這些安全性控制提供了一組基礎的 vSphere 硬體安全性最佳做法。它們的結構化方式說明了實作控制的優勢和權衡。
使用的變數
本節中的 PowerCLI 命令使用以下變數:
- $ESXi = "host_name"
使用 Intel Trusted Execution Technology
確保已啟用 Intel Trusted Execution Technology (TXT) (如果系統韌體中可用)。
Intel Xeon 可擴充處理器平台具有 TXT,可提供平台及其作業系統的真確性。如果啟用,ESXi 可利用此技術提供的安全性優勢。
- 變更預設值的潛在影響
- 早期實作 TXT 偶爾會導致系統突然關閉,從而在 vCenter Server 中觸發證明警示,甚至導致開機失敗。系統重新啟動可解決這些問題,而系統韌體更新通常會永久解決該問題。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/78243。
設定 UEFI 安全開機
確保已啟用 UEFI 安全開機。
在 ESXi 主機的硬體上啟用 UEFI 安全開機有助於防止惡意軟體和不受信任的組態。
使用 TPM 2.0
確保已在 ESXi 主機上正確安裝並設定信賴平台模組 (TPM) 2.0。
ESXi 可以使用 TPM 啟用進階安全性功能,這些功能可防止惡意軟體、移除相依性以及保護硬體生命週期作業安全。如果可能,請將主機設定為使用 TPM 2.0,並在系統韌體中啟用 TPM。
確保硬體韌體為最新
確保將最新韌體更新套用至系統的所有元件,並且韌體是真實的並由硬體製造商提供。
硬體韌體也不能避免影響機密性、完整性或可用性的嚴重問題。攻擊者可以使用易受攻擊的系統管理控制器和管理引擎建立持續性,並在重新開機和更新後再次感染和重新破壞主機。
保護整合式硬體管理控制器安全
確保整合式硬體管理控制器得到充分保護。
許多伺服器都已整合硬體管理控制器,在監控和更新硬體、設定和韌體時,這些控制器非常有用。對於這些控制器:
- 停用所有未使用的功能。
- 停用所有未使用的存取方法。
- 設定密碼和密碼控制。
- 實施防火牆和存取控制,以便僅從虛擬化管理團隊的授權存取工作站進行存取。
停用所有「首次開機」組態選項,尤其是從插入的 USB 裝置重新設定系統的選項。此外,還要停用或保護連結到管理控制器的 USB 連接埠。如果可能,請將 USB 連接埠設定為僅允許使用鍵盤。
變更帳戶的預設密碼。
保護外部資訊顯示安全,以防止資訊外洩。保護電源和資訊按鈕,防止未經授權的使用。
許多硬體管理控制器可在發生硬體故障和組態變更時提供警示機制。如果未使用其他硬體監控方法,請考慮使用這些方法。
同步整合式硬體管理控制器上的時間
確保同步整合式硬體管理控制器上的時間。
密碼編譯、稽核記錄、叢集作業和事件回應取決於同步時間。此建議適用於基礎結構中的所有裝置。網路時間通訊協定 (NTP) 必須具有至少四個來源。如果必須在兩個來源和一個來源之間進行選擇,則最好選擇一個來源。
保護整合式硬體管理控制器使用 Active Directory 的方式
確保不會在整合式硬體管理控制器使用 Active Directory 的方式中建立相依性迴圈或攻擊向量。
停用與 Active Directory 的連線,或者至少將其視為攻擊向量和相依性迴圈 (用於驗證、授權、DNS、DHCP 和時間)。請考慮透過 API 和 CLI 管理這些裝置上的本機帳戶。如果必須使用 Active Directory 進行驗證,請使用本機授權,以便具有 Active Directory 存取權限的攻擊者無法透過群組成員資格提升自己。
停用虛擬整合式硬體管理控制器
確保停用具有內部、模擬或虛擬網路介面的整合式硬體管理控制器。
某些硬體管理控制器能夠將虛擬網路介面呈現給 ESXi 作為管理介面。這些方法為存取創造了潛在的後門,對手可以使用這些後門在任一方向繞過以網路為基礎的防火牆和周邊防火牆,並避免被 IDS、IPS 和威脅分析工具觀察到。在許多情況下,此功能對於管理主機來說並不是絕對必要的。
啟用 AMD 安全加密虛擬化-加密狀態
請確保 AMD 安全加密虛擬化-加密狀態 (SEV-ES) 已啟用 (如果在系統韌體中可用)。確保「最小 SEV 非 ES ASID」的值等於 SEV-ES 虛擬機器的數量加 1。
AMD EPYC 平台支援 SEV-ES,這是一種加密記憶體和 CPU 暫存器狀態的技術,並限制對 Hypervisor 的可見度,以提高工作負載安全性並降低遭受某些類型攻擊的風險。正確設定後,SEV-ES 可在 vSphere 和 vSphere with Tanzu 下為虛擬機器和容器上的客體作業系統增強安全性。在系統韌體中啟用 SEV-ES 可簡化將來在虛擬機器、容器和客體作業系統中的啟用過程。
- 變更預設值的潛在影響
- 虛擬機器的客體作業系統必須支援 SEV-ES,因此會限制某些功能,例如 vMotion、快照等。如需有關這些權衡的詳細資訊,請參閱 SEV-ES 上不支援的 VMware 功能。
啟用虛擬 Intel Software Guard Extensions (vSGX)
請確保虛擬 Intel® Software Guard Extensions (vSGX) 已啟用 (如果在系統韌體中可用)。
Intel Xeon 可擴充處理器平台具有 Software Guard Extensions (SGX) 技術,該技術可協助應用程式保護系統記憶體中的資料。正確設定後,vSphere 支援在虛擬機器中使用 SGX。在系統韌體中啟用 SGX 可簡化將來在虛擬機器和客體作業系統中的啟用過程。
- 變更預設值的潛在影響
- 虛擬機器的客體作業系統必須支援 vSGX,因此會限制某些功能,例如 vMotion、快照等。如需有關這些權衡的詳細資訊,請參閱 vSGX 上不支援的 VMware 功能。
停用外部連接埠
確保停用或保護未使用的外部連接埠,以防止未經授權使用。
攻擊者可以使用未使用的連接埠 (尤其是 USB) 來連結儲存區、網路和鍵盤。採取合理的措施,透過停用和存取控制來控制對這些連接埠的存取。如果可能,使用堅固的機架門、機架側板和地板等其他方式,使機架門關閉時無法從機架外部存取連接埠。請注意,纜線很容易穿過機架和機架門內部及其周圍的許多縫隙,而硬電線可用於將纜線從機架外部推入插座,也可用於拔掉纜線以造成服務中斷。
如果可能,請將 USB 連接埠設定為僅允許使用鍵盤。
停用此類功能時,請考慮可能需要在中斷期間或作為生命週期作業的一部分使用 USB 鍵盤存取伺服器,並相應地進行規劃。
