Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Now is the time to check the vSphere Security C...
Search
MasahiroIrie
October 18, 2023
Technology
1.3k
0
Share
Now is the time to check the vSphere Security Configuration and Hardening Guide
MasahiroIrie
October 18, 2023
More Decks by MasahiroIrie
See All by MasahiroIrie
Expiration of Secure Boot Certificates for vSphere Virtual Machines
mirie_sd
0
190
Making new vExpert badge sticker
mirie_sd
0
290
How to use "VMware"
mirie_sd
0
370
The key to VCP-VCF
mirie_sd
0
2.5k
Using vROPs API with Swagger
mirie_sd
0
220
Cooking operations with Salt
mirie_sd
0
770
Blog vExperts use
mirie_sd
0
220
Talk about TAS before forgetting
mirie_sd
0
270
Cooking the server with Salt (REM@STER Version)
mirie_sd
0
700
Other Decks in Technology
See All in Technology
JTCでRedmine利用者2700人を実現した手法 第二部
nobuonakamura
0
110
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
harutiro
1
130
AWS WAFの運用を地道に改善し、自社で運用可能にするプラクティス
andpad
1
240
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
k_adachi_01
5
1.5k
20260515 OpenIDファウンデーション・ジャパンご紹介
oidfj
0
120
"うちにはまだ早い"は本当? ─ 小さく始めるPlatform Engineering入門
harukasakihara
6
610
SREの仕事は「壊さないこと」ではなくなった 〜自律化していくシステムに、責任と判断を与えるという価値〜 / 20260515 Naoki Shimada
shift_evolve
PRO
1
170
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
olmdrd
PRO
0
160
20260515 ログイン機能だけではないアカウント管理を全体で考える~サービス設計者向け~
oidfj
1
670
2026年春のAgentCoreアプデ 細かいやつ全部まとめ
minorun365
4
240
Sociotechnical Architecture Reviews: Understanding Teams, not just Artefacts
ewolff
1
180
O'Reilly Infrastructure & Ops Superstream: Platform Engineering for Developers, Architects & the Rest of Us
syntasso
0
180
Featured
See All Featured
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
400
Accessibility Awareness
sabderemane
1
110
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
65
55k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.2k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
560
How to Talk to Developers About Accessibility
jct
2
200
Chasing Engaging Ingredients in Design
codingconduct
0
190
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
130
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
Transcript
2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security
Configuration and Hardening Guide
自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan
VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…?
免責事項 • 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。
ESXi をターゲットとした攻撃が増加
ESXiを完全に保護するソリューションってある? • いわゆる『銀の弾丸』はない • 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… • ESXi 自体を保護ソリューションはまだない(はず)
Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768
近年の傾向 → 侵入を前提とした対策? • Immutable Backup • Cloud Disaster Recovery
そうは言っても • 悪いことされないようにしておきたい • 新しい製品やサービスの導入にはお金や時間が ◦ 運用への影響も発生しがち • セキュリティ案件は降ってくるときは待ったなし ◦
報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か?」と • 管理者が日常レベルでできそうなことからやっておく ◦ 本格的なものは組織的・計画的に
日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide
vSphere Security Configuration and Hardening Guide • vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン
◦ ガイダンス PDF ◦ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ▪ System Design / Hardware / Controls • 設計やハードはいきなり変えられないが、設定なら内容次第では • vSphere 4.0 から存在している歴史あるドキュメント ◦ Hardening Guide と言えばお馴染みな人も • 全編英語…
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | ここで実物登場 | |________| ∧∧ || ( ゚д゚)|| /
づΦ
• Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下
※ 8.6 の場合
Aria Operations で評価 SCG に沿った指摘が出てくる
• vSphere 8 (8.0.2 から?)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…
スクリプトは vSphere 7 でも動くか? • スクリプトなので改造してみるも一部の cmdlet が vSphere 7
に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)
まとめ • vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し •
まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも • 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 • ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ
ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html
EOP
mirie_sd
nobuonakamura
harutiro
andpad
k_adachi_01
.png){kind=avatar}
oidfj
harukasakihara
shift_evolve
olmdrd
minorun365
ewolff
syntasso
marktimemedia
sabderemane
nwiizo
morganepeng
inesmontani
sstephenson
tammyeverts
jct
codingconduct
auna
keavy
thoeni
![ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html](https://files.speakerdeck.com/presentations/1ed18a452bbe44e8bcbfa6dee2fa9ed2/slide_15.jpg){kind=link}
