これらのセキュリティ制御は、vSphere ハードウェア セキュリティのベスト プラクティスのベースライン セットを提供します。それらは、制御を実装した場合のメリットとトレードオフを説明する形で構成されています。
使用される変数
このセクションの PowerCLI コマンドでは、次の変数を使用します。
- $ESXi = "host_name"
インテル Trusted Execution Technology の使用
システム ファームウェアでインテル Trusted Execution Technology (TXT) が使用可能な場合は、これが有効になっていることを確認します。
Intel Xeon スケーラブル プロセッサ プラットフォームには TXT が含まれており、プラットフォームとそのオペレーティング システムの信頼性を確保しています。TXT が有効な場合、ESXi はこのテクノロジーによって提供されるセキュリティ上の利点を利用します。
- デフォルト値が変更された場合に受ける可能性のある影響
- TXT の早期実装では、システムの突然のシャットダウン、 vCenter Server での証明アラームのトリガ、または起動エラーが発生する場合があります。システムを再起動するとこれらの問題は解決されますが、システム ファームウェアを更新すると、通常は永続的に解決されます。詳細については、VMware のナレッジベースの記事 ( https://kb.vmware.com/s/article/78243) を参照してください。
UEFI セキュア ブートの構成
UEFI セキュア ブートが有効になっていることを確認します。
ESXi ホストのハードウェアで UEFI セキュア ブートを有効にすると、マルウェアや信頼されていない構成を防止できます。
TPM 2.0 の使用
Trusted Platform Module (TPM) 2.0 が ESXi ホストに適切にインストールおよび構成されていることを確認します。
ESXi で TPM を使用すると、マルウェアの防止、依存関係の削除、ハードウェア ライフサイクル操作の保護を行う高度なセキュリティ機能を有効にできます。可能であれば、TPM 2.0 を使用するようにホストを構成し、システム ファームウェアで TPM を有効にします。
ハードウェア ファームウェアが最新であることの確認
システムのすべてのコンポーネントに最新のファームウェア アップデートを適用し、ファームウェアが正規のファームウェアであり、ハードウェア メーカーから提供されていることを確認します。
ハードウェア ファームウェアは、機密性、整合性、または可用性に影響を与える深刻な問題の影響を受けます。攻撃者は、脆弱なシステム管理コントローラと管理エンジンを使用してパーシステンスを確立し、再起動および更新後もホストを再び感染させ、再び侵害することができます。
セキュアな統合ハードウェア管理コントローラ
統合ハードウェア管理コントローラが完全に保護されていることを確認します。
多くのサーバにはハードウェア管理コントローラが統合されており、ハードウェア、設定、ファームウェアを監視および更新する際に非常に役立ちます。これらのコントロールに次の操作を実行します。
- 未使用のすべての機能を無効にします。
- 未使用のすべてのアクセス方法を無効にします。
- パスワードとパスワードによる制御を設定します。
- 仮想化管理チームに許可されたアクセス ワークステーションからのアクセスのみが行われるように、ファイアウォールとアクセス制御を設定します。
すべての「初回起動」構成オプション(挿入された USB デバイスからシステムを再構成するオプションなど)を無効にします。また、管理コントローラに接続されている USB ポートを無効にするか、保護します。可能であれば、キーボードのみを許可するように USB ポートを設定します。
アカウントのデフォルト パスワードを変更します。
安全な外部情報が表示されるようにして、情報の漏洩を防ぎます。電源ボタンと情報ボタンが不正使用されないように保護します。
多くのハードウェア管理コントローラには、ハードウェア障害や構成変更が発生したときにアラートを生成するメカニズムが備わっています。ハードウェア監視に別の方法を使用していない場合は、これらを使用することを検討してください。
統合ハードウェア管理コントローラの時刻の同期
統合ハードウェア管理コントローラの時刻が同期されていることを確認します。
暗号化、監査ログ、クラスタ操作、およびインシデント応答は、同期された時間に依存しています。この推奨事項は、インフラストラクチャ内のすべてのデバイスに拡張されます。Network Time Protocol (NTP) には、少なくとも 4 つのソースが必要です。2 つのソースか 1 つのソースかを選択する必要がある場合は、1 つのソースが推奨されます。
統合ハードウェア管理コントローラでの Active Directory の使用方法の保護
統合ハードウェア管理コントローラでの Active Directory の使用方法について、依存関係ループまたは攻撃ベクトルが作成されないようにします。
