بهترین راهکار امنیتی ESXi

بهترین راهکار امنیتی ESXi

بهترین راهکار امنیتی ESXi - سازمان ها در سراسر جهان از هایپروایزر VMware ESXi برای مجازی سازی استفاده می کنند. ESXi یک هایپروایزر نوع 1 (یا "فلز برهنه") است، به این معنی که مستقیماً روی سخت افزار قرار می گیرد، نه در بالای سیستم عاملی مانند ویندوز. معمولاً شرکت‌ها سرورهای حیاتی را بر روی یک یا چند میزبان ESXi اجرا می‌کنند که همگی توسط vCenter Server (پلتفرم VMware برای مدیریت چنین محیط‌هایی و اجزای وابسته به آن‌ها) مدیریت می‌شوند.

متأسفانه برای مدافعان، خود میزبان های ESXi در حال حاضر از EDR اجرا شده بومی (تشخیص و پاسخ نقطه پایانی) پشتیبانی نمی کنند. اگر ورود به سیستم فعال باشد، رویدادهای خاصی در آن میزبان‌ها می‌توانند به یک SIEM ارسال شوند، اما این راه‌حل به دلایل مختلفی ایده‌آل نیست. تعداد زیادی از مشاغل کوچک و متوسط وجود دارند که نه SIEM دارند و نه کارکنانی برای نظارت و واکنش مناسب به گزارش‌ها و هشدارهای SIEM. این شکاف در حفاظت از دید مهاجمان دور نمانده است. به ویژه، بسیاری از حملات باج افزار در طول سال ها از این موضوع سوء استفاده کرده اند. مقاله بهترین راهکار امنیتی ESXi به شما در مورد امنیت سرور کمک میکند.

تیم Sophos Managed Risk مرتباً سؤالاتی در مورد پیکربندی هاست ناامن ارائه می دهد و راهنمایی هایی را برای چگونگی اصلاح آنها ارائه می دهد. اگرچه هیچ چیز نمی تواند جایگزین مکالمات عمیق با انسان های زنده شود، ما ده لیست برتر از روش های توصیه شده را برای این مقاله گردآوری کرده ایم. در صورت لزوم، ما جدیدترین دستورالعمل‌های موجود را که عموماً توسط خود VMware (Broadcom) نگهداری می‌شود، توصیف و پیوند می‌دهیم. در چند مورد، ما نکات یا ترفندهایی را که از طریق تجربه خودمان در مورد این درمان ها جمع آوری کرده ایم، به اشتراک گذاشته ایم.

چرا ESXi؟
چه چیزی میزبان های ESXi را برای مهاجمان جذاب می کند؟ علاوه بر سهم بازار قابل توجه ESXi، موضوع سرعت و کارایی است. بهترین راهکار امنیتی ESXi و کانفیگ مناسب برای جلوگیری از نفوذ به ESXi چیست؟

به طور کلی، با پیکربندی‌های میزبان ناامن، یک مهاجم حتی مجبور نیست به نوع سوء استفاده‌هایی که EDR معمولاً پرچم‌گذاری می‌کند تکیه کند - به عبارت دیگر، اگر میزبان را هدف قرار دهد، نوار برای مهاجمان بسیار پایین‌تر تنظیم می‌شود. ( فکر کنید مانند یک مهاجم در اینجا اعمال می شود: چرا با حمله به خود ماشین های مجازی با EDR، و به طور بالقوه حتی MDR (تشخیص و پاسخ مدیریت شده)، در حالی که می توانید تمام آن حفاظت ها را کنار بگذارید و میزبان اصلی و پیکربندی شده ناامن را هدف قرار دهید؟)

با هدف قرار دادن هاست، مهاجم می تواند به سرعت آسیب های نامتناسبی به یک سازمان وارد کند – کل هاست ESXi را به همراه ماشین های مجازی که میزبانی می کند، به معنای واقعی کلمه با یک کلیک رمزگذاری می کند. برای برخی از سازمان‌ها، اگر مهاجم فقط زیرساخت ESXi را رمزگذاری کند، ممکن است همچنان ویران کند و دستور پرداخت باج بدهد. (تیم واکنش به حادثه Sophos X-Ops درباره روش‌های بالقوه استخراج داده‌ها از دیسک‌های مجازی رمزگذاری‌شده نوشته است ، اما بدیهی است که بهتر است هرگز به آن حالت نرسید.) مقاله بهترین راهکار امنیتی ESXi را تا آخر بخوانید. 

