معرفی راهکارها و نکات امنیتی برای امن سازی VMware ESXi
به صورت پیش فرض در بستر VMware ESXi ویژگی های متعددی وجود دارد که میتوانند از نفوذ غیرمجاز و حملات مختلف بر روی بستر ما جلوگیری کنند که به از این بابت این ویژگی ها پیش فرض یا پیکربندی نشده اند و یا به خوبی پیکربندی نشده اند و یا که ما از آنها بی اطلاع هستیم. از این بابت که VMware ESXi در سازمان های داخل کشور کاربرد بسیار زیادی دارد ما به عنوان یک ادمین شبکه وظیفه داریم که محیط خودمان را امن و مطمئن نگه داریم و از این بابت در این مقاله ما به Recommended ها و Best Practice های ارایه شده توسط VMware در رابطه با امن سازی ESXi میپردازیم و آن هارا شرح میدهیم
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
ویژگی ها و نکات امنیتی پیش فرض ESXi
- اولین مبحثی که باید انجام شود غیر فعال سازی رابط های مدیریتی همچون ESXi Shell و SSH میباشد و تا حد امکان سعی کنید برای کار های روزمره خود از vSphere Client استفاده کنید و در شرایط خاص برای پیکربندی و عیب یابی و یا رفع مشکلات از سرویس های همچون ESXi Shell و SSH استفاده کنید و برای هرکدام از آنها محدودیت ها و نکات امنیتی خاصی را پیاده سازی کنید، برای مثال میتوانیم برای SSH از SSH Key های قوی استفاده کنیم
- در Firewall دیوایس به صورت پیش فرض فقط تعداد محدود و خاصی از Port ها باز و فعال میباشند و شما برای دسترسی به سرویس های دیگر و یا اختصاص سرویس خاصی به Port خاصی باید آن را در Firewall بازکنید.
- به صورت پیش فرض تمامی Port های که برای دسترسی به میزبان و مدیریت آن استفاده میشوند بسته هستند. در صورتی که نیاز به سرویس خاصی داشته باشید باید Port آن را بازکنید.
- به صورت پیش فرض ESXi رمز های ضعیف را غیرفعال میکند و در ارتباطات خود از SSL استفاده میکند. به صورت دقیق تر رمزنگاری استفاده شده ارتباطات ESXi به واسطه Certificate های پیش فرض موجود در ESXi میباشد که برابر هستند با PKCS # 1 SHA-256 و از رمزنگاری RSA نیز به عنوان Digital Signature یا همان امضای دیجیتالی استفاده میکند.
- به صورت پیش فرض یک Web Service در ESXi توسط Web Client اجرا سازی میشود و این Web Service صرفا توابعی مورد نیاز برای مدیریت و نظارت بر روی ESXi را اجرا سازی میکند و همین ویژگی آن سبب شده است در برابر حملات متعدد و آسیب پذیری های مختلف Web Service ها آسیب پذیر نباشد.
- تمامی هشدار های امنيتي و نقض های امنیتی که برای VMware ESXi ثبت میشوند و توانایی آسیب و تاثیر بر روی آن را دارند را میتوانید توسط این لینک به همراه نکات امنیتی برای برطرف کردن آن و Patch های ارایه شده توسط VMware را به صورت بروز بررسی کنید:
- سرویس های ناامن مانند FTP و Telnet به صورت پیش فرض بر روی ESXi فعال نمیشوند و Port آنها نیز بسته است.
- سعی کنید از UEFI Secure برای مقابله با نرم افزار ها و بد افزارهای که امضا دیجیتالی خاصی نشده اند استفاده کنید.
نکات امنیتی که خودمان باید درنظر بگیریم و انجام بدهیم چیست؟
استفاده از ESXi Shell
از ESXi Shell فقط برای عیب یابی استفاده کنید دیگر نکاتی که باید رعایت شود این است که استفاده از ESXi Shell را باید محدود به عمور عیب یابی و Troubleshooting بنماییم
تغییر رمز عبور پیشفرض
حتما سعی کنید Default Password یا همان رمز عبور پیش فرض را تغییر دهید و از رمز عبور قوی تری استفاده کنید.
اسنفاده از vSphere Client
یکی از نکات امنیتی که باید خودمان رعایت کنیم استفاده از vSphere Client برای مدیریت ESXi Host های مدیریت شده توسط vCenter میباشد.
غیرفعال سازی MOB یا همان Manged Object Browser
توجه داشته باشید که حتما MOB را در سیستم غیر فعال سازی کنید زیرا MOB برای فرآیند های کاوشگری در VMKernel Object Model مورد استفاده قرار میگیرد و از این بابت افراد مهاجم با ایجاد تغییرات و قرار دادن پیکربندی های مختلف به واسطه MOB میتوانند دردسر های را برای Host ما ایجاد کنند زیرا به واسطه MOB میتوانیم Host را مدیریت کنیم
امن سازی SSH
همانطور که میدانید به صورت پیش فرض SSH غیر فعال میباشد و شما هم از SSH صرفا برای عیب یابی دیوایس و موارد خاص استفاده کنید و حتما از موارد امنیتی SSH مانند ایجاد و ساخت SSH Key قافل نشوید و همچنین برای کار های روزمره از vSphere Client استفاده کنید.
تغییر تنظیمات ESXi Web Proxy
حتما تنظیمات پیش فرض ESXi Web Proxy را تغییر دهید و قسمت های مختلف امنیتی مانند رمزنگاری و User Security را پیکربندی کنید.