-
网络访问控制:在防火墙设置中仅允许受信任的IP或IP段访问ESXi管理端口(默认443/902),禁止公网暴露。
-
修改默认端口:通过vSphere Client更改ESXi管理界面默认端口(如HTTPS端口443),降低扫描攻击风险。
-
强密码与多因素认证:启用ESXi本地账户的复杂密码策略(长度≥12,含大小写/符号),并集成RADIUS或VMware Identity Manager实现MFA。
-
关闭非必要服务:通过CLI禁用ESXi Shell、SSH服务(esxcli system ssh set --enabled=false)及DCUI,仅在维护时临时启用。
-
定期更新补丁:通过VMware Lifecycle Manager(VLCM)或CLI命令(esxcli software vib update)及时安装ESXi版本和驱动安全补丁。
-
日志监控:配置syslog将ESXi日志转发至SIEM系统(如vRealize Log Insight),设置异常登录/配置变更的实时告警。
-
限制API访问:通过vSphere API Management界面禁用非必要API端点,并对vSphere API调用启用证书认证。
-
启用Lockdown模式:在主机配置中启用Lockdown Mode,限制仅vCenter Server具有管理权限,防止直接本地操作。
-
证书加固:替换ESXi默认自签名证书为CA签发证书,并配置TLS 1.2+协议,禁用SSLv3等不安全加密套件。
-
备份与恢复验证:定期通过Veeam或NAI备份ESXi配置,并测试快速恢复流程以应对勒索软件攻击场景。