کانفیگ ilo سرور g10

خوشبختانه، کارهایی وجود دارد که مدافعان می توانند برای دخالت در حمله به ESXi انجام دهند. حداقل، این اقدامات احتیاطی مهاجمان را کاهش می دهد (به مدافعان فرصت بیشتری برای شناسایی و پاسخ دادن می دهد)، و حتی ممکن است در متوقف کردن حمله علیه ESXi به طور کامل موفق شوند. این مقاله ده تاکتیک را با پیوندهایی به منابع منبع و اطلاعات اضافی در صورت لزوم پوشش می دهد. بدون ترتیب خاصی:

اطمینان حاصل کنید که هاست های vCenter و ESXi نسخه های پشتیبانی شده را اجرا می کنند و به طور کامل وصله شده اند
در نظر بگیرید که میزبان vCenter و ESXi را به دامنه ملحق نکنید
حالت قفل عادی را فعال کنید
SSH را در صورت عدم استفاده غیرفعال کنید
پیچیدگی رمز عبور را برای میزبان های vCenter و ESXi اعمال کنید
نیاز به قفل حساب پس از تلاش های ناموفق برای ورود به سیستم UEFI Secure Boot را فعال کنید
میزبان را طوری پیکربندی کنید که فقط باینری های ارائه شده از طریق VIB امضا شده را اجرا کند
در صورت عدم استفاده، مرورگر شیء مدیریت شده (MOB)، خدمات CIM، SLP و SNMP را غیرفعال کنید.
ثبت ورود مداوم را تنظیم کنید برای اهداف این راهنما، ما از ESXi (برخلاف vSphere) برای نشان دادن پیکربندی host-plus-management-centre مورد نظر استفاده خواهیم کرد.

در صورت امکان، این راهنما اجرای توصیه‌ها را برای محیط‌هایی که از vCenter برای مدیریت همه میزبان‌ها و همچنین محیط‌هایی که این کار را نمی‌کنند، پوشش می‌دهد.

اطمینان حاصل کنید که سرور vCenter و هاست ESXi نسخه های پشتیبانی شده را اجرا می کنند و به طور کامل وصله شده اند.

اطمینان از اینکه همه سرورهای vCenter و میزبان های ESXi نسخه های پشتیبانی شده نرم افزار مربوطه خود را اجرا می کنند و به طور منظم وصله می شوند، سطح حمله مرتبط با آسیب پذیری های شناخته شده ای را که برای آنها وصله وجود دارد کاهش می دهد.

چگونه بهترین راهکار امنیتی ESXi را انجام دهیم

هنگام اعمال به روز رسانی، توصیه می شود ابتدا سرور vCenter را به روز کنید (در صورت وجود به روز رسانی)، و سپس هاست ESXi را به روز کنید. بهتر است قبل از شروع به روز رسانی هاست، به روز رسانی های لایه مدیریت به طور کامل در محل قرار گیرند.

در زمان نگارش این مقاله (اوایل آگوست 2024)، فقط نسخه های 7.0 و 8.0 سرور vCenter / ESXi در حال حاضر پشتیبانی می شوند. علاوه بر این، زمان 7.0 رو به پایان است، زیرا VMware اعلام کرده است که این نسخه در تاریخ 2 آوریل 2025 به پایان می رسد و هیچ به روز رسانی دیگری ارائه نخواهد کرد. اگر قبلاً به 8.0 ارتقاء نداده اید، باید از زمان قبل از آوریل 2025 برای برنامه ریزی و اجرای ارتقاهای خود استفاده کنید. علاوه بر این، VMware قویاً داشتن vCenter Server را در نسخه مشابه یا بالاتر از شماره ساخت ESXi Host توصیه می‌کند . مقاله بهترین راهکار امنیتی ESXi 
به قول خود VMware، "اتصال ESXi Host با شماره ساخت بالاتر به سرور vCenter ممکن است موفقیت آمیز باشد، اما [توصیه نمی شود]." اگر نسخه‌ای را اجرا می‌کنید که از قبل پشتیبانی نمی‌شود، وضعیت ارتقای شما هم فوری‌تر و هم پیچیده‌تر می‌شود. برای ارتقای لوازم سرور vCenter قبل از نسخه 6.7، ابتدا باید به نسخه 6.7 یا 7.0 ارتقا دهید و سپس به نسخه 8.0 ارتقا دهید.

در حالی که فرآیند vCenter برای ارتقاء نسخه ها اساساً انتقال به یک نمونه جدید است، وصله کردن آن ساده است. فرآیند وصله از طریق پورتال مدیریت سرور vCenter انجام می شود. مجموعه دستورالعمل کامل در سایت VMware Docs موجود است. (توصیه می‌شود قبل از نصب هر به‌روزرسانی یا پچ، از سرور vCenter نسخه پشتیبان تهیه کنید.)

برای ارتقا و وصله هاست های ESXi که به vCenter متصل هستند، از vSphere Lifecycle Manager استفاده خواهید کرد. VMware یک ویدیوی عالی در مورد این فرآیند چند قسمتی منتشر کرده است. ما دریافته‌ایم که در این موقعیت خاص، به‌جای خواندن گام به گام دستورالعمل‌ها، تماشای یک ویدیو ساده‌تر است.

