인증되지 않은 침입 및 잘못된 이용으로부터 ESXi 호스트를 보호하기 위해 VMware는 몇 가지 매개 변수, 설정 및 작업에 제약을 가합니다. 구성 요구 사항을 충족하기 위해 이 제약 조건을 완화할 수 있습니다. 그렇게 할 경우 신뢰할 수 있는 환경에서 작업 중인지 확인한 후 다른 보안 조치를 취합니다.
기본 제공 보안 기능
호스트에 대한 위험이 다음과 같이 기본적으로 최소화됩니다.
- ESXi Shell 및 SSH는 기본적으로 사용하지 않도록 설정됩니다.
- 제한된 수의 방화벽 포트만 기본적으로 열립니다. 특정 서비스에 연결된 추가 방화벽 포트를 명시적으로 열 수 있습니다.
- ESXi는 해당 기능을 관리하는 데 필수적인 서비스만 실행합니다. 이 배포는 ESXi를 실행하는 데 필요한 기능에 제한됩니다.
- 기본적으로 호스트에 대한 관리 액세스에 필요하지 않은 모든 포트는 닫혀 있습니다. 추가 서비스가 필요한 경우 포트를 엽니다.
- 기본적으로 보안에 취약한 암호화는 사용하지 않도록 설정되며 클라이언트로부터의 통신에는 SSL 보안이 적용됩니다. 채널의 보안 유지에서 사용되는 정확한 알고리즘은 SSL 핸드셰이크에 따라 다릅니다. ESXi에서 생성된 기본 인증서는 RSA 암호화가 적용된 PKCS#1 SHA-256을 서명 알고리즘으로 사용합니다.
- Tomcat 웹 서비스는 웹 클라이언트의 액세스를 지원하기 위해 ESXi에 의해 내부적으로 사용됩니다. 이 서비스는 웹 클라이언트가 관리 및 모니터링을 위해 필요로 하는 기능만 실행하도록 수정되었습니다. 따라서 ESXi는 다양한 용도로 Tomcat에 대해 보고되는 보안 문제에 취약하지 않습니다.
- VMware는 ESXi 보안에 영향을 미칠 수 있는 모든 보안 경고를 모니터링하고 필요한 경우 보안 패치를 실행합니다.
- FTP 및 Telnet과 같은 안전하지 않은 서비스는 설치되지 않으며 이러한 서비스용 포트는 기본적으로 닫혀 있습니다. SSH 및 SFTP와 같은 더 안전한 서비스를 쉽게 사용할 수 있으므로 이러한 안전하지 않은 서비스를 사용하지 말고 더 안전한 서비스를 사용합니다. 예를 들어 SSH를 사용할 수 없지만 Telnet을 사용해야 하는 경우 SSL 기반 Telnet을 사용하여 가상 직렬 포트에 액세스합니다.
안전하지 않은 서비스를 사용해야 하고 호스트에 대한 충분한 보안 대책을 구현한 경우 이를 지원하기 위해 포트를 명시적으로 열 수 있습니다.
- ESXi 시스템에 대해 UEFI 보안 부팅 사용을 고려합니다. ESXi 호스트를 위한 UEFI 보안 부팅의 내용을 참조하십시오.
추가 보안 대책
호스트 보안 및 관리를 평가할 때는 다음 권장 사항을 고려하십시오.
- 액세스 제한
- DCUI(Direct Console User Interface)에 대한 액세스를 사용하도록 설정한 경우 ESXi Shell 또는 SSH는 강한 액세스 보안 정책을 시행합니다.
- 관리 호스트에 직접 액세스하지 않음
- vSphere Client를 사용하여 vCenter Server로 관리되는 ESXi 호스트를 관리합니다. VMware Host Client를 통해 직접 관리 호스트에 액세스하지 말고 DCUI에서 관리 호스트를 변경하지 마십시오.
- 문제 해결을 위해서만 DCUI 사용
- 문제 해결을 위해서만 DCUI 또는 ESXi Shell에서 루트 사용자로 호스트에 액세스하십시오. GUI 클라이언트 중 하나 또는 VMware CLI 또는 API 중 하나를 사용하여 ESXi 호스트를 관리합니다. ESXi Shell 또는 SSH를 사용하는 경우 액세스 권한이 있는 계정을 제한하고 시간 초과를 설정합니다.
- ESXi 구성 요소를 업그레이드할 때는 VMware 소스만 사용합니다.
- 호스트는 관리 인터페이스 또는 수행해야 하는 작업을 지원하기 위해 다양한 타사 패키지를 실행합니다. VMware는 VMware 소스에서 전송되는 이러한 패키지로의 업그레이드만 지원합니다. 다른 소스의 다운로드나 패치를 사용하면 관리 인터페이스 보안 또는 기능이 제대로 작동하지 않을 수 있습니다. 타사 벤더 사이트 및 VMware 기술 자료에서 보안 경고를 확인합니다.
참고: VMware 보안 권고(
http://www.vmware.com/security/)를 따르십시오.