이러한 보안 제어는 vSphere 하드웨어 보안 모범 사례의 기준선을 제공합니다. 제어 구현의 이점과 단점을 설명하는 방식으로 구성됩니다.
사용된 변수
이 섹션의 PowerCLI 명령은 다음 변수를 사용합니다.
- $ESXi = "host_name"
Intel Trusted Execution Technology 사용
시스템 펌웨어에서 사용할 수 있는 경우 Intel TXT(Trusted Execution Technology)가 활성화되어 있는지 확인합니다.
Intel Xeon 확장형 프로세서 플랫폼에는 플랫폼과 운영 체제의 신뢰성을 제공하는 TXT가 있습니다. 활성화되면 ESXi는 이 기술이 제공하는 보안 이점을 활용합니다.
- 기본값 변경 시 잠재적 영향
- TXT의 초기 구현으로 인해 시스템 종료가 갑자기 발생하거나, vCenter Server에서 증명 경보가 발생하거나 심지어 부팅 오류가 발생하는 경우가 있었습니다. 시스템을 다시 시작하면 이러한 문제가 해결되지만 대개 시스템 펌웨어 업데이트로 영구적으로 해결할 수 있습니다. VMware 기술 자료 문서( https://kb.vmware.com/s/article/78243)를 참조하십시오.
UEFI 보안 부팅 구성
UEFI 보안 부팅이 활성화되어 있는지 확인합니다.
ESXi 호스트의 하드웨어에서 UEFI 보안 부팅을 활성화하면 맬웨어 및 신뢰할 수 없는 구성을 방지하는 데 도움이 됩니다.
TPM 2.0 사용
TPM(신뢰할 수 있는 플랫폼 모듈) 2.0이 ESXi 호스트에 올바르게 설치되고 구성되었는지 확인합니다.
ESXi는 TPM을 사용하여 맬웨어를 방지하고 종속성을 제거하며 하드웨어 수명 주기 작업을 보호하는 고급 보안 기능을 활성화할 수 있습니다. 가능하면 TPM 2.0을 사용하도록 호스트를 구성하고 시스템 펌웨어에서 TPM을 활성화합니다.
하드웨어 펌웨어가 최신 상태인지 확인
시스템의 모든 구성 요소에 최신 펌웨어 업데이트를 적용하고, 펌웨어가 정품이고 하드웨어 제조업체에서 제공했는지 확인합니다.
하드웨어 펌웨어는 기밀성, 무결성 또는 가용성에 영향을 미치는 심각한 문제로부터 자유롭지 않습니다. 공격자는 취약한 시스템 관리 컨트롤러 및 관리 엔진을 사용하여 지속성을 설정하고 재부팅 및 업데이트 후 호스트를 재감염시키고 다시 손상시킬 수 있습니다.
안전하 통합 하드웨어 관리 컨트롤러
통합 하드웨어 관리 컨트롤러가 완전히 보호되는지 확인합니다.
많은 서버에는 하드웨어, 설정 및 펌웨어를 모니터링하고 업데이트할 때 매우 유용할 수 있는 통합 하드웨어 관리 컨트롤러가 있습니다. 이러한 컨트롤러에 대해:
- 사용되지 않는 모든 기능을 비활성화합니다.
- 사용되지 않은 모든 액세스 방법을 사용하지 않도록 설정합니다.
- 암호 및 암호 제어를 설정합니다.
- 가상화 관리팀의 승인된 액세스 워크스테이션에서만 액세스가 발생하도록 방화벽과 액세스 제어를 설정합니다.
모든 '첫 번째 부팅' 구성 옵션, 특히 삽입된 USB 디바이스에서 시스템을 재구성하는 옵션을 비활성화합니다. 또한 관리 컨트롤러에 연결된 USB 포트를 비활성화하거나 보호합니다. 가능한 경우 USB 포트에 키보드만 허용하도록 설정합니다.
계정의 기본 암호를 변경합니다.
정보 유출을 방지하기 위해 외부 정보 표시를 보호합니다. 보안 전원 및 정보 버튼이 무단 사용되지 않도록 보호합니다.
많은 하드웨어 관리 컨트롤러는 하드웨어 장애 및 구성 변경이 발생할 때 경고 메커니즘을 제공합니다. 하드웨어 모니터링에 다른 방법을 사용하지 않는 경우 해당 메커니즘을 사용하는 것이 좋습니다.
통합 하드웨어 관리 컨트롤러의 시간 동기화
통합 하드웨어 관리 컨트롤러의 시간을 동기화해야 합니다.
암호화, 감사 로깅, 클러스터 작업 및 인시던트 응답은 동기화된 시간에 따라 달라집니다. 이 권장 사항은 인프라의 모든 디바이스에도 해당됩니다. NTP(네트워크 시간 프로토콜)에는 4개 이상의 소스가 있어야 합니다. 2개의 소스와 1개의 소스 중에서 선택해야 하는 경우 1개의 소스가 더 좋습니다.
통합 하드웨어 관리 컨트롤러가 Active Directory를 사용하는 방법 보안
통합 하드웨어 관리 컨트롤러가 Active Directory를 사용하는 방식에서 종속성 루프나 공격 벡터를 생성하지 않는지 확인합니다.
