무단 침입과 오용으로부터 보호하려면 ESXi 관리 인터페이스의 보안이 중요합니다. 어떤 방식으로든 호스트가 손상된 경우 해당 호스트와 상호 작용하는 가상 시스템도 손상될 수 있습니다. 관리 인터페이스를 통한 공격의 위험을 최소화하기 위해 ESXi는 기본 제공 방화벽으로 보호됩니다.
무단 침입과 오용으로부터 호스트를 보호하기 위해 VMware에서 여러 매개 변수, 설정 및 작업에 대해 제약 조건을 적용합니다. 제약 조건은 구성 요구를 충족하기 위해 완화할 수 있지만 제약 조건을 완화하는 경우 네트워크 전체와 호스트에 연결된 디바이스를 전반적으로 보호할 조치를 취해야 합니다.
호스트 보안 및 관리를 평가할 때는 다음 권장 사항을 고려하십시오.
- 보안을 강화하려면 관리 인터페이스에 대한 사용자 액세스를 제한하고 암호 제한 설정과 같은 액세스 보안 정책을 적용하십시오.
- ESXi Shell 로그인 액세스는 신뢰할 수 있는 사용자에게만 제공하십시오. ESXi Shell에는 호스트의 특정 부분에 대한 액세스 권한이 있습니다.
- 가능하면 검사 프로그램이나 가상 시스템 백업과 같이 꼭 필요한 프로세스, 서비스 및 에이전트만 실행하십시오.
- 가능하면 루트 사용자로 로그인하여 명령줄 인터페이스를 사용하는 대신 vSphere Web Client 또는 타사 네트워크 관리 도구를 사용하여 ESXi 호스트를 관리하십시오. vSphere Web Client 사용 시 항상 vCenter Server 시스템을 통해 ESXi 호스트에 연결합니다.
호스트는 관리 인터페이스 또는 작업자가 수행해야 하는 작업을 지원하기 위해 여러 타사 패키지를 실행합니다. VMware는 VMware가 아닌 소스를 통한 이러한 패키지의 업그레이드를 지원하지 않습니다. 다른 소스를 통한 다운로드 또는 패치가 사용된 경우 관리 인터페이스 보안 또는 기능이 손상될 수 있습니다. 타사 벤더 사이트 및 VMware 기술 자료에서 보안 경고를 정기적으로 확인하십시오.
방화벽 구현 이외에 다른 방법을 통해 ESXi 호스트에 대한 위험을 완화할 수 있습니다.
- 호스트에 대한 관리 액세스에 명시적으로 필요하지 않은 모든 방화벽 포트가 닫혀 있는지 확인하십시오. 추가 서비스가 필요한 경우에는 포트를 명시적으로 열어야 합니다.
- 기본 인증서를 바꾸고 보안에 취약한 암호화는 사용하지 않도록 설정하십시오. 기본적으로 보안에 취약한 암호화는 사용하지 않도록 설정되며 클라이언트로부터의 모든 통신에는 TLS 보안이 적용됩니다. 채널의 보안 유지에서 사용되는 정확한 알고리즘은 TLS 핸드셰이크에 따라 다릅니다. ESXi에서 생성된 기본 인증서는 RSA 암호화가 적용된 SHA-1을 서명 알고리즘으로 사용합니다.
- 보안 패치를 설치하십시오. VMware는 ESXi 보안에 영향을 미칠 수 있는 모든 보안 경고를 모니터링하고 필요한 경우 보안 패치를 발표합니다.
- FTP 및 Telnet과 같은 안전하지 않은 서비스가 설치되지 않으며 이러한 서비스용 포트가 닫혀 있어야 합니다. SSH 및 SFTP와 같은 더 안전한 서비스를 쉽게 사용할 수 있으므로 안전한 서비스 대신 이러한 안전하지 않은 서비스를 사용하지 마십시오. 안전하지 않은 서비스를 사용해야 하는 경우 ESXi 호스트에 대해 충분한 보호를 구현하고 해당하는 포트를 여십시오.
ESXi 호스트를 잠금 모드로 설정할 수 있습니다. 잠금 모드가 사용하도록 설정된 경우 vCenter Server에서만 호스트를 관리할 수 있습니다. vpxuser 외 다른 사용자는 인증 권한이 없으며 호스트에 대한 직접 연결이 거부됩니다.