Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

Now is the time to check the vSphere Security C...

Avatar for MasahiroIrie MasahiroIrie
October 18, 2023
Technology
0
1.2k

Now is the time to check the vSphere Security Configuration and Hardening Guide

Avatar for MasahiroIrie

MasahiroIrie

October 18, 2023
Tweet

More Decks by MasahiroIrie

See All by MasahiroIrie
Making new vExpert badge sticker
Avatar for MasahiroIrie mirie_sd
0
28
How to use "VMware"
Avatar for MasahiroIrie mirie_sd
0
97
The key to VCP-VCF
Avatar for MasahiroIrie mirie_sd
0
1.9k
Using vROPs API with Swagger
Avatar for MasahiroIrie mirie_sd
0
180
Cooking operations with Salt
Avatar for MasahiroIrie mirie_sd
0
700
Blog vExperts use
Avatar for MasahiroIrie mirie_sd
0
200
Talk about TAS before forgetting
Avatar for MasahiroIrie mirie_sd
0
250
Cooking the server with Salt (REM@STER Version)
Avatar for MasahiroIrie mirie_sd
0
680
Getting VM console with WebMKS
Avatar for MasahiroIrie mirie_sd
0
2.4k

Other Decks in Technology

See All in Technology
Kiro を用いたペアプロのススメ
Avatar for Taiki Sugawara taikis
4
1.6k
AIエージェント開発と活用を加速するワークフロー自動生成への挑戦
Avatar for shibuiwilliam shibuiwilliam
4
810
ソフトウェアエンジニアとAIエンジニアの役割分担についてのある事例
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
190
特別捜査官等研修会
Avatar for Nomizo Nomizo nomizone
0
540
オープンソースKeycloakのMCP認可サーバの仕様の対応状況 / 20251219 OpenID BizDay #18 LT Keycloak
Avatar for OpenID Foundation Japan oidfj
0
150
AI時代のワークフロー設計〜Durable Functions / Step Functions / Strands Agents を添えて〜
Avatar for やくも yakumo
3
2k
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
170
シニアソフトウェアエンジニアになるためには
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
3
260
フィッシュボウルのやり方 / How to do a fishbowl
Avatar for Pauli pauli
2
370
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
Avatar for kubo ayumu boro1234
0
1k
NIKKEI Tech Talk #41: セキュア・バイ・デザインからクラウド管理を考える
Avatar for Ryosuke Sekido sekido
PRO
0
200
最近の生成 AI の活用事例紹介
Avatar for Asei Sugiyama asei
1
100

Featured

See All Featured
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
260
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
Avatar for Kenny Baas-Schwegler baasie
0
170
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
110
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
13k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
Avatar for Helen Beal helenjbeal
1
80
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
0
180
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
25
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
290
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k

Transcript

  1. 2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security

    Configuration and Hardening Guide

  2. 自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan

    VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?

  3. 免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。

  4. ESXi をターゲットとした攻撃が増加

  5. ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)

    Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768

  6. 近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery

  7. そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦

    報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に

  8. 日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

  9. vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン

    ◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…

  10. | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /

    づΦ

  11. • Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下

    ※ 8.6 の場合

  12. Aria Operations で評価 SCG に沿った指摘が出てくる

  13. • vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

  14. スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7

    に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)

  15. まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •

    まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ

  16. ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

  17. EOP