若要避免 ESXi 主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。若要滿足組態需求,可以放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了其他安全性措施。
什麼是 ESXi 內建安全性功能?
如下所示,ESXi 可降低主機的風險:
- 依預設,ESXi Shell 介面和 SSH 介面處於停用狀態。除非執行疑難排解或支援活動,否則,請將這些介面保持停用狀態。對於日常活動,請使用 vSphere Client,其中活動受到角色型存取控制和現代存取控制方法的約束。
- 依預設,僅部分防火牆連接埠處於開啟狀態。您可以明確開啟與特定服務相關聯的防火牆連接埠。
- 依預設,所有連接埠 (並非對主機進行管理存取所需) 均處於關閉狀態。請在需要其他服務時開啟連接埠。
- ESXi 僅執行管理其功能所必需的服務。散佈限制為執行 ESXi 所需的功能。
- 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。
- ESXi 使用內部 Web 服務來支援透過 Web Client 進行存取。此服務已經過修改,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Web 服務安全性問題。
- VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。若要接收安全性警示,您可以訂閱 VMware 安全性建議和安全性警示郵寄清單。請參閱網頁,網址為 http://lists.vmware.com/mailman/listinfo/security-announce。
- 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。
- 若要防止主機載入未經密碼編譯簽署的驅動程式和應用程式,請使用 UEFI 安全開機。將在系統 BIOS 中完成啟用安全開機的操作。ESXi 主機上不需要額外的組態變更,例如,磁碟分割。請參閱ESXi 主機的 UEFI 安全開機。
- 如果您的 ESXi 主機具有 TPM 2.0 晶片,則在系統 BIOS 中啟用並設定該晶片。TPM 2.0 與安全開機一起運作,可增強安全性和提供硬體信任保證。請參閱使用信賴平台模組保護 ESXi 主機。
- 在 ESXi 8.0 及更新版本中,您可以在沙箱網域下執行 SSH 程序。然後 shell 會減少權限,僅允許存取有限的命令子集。如需詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/87386。
採取更多 ESXi 安全性措施
評估主機安全性和管理時,請考慮以下建議。
- 限制對 ESXi 主機的存取
- 如果您啟用對 Direct Console 使用者介面 (DCUI)、 ESXi Shell 或 SSH 的存取,請強制執行嚴格的存取安全性原則。
- 不直接存取受管理的 ESXi 主機
- 使用 vSphere Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿使用 VMware Host Client 直接存取受管理的主機,也不要在 DCUI 中變更受管理的主機。
- 僅將 DCUI 用於疑難排解
- 僅為了疑難排解才以根使用者身分從 DCUI 或 ESXi Shell 存取主機。若要管理 ESXi 主機,請使用 vSphere Client (或 VMware Host Client) 或其中一個 VMware CLI 或 API。請參閱 ESXCLI 概念和範例。如果您使用 ESXi Shell 或 SSH,請限制具有存取權的帳戶並設定逾時。
- 僅使用 VMware 來源以升級 ESXi 元件
- 主機執行多個第三方套件來支援管理介面或必須執行的工作。VMware 僅支援升級至這些來自 VMware 來源的套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。
備註: 請遵循以下位置的 VMware 安全性建議:
http://www.vmware.com/security/。