برای وصله یک هاست مستقل ESXi از طریق کلاینت وب، باید از طریق SSH (پروتکل Secure Shell) به هاست دسترسی داشته باشید. در بخش بعدی در مورد بهداشت صحیح SSH بیشتر خواهیم گفت،

انجام بهترین راهکار امنیتی ESXi:

گزینه های کاهش موقت
اجرای نرم افزاری که در حال حاضر پشتیبانی می شود و به طور کامل وصله شده است باید همیشه هدف باشد. با این حال، شرایطی وجود دارد که در آن نسخه جدیدتر نرم افزار نیاز به ارتقاء سخت افزاری دارد که روی آن اجرا می شود. بسته به زمان و بودجه، ممکن است این چیزی نباشد که شرکت بتواند فوراً انجام دهد. بهترین راهکار امنیتی ESXi به عنوان یک کاهش موقت، اجرای توابع مدیریت هاست های ESXi در یک شبکه مجزا از ماشین های مجازی روی آن هاست ها را در نظر بگیرید – در حالت ایده آل، یک شبکه مجزا را فقط برای مدیریت ESXi راه اندازی کنید. بسته به منابعی که در اختیار دارید، می‌توان این کار را عمدتاً از طریق کد، با استفاده از VLAN و برچسب‌گذاری یا حتی با استقرار ترکیبی از سوئیچ‌ها و روترهای فیزیکی انجام داد. هدف در این شرایط محدود کردن قرار گرفتن در معرض شبکه میزبان تا زمانی است که بتوان آن را ارتقا داد . نباید به عنوان یک جایگزین دائمی یا حتی طولانی مدت برای ارتقا در نظر گرفته شود.

در نظر بگیرید که میزبان vCenter و ESXi را به دامنه ملحق نکنید

همانطور که "املاک خود را وصله نگه دارید" توصیه عمومی خوبی برای infosec با کاربرد خاص برای ESXi است، "به گذرواژه‌های خود توجه کنید" توصیه کلی با قابلیت کاربرد ویژه ESXi و vCenter است. اگر مهاجم به هر وسیله ای بتواند اعتبارنامه های یک حساب دامنه به اندازه کافی ممتاز را به دست آورد، ممکن است از آنها برای هدف قرار دادن میزبان های vCenter یا ESXi برای اهداف حرکت جانبی یا (دوباره) رمزگذاری داده ها استفاده کند. بهترین راهکار امنیتی ESXi جدا نگه داشتن هاست های vCenter و ESXi از دامنه سازمان، این سطح حمله را کاهش می دهد، به خصوص زمانی که با رمزهای عبور منحصر به فرد و پیچیده ترکیب شود.

در این مقاله، مایکروسافت به تازگی توصیه‌ای در رابطه با آسیب‌پذیری منتشر کرده است که به صورت پیش‌فرض، بدون اعتبارسنجی مناسب، دسترسی مدیریتی کامل به هایپروایزر ESXi را به حساب‌هایی که به گروه ESX Admins AD اضافه شده بود، می‌دهد. آسیب‌پذیری‌هایی مانند این یک دلیل اضافی برای عدم پیوستن میزبان‌های vCenter و ESXi به دامنه است.

تامین امنیت سرور اچ پی

قدرت رمز عبور بهترین راهکار امنیتی ESXi است، قدرت رمز عبور به این معنی است که برای افرادی که vCenter/ESXi را مدیریت می کنند، به مجموعه دیگری از اعتبارنامه ها نیاز است. این اعتبارنامه ها باید در داخل سازمان منحصر به فرد باشند و باید به طور قابل توجهی با رمز عبور دامنه افراد متفاوت باشند (یعنی پاس دامنه = <securepass>@123، esxi pass = <securepass>@123! انتخاب بدی است). یک راه موثر برای مدیریت این موضوع استفاده از یک مدیر رمز عبور شرکتی مانند 1Password یا Keeper است که می تواند هزینه های مربوط به ردیابی چند کلمه عبور یا عبارت عبور منحصر به فرد را برطرف کند. یک مدیر رمز عبور شرکتی به شدت به مدیر رمز عبور کارمند فردی ترجیح داده می شود، زیرا چندین مزیت به شرکت می دهد. اینها شامل توانایی ممیزی گزارش های امنیتی مرتبط با مدیر رمز عبور استفاده شده، اجرای پیچیدگی رمز عبور، و توانایی نیاز به احراز هویت چند عاملی (MFA) برای دسترسی به خود مدیر رمز عبور است. (در یک لحظه بیشتر در مورد ESXi و MFA.)

