Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Now is the time to check the vSphere Security C...

MasahiroIrie
October 18, 2023
Technology
0
890

Now is the time to check the vSphere Security Configuration and Hardening Guide

MasahiroIrie

October 18, 2023
Tweet

More Decks by MasahiroIrie

See All by MasahiroIrie
Using vROPs API with Swagger
mirie_sd
0
110
Cooking operations with Salt
mirie_sd
0
590
Blog vExperts use
mirie_sd
0
160
Talk about TAS before forgetting
mirie_sd
0
210
Cooking the server with Salt (REM@STER Version)
mirie_sd
0
600
Getting VM console with WebMKS
mirie_sd
0
2k
modern vCenter alert nortification(M@STER VERSION)
mirie_sd
0
1.3k
20190705_VMwareDevOpsMeetup.pdf
mirie_sd
0
1.1k
Getting VM IP on ESXi
mirie_sd
4
970

Other Decks in Technology

See All in Technology
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
1
200
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
29
13k
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
550
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
2
240
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
270
複雑なState管理からの脱却
sansantech
PRO
1
160
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
2
770
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
静的解析で実現した効率的なi18n対応の仕組みづくり
minako__ph
1
160
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
460
FlutterアプリにおけるSLI/SLOを用いたユーザー体験の可視化と計測基盤構築
ostk0069
0
120

Featured

See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Gamification - CAS2011
davidbonilla
80
5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
Six Lessons from altMBA
skipperchong
27
3.5k
Scaling GitHub
holman
458
140k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Mobile First: as difficult as doing things right
swwweet
222
8.9k

Transcript

  1. 2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security

    Configuration and Hardening Guide

  2. 自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan

    VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?

  3. 免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。

  4. ESXi をターゲットとした攻撃が増加

  5. ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)

    Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768

  6. 近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery

  7. そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦

    報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に

  8. 日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

  9. vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン

    ◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…

  10. | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /

    づΦ

  11. • Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下

    ※ 8.6 の場合

  12. Aria Operations で評価 SCG に沿った指摘が出てくる

  13. • vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

  14. スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7

    に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)

  15. まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •

    まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ

  16. ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

  17. EOP