これらのセキュリティ制御は、vSphere ハードウェア セキュリティのベスト プラクティスのベースライン セットを提供します。それらは、制御を実装した場合のメリットとトレードオフを説明する形で構成されています。

使用される変数

このセクションの PowerCLI コマンドでは、次の変数を使用します。

  • $ESXi = "host_name"

インテル Trusted Execution Technology の使用

システム ファームウェアでインテル Trusted Execution Technology (TXT) が使用可能な場合は、これが有効になっていることを確認します。

Intel Xeon スケーラブル プロセッサ プラットフォームには TXT が含まれており、プラットフォームとそのオペレーティング システムの信頼性を確保しています。TXT が有効な場合、ESXi はこのテクノロジーによって提供されるセキュリティ上の利点を利用します。

推奨値
アクティベーション済み
デフォルト値が変更された場合に受ける可能性のある影響
TXT の早期実装では、システムの突然のシャットダウン、 vCenter Server での証明アラームのトリガ、または起動エラーが発生する場合があります。システムを再起動するとこれらの問題は解決されますが、システム ファームウェアを更新すると、通常は永続的に解決されます。詳細については、VMware のナレッジベースの記事 ( https://kb.vmware.com/s/article/78243) を参照してください。
PowerCLI コマンドの評価 
(Get-VMHost -Name $ESXi | Get-View).Capability.TxtEnabled

UEFI セキュア ブートの構成

UEFI セキュア ブートが有効になっていることを確認します。

ESXi ホストのハードウェアで UEFI セキュア ブートを有効にすると、マルウェアや信頼されていない構成を防止できます。

推奨値
アクティベーション済み
デフォルト値が変更された場合に受ける可能性のある影響
インストール後に UEFI セキュア ブートを有効にすると、 ESXi ホストが起動しなくなることがあります。サンプル ホストで /usr/lib/vmware/secureboot/bin/secureBoot.py -c を実行して、セキュア ブートを安全に有効にできるかどうかを判断します。
PowerCLI コマンドの評価
該当なし

TPM 2.0 の使用

Trusted Platform Module (TPM) 2.0 が ESXi ホストに適切にインストールおよび構成されていることを確認します。

ESXi で TPM を使用すると、マルウェアの防止、依存関係の削除、ハードウェア ライフサイクル操作の保護を行う高度なセキュリティ機能を有効にできます。可能であれば、TPM 2.0 を使用するようにホストを構成し、システム ファームウェアで TPM を有効にします。

推奨値
TPM 2.0 がインストールおよびアクティベーションされています(SHA-256 ハッシュ、TIS/FIFO インターフェイス)
デフォルト値が変更された場合に受ける可能性のある影響
なし
PowerCLI コマンドの評価 
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmSupported
(Get-VMHost -Name $ESXi | Get-View).Capability.TpmVersion

ハードウェア ファームウェアが最新であることの確認

システムのすべてのコンポーネントに最新のファームウェア アップデートを適用し、ファームウェアが正規のファームウェアであり、ハードウェア メーカーから提供されていることを確認します。

ハードウェア ファームウェアは、機密性、整合性、または可用性に影響を与える深刻な問題の影響を受けます。攻撃者は、脆弱なシステム管理コントローラと管理エンジンを使用してパーシステンスを確立し、再起動および更新後もホストを再び感染させ、再び侵害することができます。

推奨値
該当なし
デフォルト値が変更された場合に受ける可能性のある影響
vSAN を使用する場合は、ストレージ デバイスとコントローラ ファームウェアのバージョンが認定されていることを確認します。
PowerCLI コマンドの評価
該当なし

セキュアな統合ハードウェア管理コントローラ

統合ハードウェア管理コントローラが完全に保護されていることを確認します。

多くのサーバにはハードウェア管理コントローラが統合されており、ハードウェア、設定、ファームウェアを監視および更新する際に非常に役立ちます。これらのコントロールに次の操作を実行します。

  • 未使用のすべての機能を無効にします。
  • 未使用のすべてのアクセス方法を無効にします。
  • パスワードとパスワードによる制御を設定します。
  • 仮想化管理チームに許可されたアクセス ワークステーションからのアクセスのみが行われるように、ファイアウォールとアクセス制御を設定します。

