ESXi 管理インターフェイスのセキュリティは、不正侵入や悪用から保護するために極めて重要です。特定の方法でホストのセキュリティが危険にさらされる場合、ホストと通信する仮想マシンも危険にさらされる恐れがあります。管理インターフェイスを介した攻撃のリスクを最小にするために、ESXi は標準機能のファイアウォールで保護されています。

VMware では、不正侵入や不正使用からホストを保護するために、パラメータ、設定、およびアクティビティに制約が設けられています。制約は、実際の構成上の必要性に応じて緩和することができますが、その場合は、十分に対策をとってネットワーク全体とホストに接続するデバイスを保護する必要があります。

ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。

  • セキュリティを強化するためには、ユーザーからの管理インターフェイスへのアクセスを制限し、パスワード設定のようなセキュリティ ポリシーを実施します。
  • ESXi Shell にログインしてアクセスする権限は信頼できるユーザーのみに付与してください。ESXi Shell には、ホストの特定の部分に対するアクセス権があります。
  • 可能であれば、ウイルス チェッカー、仮想マシンのバックアップなどの重要な処理、サービス、およびエージェントのみを実行します。
  • 可能な場合は、root ユーザーとしてコマンドライン インターフェイスから作業せずに vSphere Web Client、またはサードパーティ製のネットワーク管理ツールを使用して ESXi ホストを管理してください。vSphere Web Client を使用する場合は、常に vCenter Server システムを介して ESXi ホストに接続します。

ホストは、いくつかのサードパーティ製のパッケージを実行して、作業者が実行する必要のある管理インターフェイスやタスクをサポートします。VMware 製品では、VMware ソース以外からのパッケージのアップグレードをサポートしていません。別のソースからダウンロードしたパッケージやパッチを使用すると、管理インターフェイスのセキュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダーのサイトや当社のナレッジベースを定期的に確認してください。

ファイアウォールを実装するだけでなく、ほかの方法も使用して ESXi ホストのリスクを軽減することができます。

  • ホストを管理するためのアクセスに特に必要でないポートがすべて閉じられていることを確認します。追加のサービスが必要な場合、ポートを特に開いておく必要があります。
  • デフォルトの証明書を置換し、強度の低い暗号化を有効にしないでください。デフォルトでは、強度の低い暗号化は無効になっており、クライアントからのすべての通信は TLS で保護されます。チャネルの保護に使用する的確なアルゴリズムは、TLS ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名アルゴリズムとして、RSA 暗号化による SHA-1 を使用します。
  • セキュリティ パッチをインストールします。VMware は、ESXi のセキュリティに影響する恐れのあるすべてのセキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。
  • FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用のポートは閉じられています。SSH や SFTP など、よりセキュアなサービスが簡単に使用できるため、これらの安全性の高いサービスを選択し、セキュリティ保護されていないサービスの使用は避けるようにしてください。セキュリティ保護されていないサービスを使用する必要がある場合は、ESXi ホストに対する十分な保護を実装してから対応するポートを開きます。

ESXi ホストはロックダウン モードにすることができます。ロックダウン モードを有効にした場合、ホストは vCenter Server からのみ管理できるようになります。vpxuser 以外のユーザーには認証権限がないため、直接ホストへ接続しても拒否されます。