1.ホストにアクセスできる人間の制限:
ホストのセキュリティ化で最初で、最も簡単な方法はロックダウン・モードができるようにすることです。これはvCenterに接続されるすべてのホストがvCenterで管理されることを確かにします。またユーザがvCenterを使用して直接ホストにログインしたり、vCenter経由でコミュニケーションを行っていないツールを防御します。これをESXi version 4で行うにはvCenterでログインし、保護したいホストを選択します。「Security」に続く「Configuration」タブをクリックします。「 Lockdown Mode」に進み、「Edit」をクリックして、「Enable Lockdown Mode」をクリックし、「OK」をクリックします。ESXi Ver5を使用している場合はコンソールにログインし、ロックダウンを使用できるようにDCUI(Direct Console User Interface )を使用します。
この機能はESX 4以上でのみ使用可能です。緊急時に何かの利用でvCenterが利用できないようなロックダウン・モードが使用できない時はホストのコンソールにログインし、DCUIからロックダウンを無効にしてください。
2.ネットワークのセキュリティ化:
デフォルトでvSwitchが作成された時、 無差別モード(Promiscuous Mode)は無効になっていますが、MACアドレス変更と偽装転送(Forged Transmits)の受け入れは可能です。それを行う特別な理由がなければ、拒否のためにMACアドレスを変更し、偽装転送も同じです。この機能を使用するには特定のロードバランシング製品とバーチャル・アプライアンスには注意が必要です。
スイッチ・セキュリティをコンフィグレーションするには問題のホストを選択し、変更するには、「Network」のプロパティから、「Configuration」に移動します。仮想マシン(VM)のvSwitchを選択し、switchを編集します。「Security」タブを選択し、必要な修正をドロップダウンから選択します。この処理はスイッチ同様にポート・グループからも選択できます。
もしポート・グループを使用しているなら、詳細に変更しない限り設定は、vSwitchの設定から継承されます。
3. VMへのセキュリティ
デフォルトでvSphereアプリケーションを使用している時はクライアントとVM間でのコピー&ペーストは可能です。セキュリティ環境ではこれは適切な設定ではありません。これを修正するにはコピー&ペースト・オペレーション・インタラクションを防ぎたいVMを選択します。それからOptions>Advancedを選択します。「General」タブを選択し次を入力します。
isolation.tools.copy.disable true
isolation.tools.paste.disable true
4. ドメイン認証を有効に
ルート・パスワードの共有はアカウンタビリティだけではなく、セキュリティに関するいくつかの問題を発生させますが、認証方法を変更することで簡単に解決できます。ユーザは簡単にAD(Active Directory)認証を使用するようホストに設定できます。
この機能を可能にする前に、ESX Adminsと呼ぶADインフラでグループを作成する必要があります。下記の図のように正確に設定が必要です。
これが終了すれば、AD認証はホスト上で可能です。問題のホストを探して、「Configuration」タブに移動し、右側コーナーの「Properties」メニュをクリックします。これは「Directory Services」コンフィグレーション・メニュをポップアップさせます。ドロップダウンから「Select Directory Service Type」を選択し、「Active Directory」を選択します。Domain設定が可能になります。ドメイン名を入力し、「Join Domain」をプレスします。この時点で加入するドメインの資格でアカウントを入力する必要があります。もしdomain\usernameフォーマットの使用に問題があれば、user@domainフォーマットを使用できます。後者の方が前者より通常はベターです。
より簡単にするにはESX Adminsグループに管理者グループをネストする方が適切かもしれません。ESX Adminsグループ内にDomain Adminsグループを配置してはいけません。それを行い、ユーザの管理者とグループを作成します。
必要に応じて、このログインには、DCUIコンソールに使用することができます。
ソース:SearchVMware
関連トピックス:
- フォルダ機能について【仮想化プラットホーム VMware vSphere】
- Q:Hyper-Vの仮想マシン(VM)のエクスポートを始めた後にキャンセルが必要な時に、どのようなプロセスが停止に必要ですか?
- VMwareユーザ・アカウントのカスタマイズ化でESXiホスト・セキュリティの改善
- Windows Active DirectoryグループでのvSphere管理権限のコントロール
- Windows Server 2012 VHDXフォーマット
- Active Directory統合のためのVMwareユーザ・アカウント設定
- VMotion機能について【VMware環境管理 VMware vCenter】
- dvSwitchのポート設定方法について【仮想化プラットホーム VMware vSphere】
HyTrust(ハイトラスト)は 仮想環境へのアクセス制御とVM、インスタンスの暗号化でプライベート/パブリッククラウドのワークロードを確実に保護できます。 >> https://www.climb.co.jp/soft/hytrust/