بهترین راهکار امنیتی ESXi همچنین حکم می‌کند که هر کاربر در سطح سرپرست ESXi باید حساب نام‌گذاری شده خود را داشته باشد ، برخلاف اشتراک‌گذاری حساب‌های «ریشه» یا «مدیریت». از نظر مجوزهای نقش در vCenter، سه نقش در دسترس است 

اپراتور: کاربران محلی با نقش کاربر اپراتور می توانند پیکربندی سرور vCenter را بخوانند
مدیر: کاربران محلی با نقش کاربر مدیر می توانند سرور vCenter را پیکربندی کنند
Super Administrator: کاربران محلی با نقش کاربر super administrator می توانند سرور vCenter را پیکربندی کنند، حساب های محلی را مدیریت کنند و از پوسته Bash استفاده کنند.
لطفاً توجه داشته باشید که کاربر ریشه پیش‌فرض در ESXi یک Super Administrator است - یکی دیگر از بهترین راهکار امنیتی ESXi استدلال‌های قوی برای اجازه ندادن به حساب‌های روت یا مدیریت مشترک. در هر صورت، اقداماتی باید از حساب‌های ریشه فقط در شرایط بسیار محدود انجام شود، مانند هنگام افزودن میزبان به vCenter یا هنگام مدیریت ایجاد/حذف حساب محلی.

بهترین راهکار امنیتی ESXi در خانه سرور اچ پی ایران

حالت قفل عادی را فعال کنید

پیاده‌سازی حالت قفل معمولی بهترین راهکار امنیتی ESXi است که دسترسی مستقیم به میزبان‌های ESXi را محدود می‌کند و مدیریت را از طریق سرور vCenter برای حفظ نقش‌های تعریف‌شده و کنترل دسترسی الزامی می‌کند. این امر خطرات مرتبط با فعالیت های غیرمجاز یا حسابرسی ناکافی را کاهش می دهد. هنگامی که یک میزبان در حالت قفل است، کاربرانی که در لیست کاربران استثنا هستند، در صورتی که نقش Administrator را در هاست داشته باشند، می توانند از ESXi Shell و از طریق SSH به میزبان دسترسی داشته باشند. (از آنجا که این کنترل شامل vCenter می شود، برای میزبان های ESXI مستقل در دسترس نیست.)

برخی از مدیران ممکن است نگران باشند که حالت قفل معمولی ممکن است در برخی عملیات‌ها مانند پشتیبان‌گیری و عیب‌یابی تداخل ایجاد کند. اگر این مورد توجه باشد، غیرفعال کردن موقت یک گزینه است، تا زمانی که فعال سازی مجدد پس از تکمیل یک کار معین رویه عملیاتی استاندارد باشد.

برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
Configure را انتخاب کنید، سپس System را باز کنید و Security Profile > Lockdown Mode > Edit را انتخاب کنید
روی دکمه رادیویی Normal کلیک کنید
به هاست ESXi متصل شوید و از یک خط فرمان PowerCLI، دستورات زیر را اجرا کنید. (این موارد در لیست زیر نشان داده شده‌اند، اما در واقع می‌توان هر چهار را به طور همزمان وارد کرد. اگر می‌خواهید از این مقاله برش و چسبانده شوید، حتما از گلوله‌ها اجتناب کنید.)

$level = "lockdownNormal"
$vmhost = Get-VMHost -Name | دریافت-نمایش
$lockdown = Get-View $vmhost.ConfigManager.HostAccessManager
$lockdown.ChangeLockdownMode ($level)
SSH را در صورت عدم استفاده غیرفعال کنید

هرازگاهی لازم است از SSH هنگام تعامل با سرورهای vCenter و هاست های ESXi استفاده کنید - به عنوان مثال، همانطور که در بالا ذکر شد، هنگام وصله کردن. با این حال، خاموش کردن SSH زمانی که استفاده نمی‌شود، سطح حمله را با حذف یک هدف برای حملات brute force یا استفاده از اعتبارنامه‌های در معرض خطر کاهش می‌دهد.

چگونه آن را انجام دهیم
برای vCenter ، دستورالعمل‌های صفحه مرتبط را دنبال کنید و مطمئن شوید که دکمه رادیویی Enable SSH ورود به سیستم را انتخاب نکرده‌اید.

برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
Configure > System > Services را انتخاب کنید
> SSH > Edit Startup Policy را انتخاب کنید
تنظیم Startup Policy روی Start and Stop Manually تنظیم شده است
روی OK کلیک کنید
در حالی که ESXi Shell هنوز انتخاب شده است، روی Stop کلیک کنید
متناوبا، از دستور PowerCLI زیر استفاده کنید (مراقب گلوله باشید):

Get-VMHost | Get-VMHostService | Where { $_.key -eq "TSM-SSH" } | Set-VMHostService -خط مشی خاموش
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

Manage > Services > TSM-SSH > Actions را انتخاب کنید
روی "توقف" کلیک کنید
دوباره Actions و سپس Policy > Start و stop را به صورت دستی انتخاب کنید
پیچیدگی رمز عبور را برای میزبان های vCenter و ESXi اعمال کنید
چرا کمک می کند
بهترین راهکار امنیتی ESXi استفاده رمزهای عبور پیچیده به کاهش حملات brute force کمک می کند. مهاجمان اغلب از لیست های رمز عبور که در دسترس عموم هستند استفاده می کنند. آنها همچنین ممکن است لیست های خود را بر اساس اطلاعات مربوط به سازمان شما که قبل از (یا در حین) حمله جمع آوری کرده اند ایجاد کنند. اطمینان از اینکه vCenter و خود میزبان های ESXi رمز عبور غیر پیچیده را نمی پذیرند، برای اجرای خط مشی رمز عبور مفید است. همانطور که در بالا ذکر شد، یک مدیر رمز عبور می تواند کمک زیادی به این کاهش دهد، حتی امنیت و قابلیت ممیزی اضافی را فراهم کند.

