인증되지 않은 침입 및 잘못된 이용으로부터 ESXi 호스트를 보호하기 위해 VMware는 몇 가지 매개 변수, 설정 및 작업에 제약을 가합니다. 구성 요구 사항을 충족하기 위해 이 제약 조건을 완화할 수 있습니다. 이 경우 신뢰할 수 있는 환경에서 작업 중이어야 하고 네트워크 전체 및 호스트에 연결된 디바이스를 보호하기 위한 다른 보안 대책을 충분히 적용한 상태여야 합니다.

기본 제공 보안 기능

호스트에 대한 위험이 다음과 같이 기본적으로 최소화됩니다.

  • ESXi Shell 및 SSH는 기본적으로 사용하지 않도록 설정됩니다.

  • 제한된 수의 방화벽 포트만 기본적으로 열립니다. 특정 서비스에 연결된 추가 방화벽 포트를 명시적으로 열 수 있습니다.

  • ESXi는 해당 기능을 관리하는 데 필수적인 서비스만 실행합니다. 이 배포는 ESXi를 실행하는 데 필요한 기능에 제한됩니다.

  • 기본적으로 호스트에 대한 관리 액세스에 필요하지 않은 모든 포트는 닫혀 있습니다. 추가 서비스가 필요한 경우에는 포트를 명시적으로 열어야 합니다.

  • 기본적으로 보안에 취약한 암호화는 사용하지 않도록 설정되며 클라이언트로부터의 통신에는 SSL 보안이 적용됩니다. 채널의 보안 유지에서 사용되는 정확한 알고리즘은 SSL 핸드셰이크에 따라 다릅니다. ESXi에서 생성된 기본 인증서는 RSA 암호화가 적용된 PKCS#1 SHA-256을 서명 알고리즘으로 사용합니다.

  • 웹 클라이언트의 액세스를 지원하기 위해 ESXi에서 내부적으로 사용하는 Tomcat 웹 서비스는 웹 클라이언트를 통한 관리 및 모니터링에 필요한 기능만 실행하도록 수정되었습니다. 따라서 ESXi는 다양한 용도로 Tomcat에 대해 보고되는 보안 문제에 취약하지 않습니다.

  • VMware는 ESXi 보안에 영향을 미칠 수 있는 모든 보안 경고를 모니터링하고 필요한 경우 보안 패치를 실행합니다.

  • FTP 및 Telnet과 같은 안전하지 않은 서비스는 설치되지 않으며 이러한 서비스용 포트는 기본적으로 닫혀 있습니다. SSH 및 SFTP와 같은 더 안전한 서비스를 쉽게 사용할 수 있으므로 안전한 서비스 대신에 이러한 안전하지 않은 서비스를 사용하지 마십시오. 예를 들어 SSH를 사용할 수 없지만 Telnet을 사용해야 하는 경우 SSL 기반 Telnet을 사용하여 가상 직렬 포트에 액세스합니다.

    안전하지 않은 서비스를 사용해야 하고 호스트에 대한 충분한 보안 대책을 구현한 경우 이를 지원하기 위해 포트를 명시적으로 열 수 있습니다.

추가 보안 대책

호스트 보안 및 관리를 평가할 때는 다음 권장 사항을 고려하십시오.

액세스 제한

DCUI(Direct Console User Interface)에 대한 액세스를 사용하도록 설정한 경우 ESXi Shell 또는 SSH는 강한 액세스 보안 정책을 시행합니다.

ESXi Shell에는 호스트의 특정 부분에 대한 액세스 권한이 있습니다. ESXi Shell 로그인 액세스는 신뢰할 수 있는 사용자에게만 제공하십시오.

관리 호스트에 직접 액세스하지 않음

vSphere Web Client를 사용하여 vCenter Server로 관리되는 ESXi 호스트를 관리합니다. vSphere Client에서 관리 호스트에 직접 액세스해서는 안 되며, 호스트의 DCUI에서 관리 호스트를 변경해서는 안 됩니다.

스크립팅 인터페이스 또는 API를 사용하여 호스트를 관리하는 경우 호스트를 직접 대상으로 하지 마십시오. 대신 호스트를 관리하는 vCenter Server 시스템을 대상으로 하고 호스트 이름을 지정하십시오.

vSphere Client 또는 VMware CLI 또는 API를 사용하여 독립형 ESXi 호스트 관리

vSphere Client, VMware CLI 또는 API 중 하나를 사용하여 ESXi 호스트를 관리합니다. 문제 해결을 위해서만 DCUI 또는 ESXi Shell에서 루트 사용자로 호스트에 액세스하십시오. ESXi Shell을 사용하도록 결정한 경우 계정의 액세스를 제한하고 시간 제한을 설정하십시오.

ESXi 구성 요소를 업그레이드할 때는 VMware 소스만 사용합니다.

호스트는 관리 인터페이스 또는 수행해야 하는 작업을 지원하기 위해 다양한 타사 패키지를 실행합니다. VMware는 VMware가 아닌 소스를 통한 이러한 패키지의 업그레이드를 지원하지 않습니다. 다른 소스의 다운로드나 패치를 사용하면 관리 인터페이스 보안 또는 기능이 제대로 작동하지 않을 수 있습니다. 타사 벤더 사이트 및 VMware 기술 자료에서 보안 경고를 정기적으로 확인하십시오.

참고:

VMware 보안 권고(http://www.vmware.com/security/)를 따르십시오.