VMware Tools 설정 중 일부는 보안 위험에 노출될 수 있습니다. 예를 들어 VMware Tools를 사용하면 직렬 또는 병렬 포트와 같은 가상 디바이스를 가상 시스템에 연결할 수 있습니다. 연결된 디바이스는 잠재적으로 공격 채널이 될 수 있습니다. 가상 시스템을 강화하고 보안 위험을 최대한 줄이려면 보안 위협에 취약한 VMware Tools 기능을 사용하지 않도록 설정합니다.
운영 환경에서 호스트, 가상 시스템, 관리 구성 요소 및 네트워킹 인프라에 대한 보안 권장 사항을 포함하여 VMware vSphere를 안전하게 배포하는 방법에 대한 자세한 내용은 "vSphere 강화 가이드" 를 참조하십시오. VMware Tools 설정에서는 가상 시스템의 배포 측면만 관련되어 있습니다.
가상 시스템은 몇 개의 파일에 캡슐화됩니다. 이 중에서 구성 파일(.vmx 파일)은 가상 하드웨어 및 기타 설정의 성능을 관리합니다. 몇 가지 방법을 사용하여 구성 설정을 보고 수정할 수 있습니다.
- vSphere Web Client를 사용하여 가상 시스템 설정을 편집합니다. vSphere Web Client에서 이러한 구성 매개 변수를 편집하는 것은 가상 시스템의 설정 편집 대화상자에 있는 고급 옵션에 해당합니다.
- vSphere Host Client를 사용하여 가상 시스템 설정을 편집합니다. vSphere Host Client에서 이러한 구성 매개 변수를 편집하는 것은 가상 시스템의 설정 편집 대화상자에 있는 고급 옵션에 해당합니다.
- Power CLI와 같은 vSphere API 기반 도구를 사용하여 .vmx 매개 변수를 보고 수정합니다.
설정을 편집한 후에는 가상 시스템을 다시 시작해야 변경 사항이 적용됩니다.
가상 시스템의 .vmx 파일에 설정할 해당 VMware Tools 매개 변수에 매개 변수를 적절히 설정하여 여러 잠재적 위협을 제거할 수 있습니다. 이러한 매개 변수 중 많은 부분의 기본값은 이러한 위협으로부터 가상 시스템을 보호할 수 있도록 이미 설정되어 있습니다.
권한 없는 사용자 계정과 관련된 위협
- 복사 및 붙여넣기
-
파일 끌어서 놓기 기능과 마찬가지로 텍스트, 그래픽 및 파일을 복사하여 붙여 넣는 기능은 기본적으로 사용되지 않도록 설정됩니다. 이 옵션을 사용하도록 설정하면 서식 있는 텍스트뿐 아니라 VMware 제품에 따라 그래픽과 파일을 사용자의 클립보드에서 가상 시스템의 게스트 운영 체제로 복사하여 붙여 넣을 수 있습니다. 즉, 가상 시스템의 콘솔 창이 포커스를 얻으면 가상 시스템의 권한 없는 사용자와 가상 시스템에서 실행되는 프로세스가 콘솔 창이 실행되고 있는 컴퓨터의 클립보드에 액세스할 수 있습니다. 이 기능과 관련된 위험을 방지하려면 복사 및 붙여넣기 기능을 사용하지 않도록 설정한 다음과 같은
.vmx 설정을 유지합니다.
isolation.tools.copy.disable = "TRUE" isolation.tools.paste.disable = "TRUE"
가상 디바이스와 연결된 위협
- 디바이스 연결 및 수정
-
디바이스에 연결하고 연결을 해제하는 기능은 기본적으로 사용되지 않도록 설정됩니다. 이 기능을 사용하도록 설정하면 루트 또는 관리자 권한이 없는 사용자와 프로세스가 네트워크 어댑터 및 CD-ROM 드라이브와 같은 디바이스에 연결하여 디바이스 설정을 수정할 수 있습니다. 즉, 사용자가 연결이 해제된 CD-ROM 드라이브에 연결하여 드라이브에 있는 미디어의 중요한 정보에 액세스할 수 있습니다. 사용자는 또한 네트워크 어댑터의 연결을 해제하여 가상 시스템을 해당 네트워크와 분리함으로써 서비스를 거부할 수 있습니다. 이 기능과 관련된 위험을 방지하려면 디바이스를 연결하고 연결을 해제하는 기능 또는 디바이스 설정을 수정하는 기능을 사용하지 않도록 설정한 다음과 같은
.vmx 설정을 유지합니다.
