ファイアウォールなしでパブリックIPでホストされているESXi
だから私は興味深い問題を抱えています。
現在、Hetzner(ドイツのホスティングプロバイダー)からサーバーをいくつかレンタルしています。各サーバーにはソフトファイアウォールがあり、Webホスティング/データベースのようなものを実行します。
物理的なNICとpfSense VMに接続されたvSwitch、およびpfSense VMから他のvSwitchに接続された別のvSwitchを使用して、より強力なサーバーをレンタルし、ESXiのようなハイパーバイザーをセットアップします。残念ながら、Hetznerはパブリックインターフェイスとサーバーの間にハードウェアファイアウォールを提供していないようです(ソフトファイアウォールを唯一のオプションとして残しています)。
このようにESXi(v5.5)を公共の場所で実行すると、セキュリティにどのような影響がありますか?クイック調査が示唆 spiceworksのこのスレッド これは、SSH /コンソール(telnet?)アクセスを無効にし、適切なSSL証明書と非常に複雑で推測不可能なユーザー名/パスワードのペアを設定することとして要約します。単一エントリの攻撃ポイントの明らかな含意。
ESXiファイアウォールを通過できるIPアドレスを制限できます。
それを強化するために必要なのは、これだけです。管理を特定のIPアドレスに制限することは非常に安全です。当然、パスワードなどに関する他のベストプラクティスに従ってください。
ファイアウォールを完全に確認し、すべてを管理IPにロックしてください。
非静的IP代替
ロックall上記のように127.0.0.1までのポートexcept SSHの場合。 SSHを秘密鍵/公開鍵認証のみにロック そして、ChallengeResponseAuthenticationとPasswordAuthenticationを無効にします。これはvery安全です。
お気に入りのSSHクライアントを使用して、次のようなコマンドラインでサーバーに接続します。
ssh my.vmhost.rackhoster -L80:localhost:80 -L443:localhost:443 -L903:localhost:903
次に、SSHセッションを実行したままにし、ブラウザにhttps://localhost/とすると、ポート443が自動的にESXiホストに転送されます。ローカルマシンですでにポート443を使用している場合はポートを変更します(つまり、代わりに-L8443:localhost:443を使用します)-> https://localhost:8443/)。ポート80についても同様です。ポート903はコンソール用です。
秘密鍵を紛失した場合、この方法でかなり台無しにされてしまいますback it up! :-)
高度なセキュリティのために、秘密鍵が適切なパスフレーズで暗号化されていることを確認してください。 忘れないでください!
ESXiの組み込みファイアウォールを使用して、不要なポートを閉じ、開いているポートへのアクセスを既知のIPアドレスの範囲に制限します。
(ほとんどの人のように)固定外部IPアドレスを自宅で使用しない場合、これは困難な場合があるため、インターネット上にある他のサーバーのアドレスへのアクセスを制限することになります。
なぜパブリックネットでESXを実行するのですか? pfSense FWを「パブリックエンドポイント」として使用し、その他すべてをプライベートにできないのではないですか。これが私のやり方です。