چگونه آن را انجام دهیم
اجرای پیچیدگی رمز عبور از طریق پارامتر Security.PasswordQualityControl مدیریت می شود. با آن، می توانید طول رمز عبور مجاز، الزامات مجموعه کاراکترها و محدودیت های تلاش برای ورود ناموفق را کنترل کنید.

معیار CIS توصیه شده است

تکرار = 3 دقیقه = غیرفعال، 15، 15، 15، 15 حداکثر = 64 مشابه = رد عبارت عبور = 3

ESXi از ماژول pam_passwdqc برای کنترل رمز عبور استفاده می کند که در جای دیگری مستند شده است . با ارجاع به آن کتابچه راهنمای کاربر، می توانیم به سرعت آنچه را که اجزای منفرد این توصیه CIS انجام می دهند را تجزیه و تحلیل کنیم:

با "retry=3"، اگر رمز عبور جدید به اندازه کافی قوی نباشد، یا اگر رمز عبور دو بار به درستی وارد نشده باشد، تا سه بار از کاربر خواسته می شود.
برای جزء "min":
تنظیم «غیرفعال» گذرواژه‌های متشکل از نویسه‌های فقط یک کلاس کاراکتر را مجاز نمی‌کند (چهار کلاس کاراکتر عبارتند از اعداد، حروف کوچک، حروف بزرگ و سایر کاراکترها)
15 اول حداقل طول رمز عبور از دو کلاس کاراکتر است
15 دوم حداقل طول برای یک عبارت عبور است
15 سوم و چهارم حداقل طول برای رمزهای عبور شامل کاراکترهای سه و چهار کلاس کاراکتر است.
مولفه "max=64" حداکثر طول رمز عبور را تعیین می کند
مولفه "similar=deny" رمز عبوری مشابه رمز قبلی را رد می کند. (زمانی که یک زیررشته مشترک به اندازه کافی طولانی بین آن دو وجود داشته باشد، رمزهای عبور مشابه در نظر گرفته می شوند، و رمز عبور جدید با حذف رشته فرعی بسیار ضعیف است؛ به عنوان مثال، password123 و password124)
سوئیچ "گذرواژه" حداقل تعداد کلمات (در اینجا، سه) مورد نیاز برای ایجاد یک عبارت عبور را تعیین می کند. این علاوه بر طول کاراکتر مورد نیاز است که در بالا تنظیم شده است
برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان > پیکربندی > سیستم > تنظیمات پیشرفته سیستم را انتخاب کنید
مقدار Security.PasswordQualityControl را انتخاب کنید و همانطور که در بالا نشان داده شده است، آن را روی “retry=3 min=disabled,15,15,15,15 max=64 similar=ney passphrase=3” تنظیم کنید (یا اگر استانداردهای سازمان شما متفاوت است، تنظیم کنید مقادیر مطابق خط مشی شما)
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
پیمایش کنید یا Security.PasswordQualityControl را جستجو کنید
گزینه Edit را انتخاب کنید
مقدار را روی «تعداد مجدد=3 دقیقه=غیرفعال، 15،15،15،15 حداکثر=64 مشابه=عدم عبارت عبور=3» تنظیم کنید (یا اگر استانداردهای سازمانتان متفاوت است، مقادیر را مطابق خط مشی خود تنظیم کنید)
روی ذخیره کلیک کنید
برای پیاده سازی vCenter، معیار CIS به طور خاص به سیاست های رمز عبور vCenter نمی پردازد. با این حال، بر اساس درک ما از مؤلفه‌های توصیه معیار CIS، برخی از بخش‌ها می‌توانند تا حدی در پیکربندی‌های رمز عبور vCenter اعمال شوند.