isolation.device.connectable.disable = "TRUE" isolation.device.edit.disable = "TRUE"
가상 시스템 정보 흐름과 관련된 위협
- VMX 파일 크기
-
파일 크기가 제어되지 않으면 데이터스토어의 디스크 공간이 모두 사용될 경우 서비스 거부를 초래할 수 있기 때문에 기본적으로 구성 파일은 1MB 크기로 제한됩니다. 때때로 정보 메시지가 가상 시스템에서
.vmx 파일로 전송됩니다. 이러한 setinfo 메시지는 이름-값 쌍을 파일에 기록함으로써 가상 시스템 특성 또는 식별자를 정의합니다. 파일에 많은 양의 사용자 지정 정보가 저장되어야 하는 경우 파일 크기를 늘려야 할 수도 있습니다. 이 속성 이름은
tools.setInfo.sizeLimit이며 값은 KB 단위로 지정합니다. 다음
.vmx 설정을 유지합니다.
tools.setInfo.sizeLimit = "1048576"
- 성능 카운터를 PerfMon에 전송하기
-
CPU 및 메모리에 대한 가상 시스템 성능 카운터를 Linux 및 Microsoft Windows 게스트 운영 체제의 PerfMon에 통합할 수 있습니다. 이를 통해 물리적 호스트에 대한 세부 정보가 게스트 운영 체제에서 사용할 수 있도록 제공됩니다. 악의적 사용자가 이 정보를 사용하여 잠재적으로 호스트에 대한 추가 공격을 수행할 수 있습니다. 기본적으로 이 기능은 사용하도록 설정되지 않습니다. 호스트 정보가 가상 시스템에 전송되는 것을 방지하려면 다음
.vmx 설정을 유지합니다.
tools.guestlib.enableHostInfo = "FALSE"
이 설정에서는 일부 메트릭을 차단하지만 모든 메트릭을 차단하지는 않습니다. 이 속성을
FALSE
로 설정하면 다음 메트릭이 차단됩니다.- GUESTLIB_HOST_CPU_NUM_CORES
- GUESTLIB_HOST_CPU_USED_MS
- GUESTLIB_HOST_MEM_SWAPPED_MB
- GUESTLIB_HOST_MEM_SHARED_MB
- GUESTLIB_HOST_MEM_USED_MB
- GUESTLIB_HOST_MEM_PHYS_MB
- GUESTLIB_HOST_MEM_PHYS_FREE_MB
- GUESTLIB_HOST_MEM_KERN_OVHD_MB
- GUESTLIB_HOST_MEM_MAPPED_MB
- GUESTLIB_HOST_MEM_UNMAPPED_MB
- vSphere에 노출되지 않지만 취약성의 원인이 될 수 있는 기능
-
VMware 가상 시스템은 vSphere뿐 아니라 많은 VMware 제품에서 실행되기 때문에 일부 가상 시스템 매개 변수가 vSphere 환경에 적용되지 않습니다. 이러한 기능이 vSphere 사용자 인터페이스에 나타나지 않더라도 이러한 기능을 사용하지 않도록 설정하면 게스트 운영 체제가 호스트에 액세스하는 데 매개가 되는 벡터 수가 줄어듭니다. 이러한 기능을 사용하지 않도록 설정하려면 다음
.vmx 설정을 사용합니다.
isolation.tools.unity.push.update.disable = "TRUE" isolation.tools.ghi.launchmenu.change = "TRUE" isolation.tools.ghi.autologon.disable = "TRUE" isolation.tools.hgfsServerSet.disable = "TRUE" isolation.tools.memSchedFakeSampleStats.disable = "TRUE" isolation.tools.getCreds.disable = "TRUE"