Active Directory への接続を無効にするか、少なくともこの接続が攻撃ベクトルおよび依存関係ループ(認証、認可、DNS、DHCP、時間)であると認識されるようにします。これらのデバイスのローカル アカウントは、API と CLI を使用して管理されるようにします。認証に Active Directory を使用する必要がある場合は、ローカル認証を使用して、Active Directory へのアクセス権を持つ攻撃者がグループ メンバーシップを介して自身を昇格できないようにします。
仮想統合ハードウェア管理コントローラの無効化
内部、エミュレート、または仮想ネットワーク インターフェイスを持つ統合ハードウェア管理コントローラが無効になっていることを確認します。
一部のハードウェア管理コントローラには、仮想ネットワーク インターフェイスを管理インターフェイスとして ESXi に提供する機能があります。これらの方法により、アクセスのための潜在的なバック ドアが作成されます。攻撃者はこのバック ドアを使用して、ネットワークベースのファイアウォールと境界ファイアウォールがいずれの方向にも使用されないようにし、IDS、IPS、脅威分析ツールによる監視を回避することができます。多くの場合、この機能はホストの管理に確実に必要とは言えません。
AMD Secure Encrypted Virtualization-Encrypted State の有効化
AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) がシステム ファームウェアで使用可能な場合は、これが有効になっていることを確認します。Minimum SEV non-ES ASID の値が、SEV-ES 仮想マシンの数に 1 を加えた値と等しいことを確認します。
AMD EPYC プラットフォームは SEV-ES をサポートしています。このテクノロジーは、メモリと CPU レジスタの状態を暗号化してハイパーバイザーへの可視性を制限したり、ワークロード のセキュリティを強化したり、特定のタイプの攻撃にさらされるリスクを軽減したりします。SEV-ES が適切に構成されている場合は、vSphere および vSphere with Tanzu の仮想マシンおよびコンテナ上にあるゲスト OS のセキュリティが強化されます。システム ファームウェアで SEV-ES を有効にすると、これ以降に仮想マシン、コンテナ、ゲスト OS 内で有効にする作業が容易になります。
- デフォルト値が変更された場合に受ける可能性のある影響
- 仮想マシンのゲスト OS は SEV-ES をサポートする必要があるため、vMotion、スナップショットなどの一部の機能が制限されます。これらのトレードオフの詳細については、 SEV-ES でサポートされていない VMware の機能を参照してください。
Virtual Intel Software Guard Extensions (vSGX) の有効化
システム ファームウェアで Virtual Intel® Software Guard Extensions (vSGX) が使用可能な場合は、これが有効になっていることを確認します。
Intel Xeon スケーラブル プロセッサ プラットフォームには、アプリケーションがシステム メモリ内のデータを保護するのに役立つ Software Guard Extensions (SGX) テクノロジーが搭載されています。適切に構成されている vSphere は、仮想マシン内での SGX の使用をサポートします。システム ファームウェアで SGX を有効にすると、これ以降に仮想マシンおよびゲスト OS 内を有効にする作業が容易になります。
- デフォルト値が変更された場合に受ける可能性のある影響
- 仮想マシンのゲスト OS は vSGX をサポートする必要があるため、vMotion、スナップショットなどの一部の機能が制限されます。これらのトレードオフの詳細については、 vSGX でサポートされない VMware の機能を参照してください。
外部ポートの無効化
未使用の外部ポートが無効になっているか、不正使用から保護されていることを確認します。
未使用のポート(USB など)は、攻撃者がストレージ、ネットワーク、およびキーボードを接続するために使用される可能性があります。合理的な手順でこれらのポートへのアクセスを制御するには、無効化やアクセス制御を行います。可能な場合は、ラック ドアを閉じたときにラックの外側からポートにアクセスできないように、頑丈なラック ドア、ラック サイド パネル、フローリングなどの他の手段を使用します。ケーブルはラックやラック ドアおよびその周囲にある多くの隙間に簡単に通すことができるほかに、硬いワイヤを使用してラックの外側からケーブルをソケットに押し込んだり、ケーブルを取り外してサービスを中断させたりできる点にご注意くさい。
可能であれば、キーボードのみを許可するように USB ポートを設定します。
このタイプの機能を無効にする場合は、停止中またはライフサイクル操作の実行中に、USB キーボードを使用してサーバにアクセスし、適切に計画する必要が生じる可能性があることを考慮してください。