Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Now is the time to check the vSphere Security C...

Avatar for MasahiroIrie MasahiroIrie
October 18, 2023
Technology
0
1.2k

Now is the time to check the vSphere Security Configuration and Hardening Guide

Avatar for MasahiroIrie

MasahiroIrie

October 18, 2023
Tweet

More Decks by MasahiroIrie

See All by MasahiroIrie
Making new vExpert badge sticker
Avatar for MasahiroIrie mirie_sd
0
150
How to use "VMware"
Avatar for MasahiroIrie mirie_sd
0
220
The key to VCP-VCF
Avatar for MasahiroIrie mirie_sd
0
2.3k
Using vROPs API with Swagger
Avatar for MasahiroIrie mirie_sd
0
200
Cooking operations with Salt
Avatar for MasahiroIrie mirie_sd
0
740
Blog vExperts use
Avatar for MasahiroIrie mirie_sd
0
210
Talk about TAS before forgetting
Avatar for MasahiroIrie mirie_sd
0
260
Cooking the server with Salt (REM@STER Version)
Avatar for MasahiroIrie mirie_sd
0
690
Getting VM console with WebMKS
Avatar for MasahiroIrie mirie_sd
0
2.4k

Other Decks in Technology

See All in Technology
The_Evolution_of_Bits_AI_SRE.pdf
Avatar for 株式会社ヌーラボ nulabinc
PRO
0
260
WebアクセシビリティをCI/CDで担保する ― axe DevTools × Playwright C#実践ガイド
Avatar for tomokusaba tomokusaba
2
200
実践 Datadog MCP Server
Avatar for 株式会社ヌーラボ nulabinc
PRO
2
250
内製AIチャットボットで学んだDatadog LLM Observability活用術
Avatar for k.masachika mkdev10
0
140
モジュラモノリス導入から4年間の総括:アーキテクチャと組織の相互作用について / Architecture and Organizational Interaction
Avatar for Satoshi Kawashima nazonohito51
3
1.1k
生成AI活用でQAエンジニアにどのような仕事が生まれるか/Support Required of QA Engineers for Generative AI
Avatar for Hiroki Iseri goyoki
1
340
開発チームとQAエンジニアの新しい協業モデル -年末調整開発チームで実践する【QAリード施策】-
Avatar for kaomi kaomi_wombat
0
180
visionOS 開発向けの MCP / Skills をつくり続けることで XR の探究と学習を最大化
Avatar for kazuhiro hara karad
1
1.2k
めちゃくちゃ開発するQAエンジニアになって感じたメリットとこれからの課題感
Avatar for yama-cha-n ryuhei0000yamamoto
0
220
形式手法特論:SMT ソルバで解く認可ポリシの静的解析 #kernelvm / Kernel VM Study Tsukuba No3
Avatar for y_taka_23 ytaka23
1
700
A Casual Introduction to RISC-V
Avatar for Masanori Ogino omasanori
0
500
AWSの資格って役に立つの?
Avatar for Hiroki Takatsuka tk3fftk
2
370

Featured

See All Featured
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
250
Done Done
Avatar for chrislema chrislema
186
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
199
73k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
140
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
91
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
160
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
200
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
230

Transcript

  1. 2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security

    Configuration and Hardening Guide

  2. 自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan

    VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?

  3. 免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。

  4. ESXi をターゲットとした攻撃が増加

  5. ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)

    Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768

  6. 近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery

  7. そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦

    報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に

  8. 日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

  9. vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン

    ◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…

  10. | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /

    づΦ

  11. • Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下

    ※ 8.6 の場合

  12. Aria Operations で評価 SCG に沿った指摘が出てくる

  13. • vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

  14. スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7

    に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)

  15. まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •

    まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ

  16. ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

  17. EOP