Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Now is the time to check the vSphere Security C...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
MasahiroIrie
October 18, 2023
Technology
0
1.2k
Now is the time to check the vSphere Security Configuration and Hardening Guide
MasahiroIrie
October 18, 2023
Tweet
Share
More Decks by MasahiroIrie
See All by MasahiroIrie
Making new vExpert badge sticker
mirie_sd
0
130
How to use "VMware"
mirie_sd
0
200
The key to VCP-VCF
mirie_sd
0
2.2k
Using vROPs API with Swagger
mirie_sd
0
190
Cooking operations with Salt
mirie_sd
0
740
Blog vExperts use
mirie_sd
0
210
Talk about TAS before forgetting
mirie_sd
0
260
Cooking the server with Salt (REM@STER Version)
mirie_sd
0
690
Getting VM console with WebMKS
mirie_sd
0
2.4k
Other Decks in Technology
See All in Technology
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
genda
0
210
SaaSからAIへの過渡期の中で現在、組織内で起こっている変化 / SaaS to AI Paradigm Shift
aeonpeople
0
120
マネージャー版 "提案のレベル" を上げる
konifar
21
14k
ブラックボックス観測に基づくAI支援のプロトコルのリバースエンジニアリングと再現 ~AIを用いたリバースエンジニアリング~ @ SECCON 14 電脳会議 / Reverse Engineering and Reproduction of an AI-Assisted Protocol Based on Black-Box Observation @ SECCON 14 DENNO-KAIGI
chibiegg
0
160
Kubernetesにおける推論基盤
ry
1
150
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
aoto
PRO
2
250
ナレッジワークのご紹介(第88回情報処理学会 )
kworkdev
PRO
0
150
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
daitasu
5
330
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
zigorou
4
790
タスク管理も1on1も、もう「管理」じゃない ― KiroとBedrock AgentCoreで変わった"判断の仕事"
yusukeshimizu
5
2.2k
クラウド時代における一時権限取得
krrrr38
1
180
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
flatt_security
0
1.5k
Featured
See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
230
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
210
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
670
The untapped power of vector embeddings
frankvandijk
2
1.6k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
130
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Scaling GitHub
holman
464
140k
Transcript
2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security
Configuration and Hardening Guide
自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan
VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?
免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。
ESXi をターゲットとした攻撃が増加
ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)
Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768
近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery
そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦
報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に
日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide
vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン
◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /
づΦ
• Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下
※ 8.6 の場合
Aria Operations で評価 SCG に沿った指摘が出てくる
• vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…
スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7
に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)
まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •
まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ
ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html
EOP
SiteGround - Reliable hosting with speed, security, and support you can count on.
mirie_sd
genda
aeonpeople
konifar
chibiegg
ry
aoto
kworkdev
daitasu
zigorou
yusukeshimizu
krrrr38
flatt_security
morganepeng
jeffersonlam
reverentgeek
techseoconnect
stephaniewalter
addyosmani
nmsamuel
frankvandijk
katarinadahlin
keavy
aarron
holman
![ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html](https://files.speakerdeck.com/presentations/1ed18a452bbe44e8bcbfa6dee2fa9ed2/slide_15.jpg){kind=link}
