ESXi 하이퍼바이저 보안이 기본적으로 제공됩니다. 잠금 모드 및 다른 기본 제공 기능을 사용하여 추가로 ESXi 호스트를 보호할 수 있습니다. 일관성을 위해 참조 호스트를 설정하고 모든 호스트가 참조 호스트의 호스트 프로파일과 동기화되도록 유지합니다. 또한 스크립트로 작성된 관리를 수행하여 환경을 보호할 수도 있습니다. 이렇게 하면 변경 내용이 모든 호스트에 적용됩니다.
다음 작업을 통해 vCenter Server로 관리되는 ESXi 호스트의 보호를 개선할 수 있습니다. 배경 및 세부 정보는 "VMware vSphere Hypervisor의 보안" 백서를 참조하십시오.
- ESXi 액세스 제한
- 기본적으로 ESXi Shell 및 SSH 서비스는 실행되지 않고 루트 사용자만 DCUI(Direct Console User Interface)에 로그인할 수 있습니다. ESXi 또는 SSH 액세스를 사용하도록 설정하는 경우 시간 제한을 설정하여 인증되지 않은 액세스에 대한 위험을 제한할 수 있습니다.
- 명명된 사용자 및 최소 권한 사용
- 기본적으로 루트 사용자는 여러 작업을 수행할 수 있습니다. 관리자가 루트 사용자 계정을 사용하여 ESXi 호스트에 로그인하도록 허용하지 마십시오. 대신, vCenter Server에서 명명된 관리자를 생성하고 해당 사용자에게 관리자 역할을 할당합니다. 또한 해당 사용자에게 사용자 지정 역할을 할당할 수 있습니다. vCenter Server 사용자 지정 역할 생성의 내용을 참조하십시오.
- 열린 ESXi 방화벽 포트의 수 최소화
- 기본적으로 ESXi 호스트의 방화벽 포트는 해당 서비스를 시작할 때만 열립니다. vSphere Client나 ESXCLI 또는 PowerCLI 명령을 사용하여 방화벽 포트 상태를 확인하고 관리할 수 있습니다.
- ESXi 호스트 관리 자동화
- 동일한 데이터 센터의 다른 호스트가 동기화된 상태에 있는 것이 중요한 경우가 많기 때문에 스크립트로 작성된 설치 또는 vSphere Auto Deploy를 사용하여 호스트를 프로비저닝합니다. 스크립트를 사용하여 호스트를 관리할 수 있습니다. 호스트 프로파일을 스크립트로 작성된 관리 대신 사용할 수도 있습니다. 참조 호스트를 설정하고 호스트 프로파일을 내보내고 호스트 프로파일을 모든 호스트에 적용합니다. 호스트 프로파일을 직접 또는 Auto Deploy로 프로비저닝 작업의 일부로 적용할 수 있습니다.
- 잠금 모드 이용
- 잠금 모드에서 ESXi 호스트는 기본적으로 vCenter Server를 통해서만 액세스할 수 있습니다. 엄격 잠금 모드 또는 정상 잠금 모드를 선택할 수 있습니다. 백업 에이전트와 같은 서비스 계정에 직접 액세스할 수 있도록 예외 사용자를 정의할 수 있습니다.
- VIB 패키지 무결성 검사
- 각 VIB 패키지에는 관련된 허용 수준이 있습니다. VIB 허용 수준이 호스트의 허용 수준과 동일하거나 더 나은 경우에만 VIB를 ESXi 호스트에 추가할 수 있습니다. 명시적으로 호스트의 허용 수준을 변경하지 않는 한 CommunitySupported 또는 PartnerSupported VIB를 호스트에 추가할 수 없습니다.
- ESXi 인증서 관리
- VMCA(VMware Certificate Authority)는 기본적으로 각 ESXi 호스트에 루트 인증 기관이 VMCA인 서명된 인증서를 프로비저닝합니다. 회사 정책에서 요구하는 경우 기존 인증서를 타사 또는 엔터프라이즈 CA에서 서명된 인증서로 교체할 수 있습니다.
- 스마트 카드 인증 고려
- ESXi는 사용자 이름 및 암호 인증 대신 스마트 카드 인증을 사용하도록 지원합니다. 보안 강화를 위해 스마트 카드 인증을 구성할 수 있습니다. vCenter Server에 2단계 인증도 지원됩니다. 사용자 이름 및 암호 인증과 스마트 카드 인증을 동시에 구성할 수 있습니다.
- ESXi 계정 잠금 고려
-
SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 잠금이 지원됩니다. 기본적으로, 계정이 잠기기 전에 최대 10번의 시도 실패가 허용되고 2분 후에는 계정에 대한 잠금이 해제됩니다.
참고: DCUI(Direct Console Interface) 및 ESXi Shell은 계정 잠금을 지원하지 않습니다.
관리 작업은 다를 수 있지만 독립형 호스트에 대한 보안 고려 사항은 유사합니다. "vSphere 단일 호스트 관리 - VMware Host Client" 설명서를 참조하십시오.