در vSphere Client، در منوی همبرگر گزینه Administration را انتخاب کنید
در قسمت Single Sign On، Configuration را انتخاب کنید
Local Accounts > Password Policy > Edit را انتخاب کنید
حداکثر تعداد طول عمر را مطابق با خط مشی سازمان خود در مورد طول عمر رمز عبور تنظیم کنید
محدودیت استفاده مجدد را مطابق با خط مشی استفاده مجدد از رمز عبور سازمان خود تنظیم کنید
حداکثر طول را مانند تنظیمات بالا روی 64 تنظیم کنید
حداقل طول را مانند تنظیمات بالا روی 15 تنظیم کنید
برای الزامات کاراکتر، مقدار «حداقل» را مطابق با خط‌مشی سازمان خود تنظیم کنید. حداقل مقدار 1 است
«نویسه‌های مجاور یکسان» را مطابق با خط‌مشی نویسه‌های گذرواژه مجاور سازمان خود تنظیم کنید.
نیاز به قفل حساب پس از تلاش های ناموفق برای ورود به سیستم
چرا کمک می کند
اجرای قفل حساب نیز با حملات brute force تداخل دارد. از نظر فنی، مهاجم هنوز هم می‌تواند یک حمله brute force را امتحان کند، اما آنها باید بسیار خوش شانس باشند تا فقط با پنج فرصت قبل از قفل شدن، آن را درست انجام دهند. این کنترل برای دسترسی vCenter، SSH و vSphere Web Services SDK قابل استفاده است، البته برای رابط مستقیم کنسول (DCUI) و ESXi Shell نیست.

چگونه آن را انجام دهیم
تنظیمات پیشنهادی CIS این است که میزبان ها را به گونه ای پیکربندی کنید که پارامتر Security.AccountLockFailures روی 5 تنظیم شود. این کنترل را می توان در vCenter نیز پیاده سازی کرد.

برای خود vCenter:

با روت وارد شوید
Administration > Single Sign-on > Configuration > Local Accounts > Lockout Policy را انتخاب کنید
حداکثر تعداد تلاش های ناموفق را روی 5 تنظیم کنید
برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
Configure > System > Advanced System Settings را انتخاب کنید
مقدار Security.AccountLockFailures را روی 5 قرار دهید
هنگام اتصال به میزبان ESXi، از یک خط فرمان PowerCLI، دستور زیر را اجرا کنید (در صورت کپی و چسباندن، مراقب گلوله باشید):

Get-VMHost | Get-AdvancedSetting -Name Security.AccountLockFailures | Set-AdvancedSetting -Value 5
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
اسکرول کنید یا Security.AccountLockFailures را جستجو کنید
گزینه Edit را انتخاب کنید
مقدار را روی 5 قرار دهید
روی "ذخیره" کلیک کنید
UEFI Secure Boot را فعال کنید
بهترین راهکار امنیتی ESXi را جدی بگیرید و تا آخر مقاله مطالعه کنید.

هدف اصلی UEFI Secure Boot این است که اطمینان حاصل شود که فقط بوت لودرها و هسته های سیستم عامل امضا شده و قابل اعتماد مجاز به اجرا در هنگام راه اندازی سیستم هستند. با تأیید امضای دیجیتال برنامه‌ها و درایورهای قابل بوت، Secure Boot از به خطر انداختن کدهای مضر بالقوه در فرآیند بوت جلوگیری می‌کند و در نتیجه سطح حمله میزبان‌های ESXi را کاهش می‌دهد. این پیکربندی همچنین پیش نیازی برای توصیه در بخش بعدی است، "میزبان را پیکربندی کنید تا فقط باینری های ارائه شده از طریق VIB امضا شده را اجرا کند."

چگونه آن را انجام دهیم
میزبان ESXi مورد نظر باید دارای یک ماژول پلتفرم قابل اعتماد (TPM) باشد تا این پیکربندی فعال شود. ممکن است سخت افزارهای قدیمی TPM نداشته باشند. با فرض اینکه سخت افزار شما دارای TPM باشد، مراحل به شرح زیر است:

