Защита интерфейса управления ESXi необходима для предотвращения несанкционированного доступа к продукту и его несанкционированного использования. Если узел был каким-либо образом поврежден, это может отразиться на взаимодействующих с ним виртуальных машинах. Чтобы минимизировать риск атаки через интерфейс управления, предусмотрена защита ESXi с помощью встроенного брандмауэра.
Чтобы защитить узел от несанкционированного доступа и использования, для VMware предусмотрены ограничения в отношении некоторых параметров, настроек и действий. Эти ограничения могут сниматься в соответствии с требованиями конфигурации, но в таком случае следует принять меры по защите всей сети и подключенных к узлу устройств.
Ниже приведены некоторые рекомендации по оценке безопасности узла и его администрирования.
Для усиления защиты следует ограничить доступ пользователей к интерфейсу управления и применить политики безопасности при доступе (например, настроить ограничения на пароли).
Доступ ко входу в ESXi Shell следует предоставлять только доверенным пользователям. Для ESXi Shell предусмотрен привилегированный доступ к некоторым частям узла.
По возможности следует запускать только важные процессы, службы и агенты, включая средства проверки наличия вирусов и резервного копирования виртуальных машин.
По возможности следует использовать vSphere Web Client или сторонние средства для сетевого управления и администрирования узлов ESXi вместо использования интерфейса командной строки в качестве привилегированного пользователя. При использовании vSphere Web Client всегда следует подключаться к узлу ESXi с помощью системы vCenter Server.
На узлах выполняются некоторые сторонние пакеты для поддержки интерфейсов управления и задач, которые должен выполнять оператор. В VMware не предусмотрено обновление таких пакетов из сторонних источников. Загрузка обновлений или исправлений из стороннего источника может быть небезопасной для интерфейса управления, и при этом некоторые функции могут перестать работать. Следует регулярно проверять сайты сторонних поставщиков и базу знаний VMware на предмет оповещений системы безопасности.
Кроме использования брандмауэра минимизировать повреждение узла ESXi можно с помощью других методов.
Следует убедиться, что все порты брандмауэра, которые специально не требуются для управления доступом к узлу, закрыты. Порты следует специально открывать, если требуются дополнительные службы.
Следует заменить сертификат по умолчанию и не включать ненадежное шифрование. По умолчанию ненадежное шифрование отключено и весь обмен данными с клиентами защищен с помощью TLS. Конкретный алгоритм, используемый для защиты канала, зависит от подтверждения TLS. Для сертификатов по умолчанию, созданных в ESXi, в качестве алгоритма подписи используется SHA-1 с шифрованием RSA.
Следует установить исправления системы безопасности. В VMware реализован мониторинг оповещений системы безопасности при потенциальной угрозе для ESXi. При необходимости выпускается соответствующее исправление.
Не следует устанавливать незащищенные службы, включая FTP и Telnet, а порты для этих служб нужно закрыть. Так как большинство служб обеспечения безопасности, включая SSH и SFTP, легко доступны, следует всегда отдавать предпочтение их более безопасным альтернативам. Если предполагается использование незащищенных служб, следует обеспечить надлежащую защиту для узлов ESXi и открыть соответствующие порты.
Узлы ESXi можно перевести в режим блокировки. При включении режима блокировки управление узлом возможно только с помощью решения vCenter Server. Разрешения на проверку подлинности следует предоставлять только пользователям vpxuser; возможность прямого подключения к узлу следует отключить.