Now is the time to check the vSphere Security Configuration and Hardening Guide

2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security
Configuration and Hardening Guide

自己紹介入江正博 @IrieMasahiro • ヴイエムウェア株式会社テクニカルアダプションマネージャー • Japan
VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで来月からは…？

免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、所属する会社、組織、及び、その関係者の見解と完全に一致するものではありません。

ESXi をターゲットとした攻撃が増加

ESXiを完全に保護するソリューションってある？ • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)
Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768

近年の傾向 → 侵入を前提とした対策？ • Immutable Backup • Cloud Disaster Recovery

そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦
報道されるような脆弱性が出ようものなら偉い人から「ウチは大丈夫か？」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に

日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、強靭化するためのガイドライン
◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…

|￣￣￣￣￣￣￣￣| | ここで実物登場 | |＿＿＿＿＿＿＿＿| ∧∧ || ( ﾟдﾟ)|| /
づΦ

• Aria Operations (旧 vROps)で評価可能ですチェックするのが大変なのですが… 最適化 → コンプライアンスの下
※ 8.6 の場合

Aria Operations で評価 SCG に沿った指摘が出てくる

• vSphere 8 (8.0.2 から？)版には vCenter/ESXi/仮想マシンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

スクリプトは vSphere 7 でも動くか？ • スクリプトなので改造してみるも一部の cmdlet が vSphere 7
に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)

まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •
まずは設定値から、中長期や次期構築時には設計思想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ

ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

Now is the time to check the vSphere Security C...

Now is the time to check the vSphere Security Configuration and Hardening Guide

MasahiroIrie

More Decks by MasahiroIrie

Other Decks in Technology

Featured

Transcript

2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security

自己紹介入江正博 @IrieMasahiro • ヴイエムウェア株式会社テクニカルアダプションマネージャー • Japan

免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、所属する会社、組織、及び、その関係者の見解と完全に一致するものではありません。

ESXi をターゲットとした攻撃が増加

ESXiを完全に保護するソリューションってある？ • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)

近年の傾向 → 侵入を前提とした対策？ • Immutable Backup • Cloud Disaster Recovery

そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦

日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、強靭化するためのガイドライン

|￣￣￣￣￣￣￣￣| | ここで実物登場 | |＿＿＿＿＿＿＿＿| ∧∧ || ( ﾟдﾟ)|| /

• Aria Operations (旧 vROps)で評価可能ですチェックするのが大変なのですが… 最適化 → コンプライアンスの下

Aria Operations で評価 SCG に沿った指摘が出てくる

• vSphere 8 (8.0.2 から？)版には vCenter/ESXi/仮想マシンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

スクリプトは vSphere 7 でも動くか？ • スクリプトなので改造してみるも一部の cmdlet が vSphere 7

まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •

ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

EOP