VMware は、不正侵入や不正使用から ESXi ホストを保護するために、パラメータ、設定、およびアクティビティに制約を設けています。この制約は、構成のニーズを満たすために緩和することができます。その場合は、信頼できる環境で作業していることを確認し、他のセキュリティ対策を講じるようにします。
ESXi の組み込みセキュリティ機能について
ESXi は、次のようにホストのリスクを軽減します。
- ESXi Shell インターフェイスと SSH インターフェイスはデフォルトで無効になっています。トラブルシューティングまたはサポート アクティビティを実行する場合以外は、これらのインターフェイスは無効のままにしてください。日常のアクティビティでは、vSphere Client を使用します。そのため、アクティビティはロールベースのアクセス制御および最新のアクセス制御方法の影響を受けます。
- デフォルトでは、一部のファイアウォール ポートのみが開いています。特定のサービスに関連付けられているファイアウォール ポートを明示的に開くことができます。
- デフォルトでは、ホストを管理するために必要でないポートは、すべて閉じられています。追加のサービスが必要な場合は、ポートを開きます。
- ESXi は、その機能の管理に不可欠なサービスのみを実行します。ESXi の実行に必要な機能しか配布できません。
- デフォルトでは、強度の低い暗号は無効になっており、クライアントからの通信は SSL で保護されます。チャネルの保護に使用するアルゴリズムは、SSL ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化の PKCS#1 SHA-256 を使用します。
- Web クライアントによるアクセスをサポートするため、ESXi によって内部 Web サービスが使用されています。このサービスは、管理と監視のために Web クライアントで必要な機能のみを実行するように修正されています。そのため、ESXi は、さまざまな使用環境で報告されている Web サービスのセキュリティ問題による脆弱性に対応できます。
- VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。セキュリティ アラートを受信するには、「VMware Security Advisories」およびセキュリティ アラートのメーリング リストをサブスクライブします。http://lists.vmware.com/mailman/listinfo/security-announceの Web ページを参照してください。
- FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用のポートはデフォルトで閉じられています。
- 暗号で署名されていないドライバやアプリケーションがホストでロードされないようにするには、UEFI セキュア ブートを使用します。セキュア ブートの有効化は、システム BIOS で実行します。ESXi ホストで、ディスク パーティションなどに対して追加の設定変更を行う必要はありません。ESXi ホストの UEFI セキュア ブートを参照してください。
- ESXi ホストに TPM 2.0 チップが搭載されている場合は、システム BIOS でチップを有効にして設定します。TPM 2.0 は、セキュア ブートと連携することでセキュリティを強化し、ハードウェア内のルートに信頼保証を配置します。Trusted Platform Module による ESXi ホストの保護を参照してください。
- ESXi 8.0 以降では、サンドボックス ドメインで SSH プロセスを実行できます。実行後、シェルは権限を減らし、コマンドの限られたサブセットへのアクセスのみを許可します。詳細については、https://kb.vmware.com/s/article/87386にある VMware のナレッジベースの記事を参照してください。
ESXi のセキュリティ対策の強化
ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。
- ESXi ホストへのアクセスを制限する
- ダイレクト コンソール ユーザー インターフェイス (DCUI)、 ESXi Shell、または SSH へのアクセスを有効にする場合、厳格なアクセス セキュリティ ポリシーを適用します。
- 管理対象 ESXi ホストに直接アクセスしない
- vSphere Client を使用して、 vCenter Server の管理下にある ESXi ホストを管理します。 VMware Host Client を使用して管理対象ホストに直接アクセスせず、DCUI から管理対象ホストを変更しないようにします。
- トラブルシューティングを行う場合にのみ DCUI を使用する
- トラブルシューティングを行う場合にのみ、DCUI または ESXi Shell から root ユーザーとしてホストにアクセスします。 ESXi ホストを管理するには、 vSphere Client(または VMware Host Client)、または VMware CLI と API のいずれかを使用します。 ESXCLI の概念と範例を参照してください。 ESXi Shell または SSH を使用する場合は、アクセス権を持つアカウントを制限し、タイムアウト時間を設定します。
- ESXi コンポーネントのアップグレードには VMware ソースのみを使用する
- ホストは、いくつかのサードパーティ製パッケージを実行して、管理インターフェイスや実行する必要のあるタスクをサポートします。VMware では、VMware ソースから提供されたこれらのパッケージへのアップグレードのみをサポートします。VMware が提供したものでないパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや VMware のナレッジベースの記事を確認してください。
注:
http://www.vmware.com/security/から入手可能な VMware セキュリティ アドバイザリの指示に従ってください。