若要避免 ESXi 主機遭到未經授權的入侵和不當使用,VMware 將對幾個參數、設定和活動強加限制。若要滿足組態需求,可以放寬限制。若要放寬限制,請確定在受信任的環境中運作且採取了其他安全性措施。

什麼是 ESXi 內建安全性功能?

如下所示,ESXi 可降低主機的風險:

  • 依預設,ESXi Shell 介面和 SSH 介面處於停用狀態。除非執行疑難排解或支援活動,否則,請將這些介面保持停用狀態。對於日常活動,請使用 vSphere Client,其中活動受到角色型存取控制和現代存取控制方法的約束。
  • 依預設,僅部分防火牆連接埠處於開啟狀態。您可以明確開啟與特定服務相關聯的防火牆連接埠。
  • 依預設,所有連接埠 (並非對主機進行管理存取所需) 均處於關閉狀態。請在需要其他服務時開啟連接埠。
  • ESXi 僅執行管理其功能所必需的服務。散佈限制為執行 ESXi 所需的功能。
  • 依預設,將停用弱加密方式,並透過 SSL 保護來自用戶端的通訊。用於保護通道安全的精確演算法取決於 SSL 交握。建立於 ESXi 上的預設憑證,將具有 RSA 加密的 PKCS#1 SHA-256 用作簽章演算法。
  • ESXi 使用內部 Web 服務來支援透過 Web Client 進行存取。此服務已經過修改,僅執行 Web Client 進行管理和監控所需的功能。因此,ESXi 不易遇到在更廣泛的應用中所報告的 Web 服務安全性問題。
  • VMware 將監控所有可能影響 ESXi 安全的安全性警示,並核發安全性修補程式 (如果需要)。若要接收安全性警示,您可以訂閱 VMware 安全性建議和安全性警示郵寄清單。請參閱網頁,網址為 http://lists.vmware.com/mailman/listinfo/security-announce
  • 未安裝諸如 FTP 和 Telnet 之類的不安全服務,並且這些服務的連接埠預設為處於關閉狀態。
  • 若要防止主機載入未經密碼編譯簽署的驅動程式和應用程式,請使用 UEFI 安全開機。將在系統 BIOS 中完成啟用安全開機的操作。ESXi 主機上不需要額外的組態變更,例如,磁碟分割。請參閱ESXi 主機的 UEFI 安全開機
  • 如果您的 ESXi 主機具有 TPM 2.0 晶片,則在系統 BIOS 中啟用並設定該晶片。TPM 2.0 與安全開機一起運作,可增強安全性和提供硬體信任保證。請參閱使用信賴平台模組保護 ESXi 主機
  • ESXi 8.0 及更新版本中,您可以在沙箱網域下執行 SSH 程序。然後 shell 會減少權限,僅允許存取有限的命令子集。如需詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/87386

採取更多 ESXi 安全性措施

評估主機安全性和管理時,請考慮以下建議。

限制對 ESXi 主機的存取
如果您啟用對 Direct Console 使用者介面 (DCUI)、 ESXi Shell 或 SSH 的存取,請強制執行嚴格的存取安全性原則。
ESXi Shell 具有對主機某些部分的存取權。只為受信任的使用者提供 ESXi Shell 登入存取權。
不直接存取受管理的 ESXi 主機
使用 vSphere Client 來管理受 vCenter Server 管理的 ESXi 主機。請勿使用 VMware Host Client 直接存取受管理的主機,也不要在 DCUI 中變更受管理的主機。
如果您使用指令碼式介面或 API 管理主機,請勿直接鎖定主機。而是鎖定管理主機的 vCenter Server 系統,然後指定主機名稱。
僅將 DCUI 用於疑難排解
僅為了疑難排解才以根使用者身分從 DCUI 或 ESXi Shell 存取主機。若要管理 ESXi 主機,請使用 vSphere Client (或 VMware Host Client) 或其中一個 VMware CLI 或 API。請參閱 ESXCLI 概念和範例。如果您使用 ESXi Shell 或 SSH,請限制具有存取權的帳戶並設定逾時。
僅使用 VMware 來源以升級 ESXi 元件
主機執行多個第三方套件來支援管理介面或必須執行的工作。VMware 僅支援升級至這些來自 VMware 來源的套件。如果使用來自另一個來源的下載內容或修補程式,可能會危及管理介面的安全性或功能。檢查第三方廠商網站和 VMware 知識庫,取得安全性警示。
備註: 請遵循以下位置的 VMware 安全性建議: http://www.vmware.com/security/