1. از طریق پوسته ESXi به میزبان ESXi مورد نظر دسترسی پیدا کنید
2. بررسی کنید که آیا بوت امن در حال حاضر با دستور زیر فعال است (در صورت کپی و چسباندن، مراقب "a." باشید، که به سادگی بخشی از قالب بندی لیست است):
الف رمزگذاری تنظیمات سیستم esxcli دریافت کنید
من اگر مقدار Require Secure Boot "true" باشد، هیچ تغییری لازم نیست
ii اگر مقدار Require Secure Boot "false" است، آن را فعال کنید
III. اگر مقدار Require Secure Boot "none" باشد، ابتدا یک TPM را در سیستم عامل میزبان فعال کنید و سپس دستور زیر را اجرا کنید (در صورت کپی و چسباندن، مراقب "1." باشید، که به سادگی بخشی از قالب بندی لیست است):
1. esxcli رمزگذاری تنظیمات سیستم -mode=TPM
3. محیط امن بوت را فعال کنید
الف میزبان را با خوشرویی خاموش کنید
من روی هاست ESXi در vSphere Client کلیک راست کرده و Power > Shut Down را انتخاب کنید.
ب بوت امن را در سیستم عامل هاست فعال کنید
من این روش بسته به سخت افزاری که میزبان(های) ESXi خود را روی آن اجرا می کنید، متفاوت خواهد بود. با اسناد سخت افزاری فروشنده خاص خود مشورت کنید
4. هاست را مجددا راه اندازی کنید
5. دستور ESXCLI زیر را اجرا کنید (در صورت کپی و چسباندن، مراقب "a." باشید که به سادگی بخشی از قالب بندی لیست است):
الف مجموعه رمزگذاری تنظیمات سیستم esxcli –require-secure-boot=T
6. بررسی کنید که تغییر اعمال شده است (در صورت کپی و چسباندن، مراقب "a." باشید که به سادگی بخشی از قالب بندی لیست است):
الف رمزگذاری تنظیمات سیستم esxcli دریافت کنید
من اگر مقدار Require Secure Boot "true" باشد، همه چیز آماده است
7. برای ذخیره تنظیمات، دستور زیر را اجرا کنید (در صورت کپی و چسباندن، مراقب "a." باشید که به سادگی بخشی از قالب بندی لیست است):
الف /bin/backup.sh 0
میزبان را طوری پیکربندی کنید که فقط باینری های ارائه شده از طریق VIB امضا شده را اجرا کند
چرا کمک می کند
برای افزایش یکپارچگی سیستم، یک میزبان ESXi را می‌توان طوری پیکربندی کرد که فقط باینری‌هایی را که از یک بسته نرم‌افزار قابل نصب vSphere امضا شده (VIB) نشات می‌گیرند، اجرا کند. این اقدام تلاش مهاجمان را برای استفاده از جعبه ابزار از پیش ساخته شده در میزبان خنثی می کند. برای این پیکربندی باید UEFI Secure Boot فعال باشد.

چگونه آن را انجام دهیم
تنظیم حاکم بر این رفتار VMkernel.Boot.execInstalledOnly روی True تنظیم شده است.

برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
Configure > System >> Advanced System Settings را انتخاب کنید
مقدار VMkernel.Boot.execInstalledOnly را انتخاب کرده و آن را روی True قرار دهید
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
VMkernel.Boot.execInstalledOnly را اسکرول یا جستجو کنید
گزینه Edit را انتخاب کنید
مقدار را روی True قرار دهید
روی ذخیره کلیک کنید
در صورت عدم استفاده، مرورگر شیء مدیریت شده (MOB)، خدمات CIM، SLP و SNMP را غیرفعال کنید.
چرا کمک می کند
خاموش کردن تمام سرویس‌های در دسترس خارجی که سازمان شما از آنها استفاده نمی‌کند، برای کاهش سطح حمله حیاتی است. این چهار به ویژه باید مدیریت شوند.

مرورگر شی مدیریت شده (MOB) یک برنامه سرور مبتنی بر وب است که به شما امکان می دهد اشیاء و پیکربندی های سیستم را بررسی و تغییر دهید.
سیستم مدل اطلاعات مشترک (CIM) یک رابط برای مدیریت در سطح سخت افزار از برنامه های راه دور از طریق مجموعه ای از رابط های برنامه نویسی برنامه کاربردی استاندارد (API) فراهم می کند.
پروتکل موقعیت مکانی سرویس (SLP) برای کشف و انتخاب خدمات شبکه در شبکه های محلی استفاده می شود. مدیران از آن برای ساده کردن پیکربندی با اجازه دادن به رایانه ها برای یافتن خودکار خدمات ضروری استفاده می کنند. همانطور که در مراحل زیر نشان داده شده است، سرویسی که این کار را انجام می دهد، SLPD (Service Level Protocol Daemon) نامیده می شود.
پروتکل ساده مدیریت شبکه (SNMP) مدیریت دستگاه های شبکه را تسهیل می کند
چگونه آن را انجام دهیم
برای یک هاست ESXi، از طریق سرویس گیرنده وب vSphere:

