ESXi ハイパーバイザーは、初期状態でセキュリティ強化されています。さらに ESXi ホストを保護するため、ロックダウン モードや他の組み込み機能を使用できます。一貫性を維持するには、リファレンス ホストを設定して、このホストのホスト プロファイルにすべてのホストを同期させることができます。また、スクリプトによる管理を実行し、確実にすべてのホストに変更を適用することで、使用環境を保護することもできます。

次のアクションを実施すると、vCenter Server が管理する ESXi ホストの保護を強化できます。スタンドアローン ホストのセキュリティの考慮事項と類似していますが、管理タスクは若干異なります。『vSphere の単一ホスト管理:VMware Host Client』を参照してください。

ESXi アクセスの制限

デフォルトでは、ESXi Shell サービスと SSH サービスは実行されておらず、root ユーザーのみがダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。ESXi または SSH アクセスを有効にする場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。ESXi ホストにアクセスできるユーザーには、ホストを管理する権限が必要です。ホスト オブジェクトに対する権限は、ホストを管理する vCenter Server システムから設定します。

ESXi Shell の使用を参照してください。

名前付きユーザーと最小限の権限の使用

デフォルトで、root ユーザーは多くのタスクを実行できます。管理者が root ユーザー アカウントを使用して ESXi ホストにログインすることを許可しないようにしてください。代わりに、vCenter Server から特定の管理者ユーザーを作成し、それらのユーザーに管理者ロールを割り当てます。これらのユーザーに、カスタム ロールを割り当てることもできます。「vCenter Server カスタム ロールの作成」を参照してください。

ホスト上で直接ユーザーを管理している場合は、ロール管理オプションは制限されます。『vSphere の単一ホスト管理:VMware Host Client』を参照してください。

開いている ESXi ファイアウォール ポートの数の最小化

デフォルトで ESXi ホストのファイアウォール ポートは、対応するサービスを開始するときにのみ開かれます。vSphere Client、または ESXCLI コマンドや PowerCLI コマンドを使用して、ファイアウォール ポートのステータスを確認および管理できます。

ESXi ファイアウォールの構成を参照してください。

ESXi ホスト管理の自動化

多くの場合、同じデータセンター内のさまざまなホストが同期されていることが重要です。これを実現するには、スクリプトによるインストールか vSphere Auto Deploy を使用してホストをプロビジョニングします。ホストはスクリプトを使用して管理できます。ホスト プロファイルは、スクリプトによる管理の代替となる機能です。リファレンス ホストを設定し、ホスト プロファイルをエクスポートし、そのプロファイルをすべてのホストに適用します。ホスト プロファイルは、直接適用するか、Auto Deploy によるプロビジョニングの一部として適用できます。

vSphere Auto Deploy の詳細については、スクリプトを使用した ESXi ホストの構成設定の管理および『vCenter Server のインストールとセットアップ』を参照してください。

ESXi ロックダウン モードの利用

ロックダウン モードでは、ESXi ホストはデフォルトで、vCenter Server を介してのみアクセスできます。厳密なロックダウン モードまたは通常のロックダウン モードを選択できます。バックアップ エージェントなどのサービス アカウントへの直接アクセスを許可するように例外ユーザーを定義できます。

ESXi ホストでのロックダウン モードの構成と管理を参照してください。

VIB パッケージの整合性の確認

各 vSphere インストール バンドル (VIB) パッケージには許容レベルが関連付けられています。VIB は、VIB 許容レベルがホストの許容レベル以上の場合にのみ、ESXi ホストに追加することができます。CommunitySupported VIB または PartnerSupported VIB は、ホストの許容レベルを明示的に変更しない限り、ホストに追加することができません。

ESXi ホストおよび vSphere インストール バンドルの許容レベルの管理を参照してください。

ESXi 証明書の管理

VMware Certificate Authority (VMCA) は、VMCA をデフォルトでルート認証局とする署名証明書を使用して、各 ESXi ホストをプロビジョニングします。企業ポリシーで規定されている場合は、サードパーティまたはエンタープライズ認証局によって署名された証明書で、既存の証明書を置き換えることができます。

ESXi ホストの証明書の管理を参照してください。

ESXi のスマート カード認証の検討

ESXi では、ユーザー名とパスワードの認証の代わりにスマート カード認証の使用がサポートされます。vCenter Server 用に 2 要素認証もサポートされます。ユーザー名およびパスワードによる認証と同時に、スマート カード認証も設定できます。

ESXi のスマート カード認証の構成と管理を参照してください。

ESXi アカウント ロックアウトの検討

SSH 経由および vSphere Web Services SDK 経由のアクセスで、アカウントのロックがサポートされるようになりました。デフォルトでは、アカウントがロックされるまでに、ログイン試行の失敗が最大で 5 回許容されています。デフォルトでは 15 分後に、アカウントのロックが解除されます。
注: ダイレクト コンソール インターフェイス (DCUI) と ESXi Shell では、アカウント ロックアウトはサポートされていません。

ESXi のパスワードとアカウントのロックアウトを参照してください。