De beveiliging van de ESXi-beheerinterface is cruciaal voor de bescherming tegen ongeautoriseerde indringing en misbruik. Als een host op bepaalde manieren wordt geschaad, worden de virtual machines waarmee interactie plaatsvindt mogelijk ook geschaad. Om het risico van een aanval via de beheerinterface tot een minimum te beperken, wordt ESXi beschermd door een ingebouwde firewall.
Om de host te beschermen tegen ongeautoriseerde indringing en misbruik, legt VMware beperkingen op aan verschillende parameters, instellingen en activiteiten. Beperkingen kunnen worden versoepeld om te voldoen aan de configuratie-eisen, maar wanneer dit gebeurt moeten er maatregelen worden getroffen voor de bescherming van het netwerk als geheel en de apparaten die zijn verbonden met de host.
Houd rekening met de volgende aanbevelingen bij het evalueren van de beveiliging en het beheer van de host.
- Om de beveiliging te verbeteren moet gebruikerstoegang tot de beheerinterface worden beperkt en moet toegangsbeveiligingsbeleid worden ingesteld zoals het instellen van wachtwoordbeperkingen.
- Geef alleen vertrouwde gebruikers aanmeldingstoegang tot ESXi Shell. De ESXi Shell heeft toegangsbevoegdheid voor bepaalde delen van de host.
- Voer indien mogelijk alleen de essentiële processen, services en agents uit zoals virusscanners en back-up van virtual machines.
- Gebruik indien mogelijk het netwerkbeheerprogramma van vSphere Web Client of derden voor het beheren van ESXi-hosts in plaats van als rootgebruiker te werken via de opdrachtregelinterface. Als u de vSphere Web Client gebruikt, dan maakt u altijd verbinding met de ESXi-host via een vCenter Server-systeem.
De host voert verschillende pakketten van derden uit voor de ondersteuning van beheerinterfaces of taken die een operator moet uitvoeren. VMware ondersteunt het upgraden van deze pakketten alleen via een VMware-bron. Als een download of patch van een andere bron wordt gebruikt, dan kunnen de beveiliging of functies van de beheerinterface mogelijk worden geschaad. Controleer de sites van externe leveranciers en de VMware-kennisbank regelmatig op beveiligingswaarschuwingen.
Naast het implementeren van de firewall, kunt u risico's voor ESXi-hosts beperken door middel van andere methoden.
- Zorg ervoor dat alle firewallpoorten die niet specifiek nodig zijn voor beheertoegang tot de host zijn gesloten. Poorten moeten specifiek worden geopend als er andere services vereist zijn.
- Vervang de standaardcertificaten en gebruik geen zwakke versleutelingen. Standaard zijn zwakke versleutelingen uitgeschakeld en wordt alle communicatie van clients beveiligd door TLS. De exacte algoritmen die voor de beveiliging van het kanaal worden gebruikt, zijn afhankelijk van de TLS-handshake. Standaardcertificaten die zijn gemaakt op ESXi gebruiken SHA-1 met RSA-codering als handtekeningalgoritme.
- Installeer beveiligingspatches. VMware controleert alle beveiligingswaarschuwingen die invloed kunnen hebben op de beveiliging van ESXi, en brengt indien nodig een patch uit.
- Onbeveiligde services zoals FTP en Telnet worden niet geïnstalleerd en de poorten voor deze services zijn gesloten. Omdat veiligere services zoals SSH en SFTP eenvoudig beschikbaar zijn, moeten deze veiligere alternatieven altijd worden gebruikt in plaats van onveilige services. Als u onbeveiligde services moet gebruiken, implementeer dan voldoende bescherming voor de ESXi-hosts en open de betreffende poorten.
U kunt ESXi-hosts in lockdownmodus zetten. Als de lockdownmodus is ingeschakeld, kan de host alleen worden beheerd vanaf vCenter Server. Alleen vpxuser heeft verificatiemachtigingen, en directe verbindingen met de host worden geweigerd.