ESXi 하이퍼바이저 보안이 기본적으로 제공됩니다. 잠금 모드 및 다른 기본 제공 기능을 사용하여 추가로 ESXi 호스트를 보호할 수 있습니다. 참조 호스트를 설정하고 해당 호스트의 호스트 프로파일에 따라 모든 호스트를 변경하는 경우 또는 스크립트로 작성된 관리를 수행하는 경우 변경 내용이 모든 호스트에 적용되도록 하면 환경이 추가로 보호됩니다.

이 가이드에 나와 있는 세부 정보대로 다음 기능을 사용하여 vCenter Server에서 관리되는 ESXi 호스트의 보호를 강화합니다. VMware vSphere Hypervisor의 보안 백서도 참조하십시오.

ESXi 액세스 제한

기본적으로 ESXi Shell 및 SSH 서비스는 실행되지 않고 루트 사용자만 DCUI(Direct Console User Interface)에 로그인할 수 있습니다. ESXi 또는 SSH 액세스를 사용하도록 설정하는 경우 시간 제한을 설정하여 인증되지 않은 액세스에 대한 위험을 제한할 수 있습니다.

ESXi 호스트에 액세스할 수 있는 사용자는 호스트를 관리하는 사용 권한이 있어야 합니다. 호스트를 관리하는 vCenter Server에서 호스트 개체에 대한 사용 권한을 설정합니다.

명명된 사용자 및 최소 권한 사용

기본적으로 루트 사용자에 의해 여러 작업이 수행될 수 있습니다. 루트 사용자 계정을 사용하여 관리자가 ESXi 호스트에 로그인하는 것을 허용하는 대신, 다른 호스트 구성 권한을 vCenter Server 사용 권한 관리 인터페이스에서 다른 명명된 사용자에게 적용할 수 있습니다. vSphere Web Client에서 사용자 지정 역할을 생성하고, 권한을 역할에 할당하고, 명명된 사용자 및 ESXi 호스트 개체에 역할을 연결할 수 있습니다.

단일 호스트 시나리오에서는 사용자를 직접 관리합니다. vSphere Client를 통한 vSphere 관리 설명서를 참조하십시오.

열린 ESXi 방화벽 포트의 수 최소화

기본적으로 ESXi 호스트의 방화벽 포트는 해당 서비스를 시작할 때만 열립니다. vSphere Web Client나 ESXCLI 또는 PowerCLI 명령을 사용하여 방화벽 포트 상태를 확인하고 관리할 수 있습니다.

ESXi 방화벽 구성를 참조하십시오.

ESXi 호스트 관리 자동화

동일한 데이터 센터의 다른 호스트가 동기화된 상태에 있는 것이 중요한 경우가 많기 때문에 스크립트로 작성된 설치 또는 vSphere Auto Deploy를 사용하여 호스트를 프로비저닝합니다. 스크립트를 사용하여 호스트를 관리할 수 있습니다. 스크립트로 작성된 관리 대신 호스트 프로파일을 사용할 수도 있습니다. 참조 호스트를 설정하고 호스트 프로파일을 내보내고 호스트 프로파일을 호스트에 적용합니다. 호스트 프로파일을 직접 또는 Auto Deploy로 프로비저닝 작업의 일부로 적용할 수 있습니다.

vSphere Auto Deploy에 대한 자세한 내용은 스크립트를 사용하여 호스트 구성 설정 관리vSphere 설치 및 설정 항목을 참조하십시오.

잠금 모드 이용

잠금 모드에서 ESXi 호스트는 기본적으로 vCenter Server를 통해서만 액세스할 수 있습니다. vSphere 6.0부터 엄격 잠금 모드 또는 정상 잠금 모드를 선택하고 예외 사용자를 정의하여 백업 에이전트와 같은 서비스 계정에 직접 액세스하도록 할 수 있습니다.

잠금 모드를 참조하십시오.

VIB 패키지 무결성 검사

각 VIB 패키지에는 관련된 허용 수준이 있습니다. 허용 수준이 호스트의 허용 수준과 동일하거나 더 나은 경우에만 VIB를 ESXi 호스트에 추가할 수 있습니다. 명시적으로 호스트의 허용 수준을 변경하지 않는 한 CommunitySupported 또는 PartnerSupported VIB를 호스트에 추가할 수 없습니다.

호스트 및 VIB의 수락 수준 확인를 참조하십시오.

ESXi 인증서 관리

vSphere 6.0 이상에서 VMCA(VMware 인증 기관)는 기본적으로 각 ESXi 호스트에 루트 인증 기관이 VMCA인 서명된 인증서를 프로비저닝합니다. 회사 정책에서 요구하는 경우 기존 인증서를 타사 CA에서 서명된 인증서로 바꿀 수 있습니다.

ESXi 호스트에 대한 인증서 관리 항목을 참조하십시오.

스마트 카드 인증

vSphere 6.0부터 ESXi는 사용자 이름 및 암호 인증 대신 옵션으로 스마트 카드 인증을 지원합니다.

ESXi에 대한 스마트 카드 인증 구성를 참조하십시오.

ESXi 계정 잠금

vSphere 6.0부터 SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다. 기본적으로, 계정이 잠기기 전에 최대 10번의 시도 실패가 허용되고 2분 후에는 계정에 대한 잠금이 해제됩니다.

ESXi 암호 및 계정 잠금를 참조하십시오.

관리 작업은 다를 수 있지만 독립형 호스트에 대한 보안 고려 사항은 유사합니다. vSphere Client를 통한 vSphere 관리 설명서를 참조하십시오.