証の構成を参照してください。

ESXiアカウント ロックアウトの検討

SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 10 回許容されています。デフォルトでは 2 分後に、アカウントのロックが解除されます。

注： ダイレクト コンソール インターフェイス (DCUI) と ESXi Shellでは、アカウント ロックアウトはサポートされていません。

ESXi のパスワードとアカウントのロックアウトを参照してください。

スタンドアローン ホストのセキュリティの考慮事項と類似していますが、管理タスクは若干異なります。『vSphere の単一ホスト管理：VMware Host Client』を参照してください。