میزبان را انتخاب کنید
Configure > System > Advanced System Settings را انتخاب کنید
مقدار Config.HostAgent.plugins.solo.enableMob را انتخاب کرده و آن را روی False قرار دهید
Configure > System > Services > CIM Server > Edit Startup Policy را انتخاب کنید
Startup Policy را روی Start and Stop Manual تنظیم کنید
اگر سرویس CIM Server در حال حاضر در حال اجرا است، آن را متوقف کنید
SLPD > Edit Startup Policy را انتخاب کنید
Startup Policy را روی Start and Stop Manual تنظیم کنید
اگر سرویس SLPD در حال حاضر در حال اجرا است، آن را متوقف کنید
SNMP Server > Edit Startup Policy را انتخاب کنید
Startup Policy را روی Start and Stop Manual تنظیم کنید
اگر سرویس SNMP Server در حال اجرا است، آن را متوقف کنید
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
پیمایش کنید یا Config.HostAgent.plugins.solo.enableMob را جستجو کنید
Edit را انتخاب کرده و مقدار را روی False قرار دهید
روی ذخیره کلیک کنید
Services > SLPD > Actions را انتخاب کنید
روی Stop کلیک کنید
دوباره Actions را انتخاب کنید و روی Policy کلیک کنید
شروع و توقف دستی را از منو انتخاب کنید
sfcbd-watchdog را انتخاب کنید (این سرور CIM است) و Actions را انتخاب کنید
روی "توقف" کلیک کنید
دوباره Actions > Policy را انتخاب کنید
شروع و توقف دستی را از منو انتخاب کنید
snmpd را انتخاب کرده و روی Actions کلیک کنید
روی "توقف" کلیک کنید
یک بار دیگر Actions > Policy را انتخاب کنید
از منوی کشویی شروع و توقف دستی را انتخاب کنید
ثبت ورود مداوم را تنظیم کنید
چرا کمک می کند
پیکربندی ثبت ورود مداوم تنها توصیه در این لیست است که سطح حمله را کاهش نمی دهد. با این حال، در صورت بروز یک حادثه امنیتی که میزبان ESXi را تحت تاثیر قرار دهد، مفید خواهد بود. به‌طور پیش‌فرض، گزارش‌های EXSi در یک سیستم فایل درون حافظه ذخیره می‌شوند که فقط یک روز گزارش‌ها را حفظ می‌کند. از آنجایی که آن لاگ ها در حافظه ذخیره می شوند، در راه اندازی مجدد از بین خواهند رفت. در حالی که یک گزارش محلی دائمی پیشرفت قابل توجهی نسبت به پیش فرض دارد، ارسال گزارش ها به یک جمع کننده syslog راه دور حتی بهتر است. در صورت تاسف‌آوری که میزبان‌های ESXi شما همراه با هر درایو متصلی رمزگذاری می‌شوند، با وجود یک جمع‌آورنده syslog، احتمال بیشتری وجود دارد که همچنان به آن گزارش‌ها یا به بخشی از آنها دسترسی داشته باشید. مزیت دیگر ارسال گزارش‌ها به خارج از میزبان این است که اگر سازمان شما از SIEM استفاده می‌کند، گزارش‌های ESXi می‌توانند در آنجا نیز وارد شوند.

ابتدا یک مکان ثابت ایجاد کنید. پس از انجام آن برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
Configure > System > Advanced System Settings را انتخاب کنید
مقدار Syslog.global.logDir را انتخاب کنید و آن را در مکانی که برای ذخیره گزارش تعیین کرده اید تنظیم کنید
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
Syslog.global.logDir را اسکرول یا جستجو کنید
روی گزینه Edit کلیک کنید
مقدار را برای مکانی که برای ذخیره گزارش تعیین کرده اید تنظیم کنید
روی ذخیره کلیک کنید
سپس، یک جمع‌آورنده syslog هدف برای گزارش‌های ESXi تنظیم کنید و ترافیک خروجی syslog را در فایروال میزبان ESXi فعال کنید.

بهترین راهکار امنیتی ESXi

برای یک میزبان ESXi، از طریق vSphere Web Client:

میزبان را انتخاب کنید
روی تب Configure کلیک کنید
Logging > Actions > Edit Settings را انتخاب کنید
در قسمت Host Syslog Configuration، Send log data to a remote syslog server را انتخاب کنید
مقدار را به آدرس مرتبط با سرور syslog خود تنظیم کنید
روی OK کلیک کنید
در حالی که هنوز در تب Configure برای میزبان هستید، System را باز کرده و Firewall را انتخاب کنید
به قانون خروجی syslog بروید و آن را فعال کنید
برای یک میزبان ESXi مستقل از طریق سرویس گیرنده وب:

مدیریت > سیستم > تنظیمات پیشرفته را انتخاب کنید
Syslog.global.logHost را پیمایش کنید یا جستجو کنید
روی گزینه Edit کلیک کنید
مقدار را به آدرس مرتبط با سرور syslog خود تنظیم کنید
روی ذخیره کلیک کنید
در ناوبری نوار کناری سمت چپ، Networking > قوانین فایروال را انتخاب کنید
قانون syslog را انتخاب کنید و Actions را انتخاب کنید
روی Enable کلیک کنید
نتیجه گیری مقاله بهترین راهکار امنیتی ESXi
در حالی که اجرای توصیه‌های مطرح شده در این مقاله تضمینی برای ایمن بودن هاست ESXi شما نیست، انجام این کار می‌تواند آسیب‌های سریع و شدید را برای مهاجمان بسیار دشوارتر کند. علاوه بر این، لایه‌بندی کنترل‌ها اصطکاک را برای مهاجمان احتمالی افزایش می‌دهد و برای آنها زمان و تلاش هزینه می‌کند - دقیقاً همان چیزی که احتمالاً امیدوار بودند با دنبال کردن ESXi از آن جلوگیری کنند - و به مدافعان پنجره بزرگ‌تر و گزینه‌های بیشتری برای شناسایی و پاسخ می‌دهد.

سئوسازی: گروه نرم افزاری السا