Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Now is the time to check the vSphere Security C...
Search
MasahiroIrie
October 18, 2023
Technology
0
1.2k
Now is the time to check the vSphere Security Configuration and Hardening Guide
MasahiroIrie
October 18, 2023
Tweet
Share
More Decks by MasahiroIrie
See All by MasahiroIrie
Making new vExpert badge sticker
mirie_sd
0
28
How to use "VMware"
mirie_sd
0
97
The key to VCP-VCF
mirie_sd
0
1.9k
Using vROPs API with Swagger
mirie_sd
0
180
Cooking operations with Salt
mirie_sd
0
710
Blog vExperts use
mirie_sd
0
200
Talk about TAS before forgetting
mirie_sd
0
250
Cooking the server with Salt (REM@STER Version)
mirie_sd
0
680
Getting VM console with WebMKS
mirie_sd
0
2.4k
Other Decks in Technology
See All in Technology
Connection-based OAuthから学ぶOAuth for AI Agents
flatt_security
0
360
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
nikkei_engineer_recruiting
0
170
ハッカソンから社内プロダクトへ AIエージェント「ko☆shi」開発で学んだ4つの重要要素
sonoda_mj
6
1.6k
特別捜査官等研修会
nomizone
0
560
ActiveJobUpdates
igaiga
1
310
[Neurogica] 採用ポジション/ Recruitment Position
neurogica
1
120
Snowflake導入から1年、LayerXのデータ活用の現在 / One Year into Snowflake: How LayerX Uses Data Today
civitaspo
0
2.4k
たまに起きる外部サービスの障害に備えたり備えなかったりする話
egmc
0
410
事業の財務責任に向き合うリクルートデータプラットフォームのFinOps
recruitengineers
PRO
2
200
Identity Management for Agentic AI 解説
fujie
0
460
「図面」から「法則」へ 〜メタ視点で読み解く現代のソフトウェアアーキテクチャ〜
scova0731
0
490
Bedrock AgentCore Evaluationsで学ぶLLM as a judge入門
shichijoyuhi
2
240
Featured
See All Featured
Mobile First: as difficult as doing things right
swwweet
225
10k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
260
The Pragmatic Product Professional
lauravandoore
37
7.1k
Abbi's Birthday
coloredviolet
0
3.7k
Code Review Best Practice
trishagee
74
19k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
0
950
The #1 spot is gone: here's how to win anyway
tamaranovitovic
1
860
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
32
Making the Leap to Tech Lead
cromwellryan
135
9.7k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
310
Music & Morning Musume
bryan
46
7k
4 Signs Your Business is Dying
shpigford
186
22k
Transcript
2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security
Configuration and Hardening Guide
自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan
VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?
免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。
ESXi をターゲットとした攻撃が増加
ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)
Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768
近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery
そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦
報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に
日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide
vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン
◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /
づΦ
• Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下
※ 8.6 の場合
Aria Operations で評価 SCG に沿った指摘が出てくる
• vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…
スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7
に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)
まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •
まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ
ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html
EOP
mirie_sd
flatt_security
nikkei_engineer_recruiting
sonoda_mj
nomizone
igaiga
neurogica
civitaspo
egmc
recruitengineers
fujie
scova0731
shichijoyuhi
swwweet
jct
lauravandoore
coloredviolet
trishagee
charlesmeaden
tamaranovitovic
marketingsoph
cromwellryan
konakalab
bryan
shpigford
![ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html](https://files.speakerdeck.com/presentations/1ed18a452bbe44e8bcbfa6dee2fa9ed2/slide_15.jpg){kind=link}
