인증되지 않은 침입 및 잘못된 이용으로부터 호스트를 보호하기 위해 VMware는 몇 가지 매개 변수, 설정 및 작업에 제약을 가합니다. 구성 요구 사항을 충족하기 위해 이 제약 조건을 완화할 수 있습니다. 이 경우 신뢰할 수 있는 환경에서 작업 중이어야 하고 네트워크 전체 및 호스트에 연결된 디바이스를 보호하기 위한 다른 보안 대책을 충분히 적용한 상태여야 합니다.

호스트 보안 및 관리를 평가할 때는 다음 권장 사항을 고려하십시오.

  • 사용자 액세스를 제한합니다.

    보안을 강화하려면 DCUI(Direct Console User Interface) 및 ESXi Shell에 대한 사용자 액세스를 제한하고 액세스 보안 정책을 적용하십시오(예: 암호 제한 설정).

    ESXi Shell에는 호스트의 특정 부분에 대한 액세스 권한이 있습니다. ESXi Shell 로그인 액세스는 신뢰할 수 있는 사용자에게만 제공하십시오.

  • vSphere Client를 사용하여 독립형 ESXi 호스트를 관리합니다.

    가능하면 루트 사용자로 로그인하여 명령줄 인터페이스를 사용하는 대신 vSphere Client 또는 타사 네트워크 관리 도구를 사용하여 ESXi 호스트를 관리하십시오. vSphere Client를 사용하면 ESXi Shell에 대한 액세스 권한이 있는 계정을 제한하고, 책임을 안전하게 위임하고, 관리자 및 사용자가 자신에게 불필요한 기능을 사용하지 못하도록 하는 역할을 설정할 수 있습니다.

  • vSphere Web Client를 사용하여 vCenter Server로 관리되는 ESXi 호스트를 관리합니다. vSphere Client에서 관리 호스트에 직접 액세스해서는 안 되며, 호스트의 DCUI에서 관리 호스트를 변경해서는 안 됩니다.

  • ESXi 구성 요소를 업그레이드할 때는 VMware 소스만 사용합니다.

    호스트는 관리 인터페이스 또는 수행해야 하는 작업을 지원하기 위해 다양한 타사 패키지를 실행합니다. VMware는 VMware가 아닌 소스를 통한 이러한 패키지의 업그레이드를 지원하지 않습니다. 다른 소스의 다운로드나 패치를 사용하면 관리 인터페이스 보안 또는 기능이 제대로 작동하지 않을 수 있습니다. 타사 벤더 사이트 및 VMware 기술 자료에서 보안 경고를 정기적으로 확인하십시오.

방화벽 구현 이외에도 다른 방법을 사용하여 호스트에 대한 위험을 최소화할 수 있습니다.

  • ESXi는 기능 관리에 필수적인 서비스만 실행하며 배포는 ESXi 실행에 필요한 기능으로만 제한됩니다.

  • 기본적으로 호스트에 대한 관리 액세스에 필요하지 않은 모든 포트는 닫혀 있습니다. 추가 서비스가 필요한 경우에는 포트를 명시적으로 열어야 합니다.

  • 기본적으로 보안에 취약한 암호화는 사용하지 않도록 설정되며 클라이언트로부터의 모든 통신에는 SSL 보안이 적용됩니다. 채널의 보안 유지에 사용되는 정확한 알고리즘은 SSL 핸드셰이크에 따라 다릅니다. ESXi에서 생성된 기본 인증서는 RSA 암호화가 적용된 PKCS#1 SHA-256을 서명 알고리즘으로 사용합니다.

  • 웹 클라이언트의 액세스를 지원하기 위해 ESXi에서 내부적으로 사용하는 Tomcat 웹 서비스는 웹 클라이언트를 통한 관리 및 모니터링에 필요한 기능만 실행하도록 수정되었습니다. 따라서 ESXi는 다양한 용도로 Tomcat에 대해 보고되는 보안 문제에 취약하지 않습니다.

  • VMware는 ESXi 보안에 영향을 미칠 수 있는 모든 보안 경고를 모니터링하고 필요한 경우 보안 패치를 실행합니다.

  • FTP 및 Telnet과 같은 안전하지 않은 서비스는 설치되지 않으며 이러한 서비스용 포트는 기본적으로 닫혀 있습니다. SSH 및 SFTP와 같은 더 안전한 서비스를 이미 사용할 수 있으므로 안전한 서비스 대신 이러한 안전하지 않은 서비스를 사용하지 마십시오. 예를 들어 Telnet 대신, SSL 기반 Telnet을 사용하여 가상 직렬 포트에 액세스합니다. 안전하지 않은 서비스를 사용해야 하며 호스트에 대한 충분한 보안 대책을 구현한 경우 이를 지원하려면 포트를 명시적으로 열어야 합니다.

참고:

VMware 보안 권고(http://www.vmware.com/security/)를 따르십시오.