すべての「初回起動」構成オプション(挿入された USB デバイスからシステムを再構成するオプションなど)を無効にします。また、管理コントローラに接続されている USB ポートを無効にするか、保護します。可能であれば、キーボードのみを許可するように USB ポートを設定します。

アカウントのデフォルト パスワードを変更します。

安全な外部情報が表示されるようにして、情報の漏洩を防ぎます。電源ボタンと情報ボタンが不正使用されないように保護します。

多くのハードウェア管理コントローラには、ハードウェア障害や構成変更が発生したときにアラートを生成するメカニズムが備わっています。ハードウェア監視に別の方法を使用していない場合は、これらを使用することを検討してください。

推奨値
該当なし
デフォルト値が変更された場合に受ける可能性のある影響
接続方法を無効にすると、それ以降、デプロイされたサーバ全体でハードウェア管理コントローラの構成を監視および管理する方法が変更される可能性があります。可能であれば、追加の管理ソフトウェアまたはアプリケーションを使用する代わりに、スクリプト化できる CLI および API の管理方法を使用します。これらの手法を習得すると、時間を節約し、他のツールをインストールおよび保守するための追加作業を回避し、構成を適切に変更できます。
PowerCLI コマンドの評価
該当なし

統合ハードウェア管理コントローラの時刻の同期

統合ハードウェア管理コントローラの時刻が同期されていることを確認します。

暗号化、監査ログ、クラスタ操作、およびインシデント応答は、同期された時間に依存しています。この推奨事項は、インフラストラクチャ内のすべてのデバイスに拡張されます。Network Time Protocol (NTP) には、少なくとも 4 つのソースが必要です。2 つのソースか 1 つのソースかを選択する必要がある場合は、1 つのソースが推奨されます。

推奨値

サイト固有または:

0.vmware.pool.ntp.org、

1.vmware.pool.ntp.org、

2.vmware.pool.ntp.org、

3.vmware.pool.ntp.org

デフォルト値が変更された場合に受ける可能性のある影響
なし
PowerCLI コマンドの評価
該当なし

統合ハードウェア管理コントローラでの Active Directory の使用方法の保護

統合ハードウェア管理コントローラでの Active Directory の使用方法について、依存関係ループまたは攻撃ベクトルが作成されないようにします。

Active Directory への接続を無効にするか、少なくともこの接続が攻撃ベクトルおよび依存関係ループ(認証、認可、DNS、DHCP、時間)であると認識されるようにします。これらのデバイスのローカル アカウントは、API と CLI を使用して管理されるようにします。認証に Active Directory を使用する必要がある場合は、ローカル認証を使用して、Active Directory へのアクセス権を持つ攻撃者がグループ メンバーシップを介して自身を昇格できないようにします。

推奨値
該当なし
デフォルト値が変更された場合に受ける可能性のある影響
ハードウェア管理コントローラを統合認証ソースおよび認可ソースに接続していない場合は、追加の管理が必要になります。ほとんどのハードウェア管理コントローラには、プロセスを自動化するための CLI ツールキットまたは API が用意されています。
PowerCLI コマンドの評価
該当なし

仮想統合ハードウェア管理コントローラの無効化

内部、エミュレート、または仮想ネットワーク インターフェイスを持つ統合ハードウェア管理コントローラが無効になっていることを確認します。

一部のハードウェア管理コントローラには、仮想ネットワーク インターフェイスを管理インターフェイスとして ESXi に提供する機能があります。これらの方法により、アクセスのための潜在的なバック ドアが作成されます。攻撃者はこのバック ドアを使用して、ネットワークベースのファイアウォールと境界ファイアウォールがいずれの方向にも使用されないようにし、IDS、IPS、脅威分析ツールによる監視を回避することができます。多くの場合、この機能はホストの管理に確実に必要とは言えません。

推奨値
該当なし
デフォルト値が変更された場合に受ける可能性のある影響
内部ネットワークを無効にすると、ベンダー管理ツールの有効性が制限されることがあります。
PowerCLI コマンドの評価
該当なし

