Vmware、ESXiサーバを保護するガイダンスをリリース

Vmwareは、企業で仮想化プラットフォームとして最も使用されているESXiサーバを保護するガイダンスをリリースしました。

The ESXi hypervisor is secured out of the box. You can further protect ESXi hosts by using lockdown mode and other built-in features. For consistency, you can s...

ESXi ハイパーバイザーはすぐに保護することができ、ロックダウンモードやその他の組み込み機能を使用して、ESXi ホストをさらに保護することができます。

一貫性を保つために、リファレンスホストを設定し、すべてのホストをリファレンスホストのホストプロファイルと同期させることができます。

また、スクリプトによる管理を行い、変更がすべてのホストに適用されるようにすることで、環境を保護することができます。

vCenter Server で管理されている ESXi ホストの保護を強化するには、以下の操作を行います。

Table of contents

ESXi へのアクセスの制限
別名の管理者ユーザーと最小権限の使用
開いている ESXi ファイアウォールポートの数を減らす
ESXi ホスト管理の自動化
ロックダウンモードの活用
VIB パッケージの整合性の確認
ESXi 証明書の管理
スマートカード認証の検討
ESXi のアカウントロックアウトの検討

ESXi へのアクセスの制限

デフォルトでは、ESXi ShellとSSHサービスは実行されておらず、rootユーザーのみがDCUI（Direct Console User Interface）にログインできます。ESXiやSSHのアクセスを有効にする場合は、タイムアウトを設定して不正アクセスのリスクを制限することができます。

ESXi ホストにアクセスできるユーザーは、ホストを管理する権限を持っている必要があります。ホストを管理するvCenter Server システムから、ホストオブジェクトに権限を設定します。

別名の管理者ユーザーと最小権限の使用

デフォルトでは、ルートユーザーが多くのタスクを実行できます。管理者がルートユーザーアカウントを使用してESXi ホストにログインすることを許可しないようにしてください。

代わりに、vCenter Serverから管理者ユーザーを作成し、それらのユーザーにAdministratorロールを割り当てます。また、これらのユーザーにカスタムロールを割り当てることもできます。詳細は「カスタムロールの作成」を参照してください。

Create a vCenter Server Custom Role

To suit the access control needs of your environment, you can create vCenter Server custom roles. You can create a role or clone an existing role.

ホスト上でユーザーを直接管理する場合、ロール管理のオプションには制限があります。

開いている ESXi ファイアウォールポートの数を減らす

デフォルトでは、ESXi ホストのファイアウォールポートは、対応するサービスを起動したときにのみOpenになります。

vSphere Client または ESXCLI または PowerCLI コマンドを使用して、ファイアウォールポートの状態を確認および管理できます。

ESXi ホスト管理の自動化

同じデータセンター内の異なるホストが同期していることが重要な場合が多いため、スクリプトによるインストールまたは vSphere Auto Deploy を使用してホストをプロビジョニングします。

スクリプトを使用してホストを管理できます。

スクリプトによる管理の代わりに、ホストプロファイルを使用できます。参照ホストを設定し、ホストプロファイルをエクスポートして、そのホストプロファイルをすべてのホストに適用します。

ホストプロファイルは、直接適用することもAuto Deploy でのプロビジョニングの一部として適用することもできます。

ロックダウンモードの活用

ロックダウンモードでは、デフォルトでは、vCenter Server を通してのみ ESXi ホストにアクセスできます。

厳密なロックダウンモードまたは通常のロックダウンモードを選択できます。

例外ユーザーを定義して、バックアップエージェントなどのサービスアカウントへの直接アクセスを許可することができます。

VIB パッケージの整合性の確認

各VIBパッケージには、関連する受け入れレベルがあります。VIB の受け入れレベルがホストの受け入れレベルと同じかそれ以上である場合のみ、VIB を ESXi ホストに追加できます。

ホストの受け入れレベルを明示的に変更しない限り、CommunitySupported または PartnerSupported の VIB をホストに追加することはできません。

ESXi 証明書の管理

VMware Certificate Authority (VMCA) は、デフォルトで VMCA をルート認証局とする署名入りの証明書を各 ESXi ホストに提供します。

会社のポリシーで必要な場合は、既存の証明書をサードパーティまたはエンタープライズCAによって署名された証明書に置き換えることができます。

スマートカード認証の検討

ESXiは、ユーザー名とパスワードによる認証の代わりに、スマートカード認証の使用をサポートしています。

セキュリティを強化するために、スマートカード認証を設定することができます。

vCenter Serverでも二要素認証がサポートされています。

ユーザー名とパスワードによる認証とスマートカード認証を同時に構成することができます。

ESXi のアカウントロックアウトの検討

アカウントのロックは、SSH および vSphere Web Services SDK を介したアクセスでサポートされています。

デフォルトでは、アカウントがロックされる前に、最大 10 回の試行失敗が許可されます。アカウントのロックは、デフォルトでは2分後に解除されます。
注意してください。

DCUI（Direct Console Interface）とESXi シェルは、アカウントのロックアウトをサポートしていません。

スタンドアロンホストのセキュリティに関する注意事項は、管理タスクが異なる場合がありますが、同様です。