若要避免主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。可以根據組態需求而放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了足夠的其他安全性措施,可以保護整個網路以及連線到主機的裝置。

評估主機安全性和管理時,請考慮以下建議。

  • 限制使用者存取權。

    若要提升安全性,請限制使用者存取 Direct Console 使用者介面 (DCUI) 和 ESXi Shell,並強制執行存取安全性原則 (例如,透過設定密碼限制)。

    ESXi Shell 具有對主機某些部分的存取權。只為受信任的使用者提供 ESXi Shell 登入存取權。

  • 使用 vSphere Client 管理獨立 ESXi 主機。

    盡可能使用 vSphere Client 或第三方網路管理工具來管理 ESXi 主機,而不是以根使用者身分透過命令列介面運作。透過 vSphere Client,可以限制具有 ESXi Shell 存取權的帳戶,安全地委派責任,並設定角色以防止管理員和使用者使用不必要的功能。

  • 使用 vSphere Web Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿透過 vSphere Client 直接存取受管理的主機,且不要從主機的 DCUI 變更受管理主機。

  • 僅使用 VMware 來源以升級 ESXi 元件。

    主機執行各種第三方套件來支援管理介面或必須執行的工作。VMware 不支援從 VMware 來源以外的任何其他來源升級這些套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。定期檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。

除了實作防火牆之外,還可使用其他方式降低主機的風險。

  • ESXi 僅執行管理其功能所不可或缺的服務,而發行版僅限於執行 ESXi 所需的功能。

  • 依預設,所有連接埠 (並非專用於對主機進行管理存取) 均處於關閉狀態。如果需要其他服務,則必須專門開啟適當的連接埠。

  • 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的所有通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。

  • ESXi 在內部曾使用 Tomcat Web 服務來支援 Web Client 進行存取。Tomcat Web 服務經過修改後,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Tomcat 安全性問題。

  • VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。

  • 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。由於 SSH 和 SFTP 之類較為安全的服務易於獲取,因此,請始終避免使用這些不安全的服務,以支援更為安全的替代方案。例如,使用具有 SSL 的 Telnet 而不是 Telnet 來存取虛擬序列埠。如果必須使用不安全的服務,且已為主機實作了充分的保護措施,則必須明確開啟相應連接埠才能支援這些服務。

備註︰

請遵循以下位置的 VMware 安全性建議:http://www.vmware.com/security/