이러한 보안 제어는 게스트 운영 체제 모범 사례의 기준선 집합을 제공합니다. 제어 구현의 이점과 단점을 설명하는 방식으로 구성됩니다. 이러한 제어를 변경하려면 제공된 PowerCLI 또는 vSphere Client를 사용합니다.
사용된 변수
이 섹션의 PowerCLI 명령은 다음 변수를 사용합니다.
- $VM = "virtual_machine_name"
VMware Tools 경로
VMware Tools에 대한 기본 설치 경로는 C:\Program Files\VMware\VMware Tools입니다.
게스트 운영 체제 보안 부팅 구성
게스트 운영 체제에서 보안 부팅을 사용하도록 설정해야 합니다.
모든 최신 게스트 운영 체제에서 지원되는 보안 부팅은 공용 키 암호화를 사용하여 펌웨어, 부트 로더, 드라이버 및 OS 커널을 검증합니다. 보안 부팅은 불확실한 부팅 체인 유효성으로 시스템 부팅을 방지하여 맬웨어를 효과적으로 제한합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- 게스트 운영 체제를 설치한 후 보안 부팅을 사용하도록 설정하면 더 많은 단계가 포함될 수 있습니다. 지침은 게스트 운영 체제 설명서를 참조하십시오.
- PowerCLI 명령 업데이트 적용 예
-
$VMobj = (Get-VM -Name $VM) $ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec $bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions $bootOptions.EfiSecureBootEnabled = $true $ConfigSpec.BootOptions = $bootOptions $task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
MSI 변환 사용 제한
게스트 운영 체제는 VMware Tools를 재구성할 때 MSI 변환의 사용을 제한해야 합니다.
MSI 변환을 통해 Microsoft Windows 게스트 운영 체제의 설치 데이터베이스를 변경할 수 있습니다. 이는 유용할 수 있지만 vSphere에서 게스트 운영 체제의 보안 프로파일을 변경할 수도 있습니다.
Appinfo 비활성화
게스트 운영 체제는 필요하지 않는 한 Appinfo 정보 수집을 비활성화해야 합니다.
Appinfo는 VMware Tools를 통해 애플리케이션 검색을 수행하는 방법입니다. 이 도구를 사용하지 않는 경우 모듈을 비활성화하여 공격 표면을 줄입니다.
- 값
- 설치 기본값: False
- 필요한 작업
- 설치 기본값을 수정합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- VMware 에코시스템 내의 제품 및 서비스에는 이 기능이 필요할 수 있습니다.
- PowerCLI 명령 평가
-
VMwareToolboxCmd.exe config get appinfo disabled
ContainerInfo 비활성화
게스트 운영 체제는 필요하지 않는 한 ContainerInfo를 비활성화해야 합니다.
Linux용 VMware Tools ContainerInfo 플러그인은 Linux 게스트 운영 체제 내에서 실행 중인 컨테이너 목록을 수집합니다.
게스트 작업 비활성화
필요하지 않는 한 게스트 작업을 비활성화합니다.
게스트 작업은 대부분의 호스트-게스트 상호 작용을 뒷받침하는 기능 집합입니다. 이를 비활성화하면 공격 노출이 줄어들지만 기능이 대폭 감소합니다. 환경에 이러한 기능이 필요하지 않은지 확인합니다. 템플릿 가상 시스템에서 게스트 작업을 비활성화하지 마십시오.
기능 목록은 다음 설명서를 참조하십시오.
게스트 운영 체제 사용자 재지정 방지
배포되고 사용자 지정된 가상 시스템의 게스트 운영 체제가 사용자 재지정되지 않도록 해야 합니다.
가상 시스템 배포 프로세스는 vSphere 관리자가 스크립트를 사용하고 명령을 실행하여 가상 시스템을 사용자 지정할 수 있는 여러 옵션을 제공합니다. 이러한 사용자 지정 접근 방식은 복제 및 사용자 재지정을 통해 악의적인 사용자가 가상 시스템 내부의 데이터에 액세스할 수 있는 방법이 될 수도 있습니다. 가상 시스템을 배포한 후 가상 시스템이 다시 사용자 지정되지 않도록 합니다. 이 변경 내용은 항상 되돌릴 수 있습니다.
- 값
- 설치 기본값: True
- 필요한 작업
- 설치 기본값을 수정합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- 설정되면 가상 시스템이 복제될 때 사용자 지정될 수 있습니다. 템플릿 가상 시스템에서는 이러한 변경을 수행하지 마십시오.
- PowerCLI 명령 평가
-
VMwareToolboxCmd.exe config get deployPkg enable-customization
- PowerCLI 명령 업데이트 적용 예
-
VMwareToolboxCmd.exe config set deployPkg enable-customization false
GuestStore 업그레이드 작업 비활성화
게스트 운영 체제는 필요하지 않는 한 GuestStore 업그레이드 작업을 비활성화해야 합니다.
GuestStore 기능은 VMware 특정 컨텐츠 또는 사용자 지정 컨텐츠를 GuestStore 저장소에서 여러 게스트로 동시에 배포하는 간단하고 유연한 메커니즘을 제공합니다. 이 기능을 사용하지 않는 경우 플러그인을 비활성화하여 공격 표면을 줄입니다.
서비스 검색 비활성화
게스트 운영 체제는 필요하지 않는 한 서비스 검색을 비활성화해야 합니다.
VMware Tools 서비스 검색 플러그인은 Aria Operations에 연결되고 게스트 운영 체제 및 워크로드에 대한 추가 데이터를 해당 제품에 제공합니다. 이 기능을 사용하지 않는 경우 플러그인을 비활성화하여 공격 표면을 줄입니다.
