ESXi 하이퍼바이저 보안이 기본적으로 제공됩니다. 잠금 모드 및 다른 기본 제공 기능을 사용하여 추가로 ESXi 호스트를 보호할 수 있습니다. 일관성을 위해 참조 호스트를 설정하고 모든 호스트가 참조 호스트의 호스트 프로파일과 동기화되도록 유지합니다. 또한 스크립트로 작성된 관리를 수행하여 환경을 보호할 수도 있습니다. 이렇게 하면 변경 내용이 모든 호스트에 적용됩니다.

다음 작업을 통해 vCenter Server로 관리되는 ESXi 호스트의 보호를 개선할 수 있습니다. 배경 및 세부 정보는 VMware vSphere Hypervisor의 보안 백서를 참조하십시오.

ESXi 액세스 제한

기본적으로 ESXi Shell 및 SSH 서비스는 실행되지 않고 루트 사용자만 DCUI(Direct Console User Interface)에 로그인할 수 있습니다. ESXi 또는 SSH 액세스를 사용하도록 설정하는 경우 시간 제한을 설정하여 인증되지 않은 액세스에 대한 위험을 제한할 수 있습니다.

ESXi 호스트에 액세스할 수 있는 사용자는 호스트를 관리하는 사용 권한이 있어야 합니다. 호스트를 관리하는 vCenter Server 시스템에서 호스트 개체에 대한 사용 권한을 설정합니다.

명명된 사용자 및 최소 권한 사용

기본적으로 루트 사용자는 여러 작업을 수행할 수 있습니다. 관리자가 루트 사용자 계정을 사용하여 ESXi 호스트에 로그인하도록 허용하지 마십시오. 대신, vCenter Server에서 명명된 관리자를 생성하고 해당 사용자에게 관리자 역할을 할당합니다. 또한 해당 사용자에게 사용자 지정 역할을 할당할 수 있습니다. 사용자 지정 역할 생성의 내용을 참조하십시오.

호스트에서 사용자를 직접 관리하는 경우 역할 관리 옵션이 제한됩니다. vSphere 단일 호스트 관리 - VMware Host Client 설명서를 참조하십시오.

열린 ESXi 방화벽 포트의 수 최소화

기본적으로 ESXi 호스트의 방화벽 포트는 해당 서비스를 시작할 때만 열립니다. vSphere Web Client나 ESXCLI 또는 PowerCLI 명령을 사용하여 방화벽 포트 상태를 확인하고 관리할 수 있습니다.

ESXi 방화벽 구성의 내용을 참조하십시오.

ESXi 호스트 관리 자동화

동일한 데이터 센터의 다른 호스트가 동기화된 상태에 있는 것이 중요한 경우가 많기 때문에 스크립트로 작성된 설치 또는 vSphere Auto Deploy를 사용하여 호스트를 프로비저닝합니다. 스크립트를 사용하여 호스트를 관리할 수 있습니다. 호스트 프로파일을 스크립트로 작성된 관리 대신 사용할 수도 있습니다. 참조 호스트를 설정하고 호스트 프로파일을 내보내고 호스트 프로파일을 모든 호스트에 적용합니다. 호스트 프로파일을 직접 또는 Auto Deploy로 프로비저닝 작업의 일부로 적용할 수 있습니다.

vSphere Auto Deploy에 대한 자세한 내용은 스크립트를 사용하여 호스트 구성 설정 관리vSphere 설치 및 설정 설명서를 참조하십시오.

잠금 모드 이용

잠금 모드에서 ESXi 호스트는 기본적으로 vCenter Server를 통해서만 액세스할 수 있습니다. vSphere 6.0부터 엄격 잠금 모드 또는 정상 잠금 모드를 선택하고 예외 사용자를 정의하여 백업 에이전트와 같은 서비스 계정에 직접 액세스하도록 할 수 있습니다.

잠금 모드의 내용을 참조하십시오.

VIB 패키지 무결성 검사

각 VIB 패키지에는 관련된 허용 수준이 있습니다. VIB 허용 수준이 호스트의 허용 수준과 동일하거나 더 나은 경우에만 VIB를 ESXi 호스트에 추가할 수 있습니다. 명시적으로 호스트의 허용 수준을 변경하지 않는 한 CommunitySupported 또는 PartnerSupported VIB를 호스트에 추가할 수 없습니다.

호스트 및 VIB의 수락 수준 관리의 내용을 참조하십시오.

ESXi 인증서 관리

vSphere 6.0 이상에서 VMCA(VMware Certificate Authority)는 기본적으로 각 ESXi 호스트에 루트 인증 기관이 VMCA인 서명된 인증서를 프로비저닝합니다. 회사 정책에서 요구하는 경우 기존 인증서를 타사 또는 엔터프라이즈 CA에서 서명된 인증서로 바꿀 수 있습니다.

ESXi 호스트에 대한 인증서 관리 항목을 참조하십시오.

스마트 카드 인증 고려

vSphere 6.0부터 ESXi는 사용자 이름 및 암호 인증 대신 스마트 카드 인증을 지원합니다. 보안 강화를 위해 스마트 카드 인증을 구성할 수 있습니다. vCenter Server에 대해 2단계 인증도 지원됩니다.

ESXi에 대한 스마트 카드 인증 구성의 내용을 참조하십시오.

ESXi 계정 잠금 고려

vSphere 6.0부터 SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. 기본적으로, 계정이 잠기기 전에 최대 10번의 시도 실패가 허용되고 2분 후에는 계정에 대한 잠금이 해제됩니다.

참고:

DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다.

ESXi 암호 및 계정 잠금의 내용을 참조하십시오.

관리 작업은 다를 수 있지만 독립형 호스트에 대한 보안 고려 사항은 유사합니다. vSphere 단일 호스트 관리 - VMware Host Client 설명서를 참조하십시오.