Active Directory에 대한 연결을 비활성화하거나 최소한 공격 벡터 및 종속성 루프(인증, 권한 부여, DNS, DHCP 및 시간용)로 간주합니다. API 및 CLI를 통해 이러한 디바이스에서 로컬 계정을 관리하는 것이 좋습니다. 인증을 위해 Active Directory를 사용해야 하는 경우 Active Directory에 대한 액세스 권한이 있는 공격자가 그룹 멤버 자격을 통해 자신을 승격할 수 없도록 로컬 권한 부여를 사용합니다.
가상 통합 하드웨어 관리 컨트롤러 비활성화
내부, 에뮬레이션 또는 가상 네트워크 인터페이스가 포함된 통합 하드웨어 관리 컨트롤러가 비활성화되어 있는지 확인합니다.
일부 하드웨어 관리 컨트롤러에는 가상 네트워크 인터페이스를 ESXi에 관리 인터페이스로 표시하는 기능이 있습니다. 이러한 접근 방식은 어느 방향에서든 네트워크 기반 및 경계 방화벽을 우회하고 IDS, IPS 및 위협 분석 도구의 관찰을 피하기 위해 사용할 수 있는 액세스용 백도어를 생성합니다. 대부분의 경우 이 기능은 호스트를 관리하는 데 꼭 필요한 것은 아닙니다.
AMD Secure Encrypted Virtualization-Encrypted State 활성화
시스템 펌웨어에서 사용할 수 있는 경우 AMD SEV-ES(Secure Encrypted Virtualization-Encrypted State)가 활성화되어 있는지 확인합니다. 최소 SEV 비ES ASID 값이 SEV-ES 가상 시스템 수에 1을 더한 값과 같은지 확인합니다.
AMD EPYC 플랫폼은 메모리 및 CPU 레지스터 상태를 암호화하고 하이퍼바이저에 대한 가시성을 제한하여 워크로드 보안을 강화하고 특정 유형의 공격에 대한 노출을 줄이는 기술인 SEV-ES를 지원합니다. 적절하게 구성되면 SEV-ES는 vSphere 및 vSphere with Tanzu에서 가상 시스템 및 컨테이너의 게스트 운영 체제에 향상된 보안을 제공합니다. 시스템 펌웨어에서 SEV-ES를 활성화하면 가상 시스템, 컨테이너 및 게스트 운영 체제 내에서 향후 사용을 용이하게 할 수 있습니다.
- 기본값 변경 시 잠재적 영향
- 가상 시스템의 게스트 운영 체제는 SEV-ES를 지원해야 하므로 vMotion, 스냅샷 등과 같은 일부 기능이 제한됩니다. 이러한 단점에 대한 자세한 내용은 SEV-ES에서 지원되지 않는 VMware 기능 항목을 참조하십시오.
vSGX(Virtual Intel Software Guard Extensions) 활성화
시스템 펌웨어에서 사용할 수 있는 경우 vSGX(Virtual Intel® Software Guard Extensions)가 활성화되어 있는지 확인합니다.
Intel Xeon 확장형 프로세서 플랫폼에는 애플리케이션이 시스템 메모리의 데이터를 보호하는 데 도움이 되는 기술인 SGX(Software Guard Extensions)가 있습니다. 적절하게 구성된 경우 vSphere는 가상 시스템 내에서 SGX 사용을 지원합니다. 시스템 펌웨어에서 SGX를 사용하면 가상 시스템 및 게스트 운영 체제 내에서 향후 사용을 용이하게 할 수 있습니다.
- 기본값 변경 시 잠재적 영향
- 가상 시스템의 게스트 운영 체제는 vSGX를 지원해야 하므로 vMotion, 스냅샷 등과 같은 일부 기능이 제한됩니다. 이러한 단점에 대한 자세한 내용은 vSGX에서 지원되지 않는 VMware 기능 항목을 참조하십시오.
외부 포트 비활성화
사용하지 않는 외부 포트를 비활성화하거나 무단 사용으로부터 보호하는지 확인합니다.
사용되지 않는 포트, 특히 USB는 공격자가 스토리지, 네트워킹 및 키보드를 연결하는 데 사용될 수 있습니다. 비활성화 및 액세스 제어를 통해 이러한 포트에 대한 액세스를 제어하는 적절한 조치를 취하십시오. 가능한 경우 견고한 랙 도어, 랙 측면 패널, 바닥 등의 다른 수단을 사용하여 랙 도어가 닫혀 있을 때 랙 외부에서 포트에 접근할 수 없도록 합니다. 케이블은 랙과 랙 도어 내부 및 주변의 많은 틈을 통해 쉽게 들어갈 수 있으며, 뻣뻣한 와이어를 사용하여 랙 외부에서 소켓으로 케이블을 밀어 넣을 수 있을 뿐만 아니라 케이블을 분리하여 서비스 중단을 초래할 수도 있습니다.
가능한 경우 USB 포트에 키보드만 허용하도록 설정합니다.
이러한 유형의 기능을 비활성화하는 경우 정전 중에 또는 수명 주기 작업의 일부로 USB 키보드를 사용하여 서버에 액세스해야 할 수도 있다는 점을 고려하고 그에 맞게 계획해야 합니다.