ESXi 보안 모범 사례를 따르면 vSphere 배포의 무결성을 보장할 수 있습니다. 추가 정보는 강화 가이드를 참조하십시오.

설치 미디어 확인

ISO, 오프라인 번들 또는 패치를 다운로드한 후에는 항상 SHA1 해시를 확인하여 다운로드한 파일의 무결성과 신뢰성을 확인하십시오. VMware에서 받은 물리적 미디어의 보안 실(seal)이 파손된 경우 소프트웨어를 VMware에 반환하여 교체받으십시오.

미디어를 다운로드한 후에는 MD5 합계 값을 사용하여 다운로드의 무결성을 확인하십시오. MD5 합계 출력을 VMware 웹 사이트에 게시된 값과 비교합니다. 각 운영 체제마다 MD5 합계 값을 확인하는 방법과 도구가 다릅니다. Linux의 경우 "md5sum" 명령을 사용합니다. Microsoft Windows의 경우 추가 기능 제품을 다운로드할 수 있습니다.

수동으로 CRL 검사

기본적으로 ESXi 호스트는 CRL 검사를 지원하지 않습니다. 해지된 인증서를 수동으로 검색하여 제거해야 합니다. 이러한 인증서는 일반적으로 회사 CA 또는 타사 CA에서 생성한 사용자 지정 인증서입니다. 대부분의 회사에서는 스크립트를 사용하여 ESXi 호스트에서 해지된 SSL 인증서를 찾아서 교체합니다.

ESX Admins Active Directory 그룹 모니터링

vSphere에서 사용하는 Active Directory 그룹은 plugins.hostsvc.esxAdminsGroup 고급 시스템 설정을 통해 정의됩니다. 기본적으로 이 옵션은 ESX Admins로 설정되어 있습니다. ESX Admins 그룹의 모든 멤버에게는 도메인의 모든 ESXi 호스트에 대한 전체 관리 액세스 권한이 부여됩니다. Active Directory에서 이 그룹의 생성을 모니터링하고 매우 신뢰할 수 있는 사용자 및 그룹으로 멤버 자격을 제한하십시오.

구성 파일 모니터링

대부분의 ESXi 구성 설정이 API를 통해 제어되지만 제한된 수의 구성 파일은 호스트에 직접 영향을 미칩니다. 이러한 파일은 HTTPS를 사용하는 vSphere 파일 전송 API를 통해 제공됩니다. 이러한 파일을 변경하는 경우 구성 변경과 같은 해당 관리 작업도 수행해야 합니다.

참고:

이 파일 전송 API를 통해 노출되지 않는 파일에 대한 모니터링은 시도하지 마십시오.

vmkfstools를 사용하여 중요 데이터 지우기

중요 데이터가 포함된 VMDK 파일을 삭제할 때는 가상 시스템을 종료하거나 중지한 다음 해당 파일에 대해 vCLI 명령 vmkfstools --writezeros를 실행합니다. 그런 다음 데이터스토어에서 파일을 삭제할 수 있습니다.