VMware Tools 활성화
게스트 운영 체제는 VMware Tools 로깅을 사용하도록 설정해야 합니다.
VMware Tools가 정보를 적절히 기록하는지 확인합니다. 예제는 https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf 항목을 참조하십시오.
시스템 로그 서비스로 VMware Tools 로그 전송
게스트 운영 체제는 시스템 로그 서비스로 VMware Tools 로그를 전송해야 합니다.
기본적으로 VMware Tools는 디스크의 파일로 로그를 전송합니다. 관리 및 중앙 아카이브를 위해 Linux 게스트의 syslog 및 Microsoft Windows 게스트의 Windows 이벤트 서비스로 로그를 전송하도록 구성합니다.
- PowerCLI 명령 평가
-
VMwareToolboxCmd.exe config get logging vmsvc.handler VMwareToolboxCmd.exe config get logging toolboxcmd.handler VMwareToolboxCmd.exe config get logging vgauthsvc.handler VMwareToolboxCmd.exe config get logging vmtoolsd.handler
VMware Tools 버전이 최신 상태인지 확인
게스트 운영 체제는 VMware Tools가 최신 상태인지 확인해야 합니다.
VMware Tools는 VMware 에코시스템의 중요한 부분입니다. VMware Tools를 사용하여 다음과 같은 게스트 운영 체제 관리를 수행할 수 있습니다.
- 정상 종료
- 수명 주기 관리
- 반가상화된 디바이스용 드라이버 가져오기
- 가상 시스템 템플릿 사용자 지정 및 배포
모든 소프트웨어와 마찬가지로 필요에 따라 VMware Tools를 관리하고 업데이트해야 합니다. Linux 배포의 일부로 제공되든 Microsoft Windows를 위해 설치했든 게스트 운영 체제에 대해 지원되는 버전을 실행 중인지 확인합니다.
- 값
- 설치 기본값: 해당 없음
- 필요한 작업
- 설치 기본값을 감사합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- 없음
- PowerCLI 명령 평가
-
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
- PowerCLI 명령 업데이트 적용 예
- 사이트별. VMware Tools를 업데이트하는 방법에는 여러 가지가 있습니다. VMXNET3 및 PVSCSI용 드라이버도 Windows 업데이트를 통해 사용할 수 있으므로 WSUS와 같은 도구로 가져와야 합니다.
- vSphere Client에서의 설정 위치
GlobalConf 비활성화
게스트 운영 체제는 필요하지 않는 한 GlobalConf를 비활성화해야 합니다.
VMware Tools의 GlobalConf 기능은 tools.conf 파일 구성을 가상 시스템으로 푸시하는 기능을 제공합니다.
VMware Tools 기능의 자동 갱신 제한
게스트 운영 체제는 VMware Tools 기능의 자동 제거를 제한해야 합니다.
VMware Tools 자동 업그레이드 프로세스는 VMware Tools 설치에서 기능을 추가하거나 제거할 수 있어 유용할 수 있지만 vSphere에서 게스트 운영 체제의 보안 프로파일을 변경할 수도 있습니다.
자동 업그레이드를 위한 VMware Tools구성
게스트 운영 체제는 환경에 맞게 자동 VMware Tools 업그레이드를 구성해야 합니다.
VMware Tools 업데이트는 vSphere에서 시작할 수 있으며 최신 VMware Tools 버전을 유지하는 데 도움이 될 수 있습니다. 다른 방법으로 VMware Tools를 관리하고 업데이트하는 경우 이 기능을 비활성화합니다. 일반적으로 자동 업데이트는 활성화된 상태로 둡니다.
가상 시스템 하드웨어 버전 확인
게스트 운영 체제는 가상 시스템 하드웨어가 지원되는 버전 19 이상인지 확인해야 합니다.
가상 시스템 하드웨어 19는 ESXi 7.0 업데이트 2 이상과 호환됩니다. 최신 버전의 가상 시스템 하드웨어를 사용하면 새로운 기능과 향상된 성능을 사용할 수 있습니다. vSphere 8.0 이상으로 완전히 업데이트된 경우 가상 시스템 하드웨어 20으로 업그레이드하는 것이 좋습니다. 언제나처럼 업그레이드할 때는 주의해야 하며 시스템 전체에서 롤아웃하기 전에 업그레이드 프로세스를 완전히 테스트합니다.
가상 시스템이 실행될 수 있는 위치 또는 가상 시스템을 복원해야 할 수 있는 모든 위치를 고려합니다. 예를 들어 VMware Cloud Disaster Recovery 서비스의 사용자는 잠재적 복구 SDDC의 vSphere 수준을 고려해야 합니다. VMware Cloud는 vSphere 맨 위에서 실행되지만 지원되는 동일한 가상 하드웨어 버전을 사용할 수 없을 수 있습니다.
VMware 제공 가상 장치의 구성을 변경하는 것은 지원되지 않으며 서비스 중단을 일으킬 수 있습니다.
- 값
- 설치 기본값: 사이트별
- 필요한 작업
- 설치 기본값을 수정합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- 가상 시스템 하드웨어 버전을 변경하면 게스트 내부의 디바이스 버전이 변경되어 영향을 미칠 수 있습니다. 항상 가상 하드웨어 버전 업그레이드를 테스트하고 필요한 경우 버전을 되돌릴 수 있도록 스냅샷이 가상 시스템 버전도 캡처한다는 점을 기억합니다.
- PowerCLI 명령 평가
-
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
- PowerCLI 명령 업데이트 적용 예
-
Set-VM -VM $VM -HardwareVersion vmx-19