AMD Secure Encrypted Virtualization-Encrypted State の有効化

AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) がシステム ファームウェアで使用可能な場合は、これが有効になっていることを確認します。Minimum SEV non-ES ASID の値が、SEV-ES 仮想マシンの数に 1 を加えた値と等しいことを確認します。

AMD EPYC プラットフォームは SEV-ES をサポートしています。このテクノロジーは、メモリと CPU レジスタの状態を暗号化してハイパーバイザーへの可視性を制限したり、ワークロード のセキュリティを強化したり、特定のタイプの攻撃にさらされるリスクを軽減したりします。SEV-ES が適切に構成されている場合は、vSphere および vSphere with Tanzu の仮想マシンおよびコンテナ上にあるゲスト OS のセキュリティが強化されます。システム ファームウェアで SEV-ES を有効にすると、これ以降に仮想マシン、コンテナ、ゲスト OS 内で有効にする作業が容易になります。

推奨値
アクティベーション済み(Minimum SEV non-ES ASID の値が、SEV-ES 仮想マシンの数に 1 を加えた値と等しい)
デフォルト値が変更された場合に受ける可能性のある影響
仮想マシンのゲスト OS は SEV-ES をサポートする必要があるため、vMotion、スナップショットなどの一部の機能が制限されます。これらのトレードオフの詳細については、 SEV-ES でサポートされていない VMware の機能を参照してください。
PowerCLI コマンドの評価
該当なし

Virtual Intel Software Guard Extensions (vSGX) の有効化

システム ファームウェアで Virtual Intel® Software Guard Extensions (vSGX) が使用可能な場合は、これが有効になっていることを確認します。

Intel Xeon スケーラブル プロセッサ プラットフォームには、アプリケーションがシステム メモリ内のデータを保護するのに役立つ Software Guard Extensions (SGX) テクノロジーが搭載されています。適切に構成されている vSphere は、仮想マシン内での SGX の使用をサポートします。システム ファームウェアで SGX を有効にすると、これ以降に仮想マシンおよびゲスト OS 内を有効にする作業が容易になります。

推奨値
推奨︰アクティベーション済み(ソフトウェア、ロック解除済み)
デフォルト値が変更された場合に受ける可能性のある影響
仮想マシンのゲスト OS は vSGX をサポートする必要があるため、vMotion、スナップショットなどの一部の機能が制限されます。これらのトレードオフの詳細については、 vSGX でサポートされない VMware の機能を参照してください。
PowerCLI コマンドの評価 
(Get-VMHost -Name $ESXi | Get-View).Capability.SgxRegistrationSupported

外部ポートの無効化

未使用の外部ポートが無効になっているか、不正使用から保護されていることを確認します。

未使用のポート(USB など)は、攻撃者がストレージ、ネットワーク、およびキーボードを接続するために使用される可能性があります。合理的な手順でこれらのポートへのアクセスを制御するには、無効化やアクセス制御を行います。可能な場合は、ラック ドアを閉じたときにラックの外側からポートにアクセスできないように、頑丈なラック ドア、ラック サイド パネル、フローリングなどの他の手段を使用します。ケーブルはラックやラック ドアおよびその周囲にある多くの隙間に簡単に通すことができるほかに、硬いワイヤを使用してラックの外側からケーブルをソケットに押し込んだり、ケーブルを取り外してサービスを中断させたりできる点にご注意くさい。

可能であれば、キーボードのみを許可するように USB ポートを設定します。

このタイプの機能を無効にする場合は、停止中またはライフサイクル操作の実行中に、USB キーボードを使用してサーバにアクセスし、適切に計画する必要が生じる可能性があることを考慮してください。

推奨値
該当なし
デフォルト値が変更された場合に受ける可能性のある影響
セキュリティには常に妥協があります。外部ポートの無効化などのセキュリティ制御について検討する場合は、停止やインシデントからのリカバリが容易になるようにします。この場合、外部ポートを無効にすると、緊急時に ESXi コンソールを使用する機能が影響を受けます。
サーバによっては、管理のために特定の USB ポートの無効化や有効化を動的に実行できる場合があります。このセキュリティ制御を選択することが組織のニーズを満たしていることを確認し、これらの方法を実装する前にテストするようにしてください。
PowerCLI コマンドの評価
該当なし