Aspectos importantes sobre la seguridad de vSphere ESXi 5
VMware vSphere™ ESXi 5 incluye dos nuevas funcionalidades para aumentar la seguridad del VMkernel:
- Memory Hardening: El kernel del ESXi, aplicaciones user-mode y ejecutables como drivers y librerías están localizadas en zonas de memoria aleatorias para evitar que software del tipo troyanos averigüen de una forma sencilla la localización de estas zonas de memoria.
- Kernel Module Integrity: Los módulos, drivers y aplicaciones de ESXi son “firmados” digitalmente para asegurar la integridad de estos una vez que el VMkernel los carga en memoria.
Asimismo, a diferencia de las versiones VMware ESX 4.x, en VMware vSphere™ ESXi 5 es posible hacer boot de tu servidor ESXi desde un disco USB externo. También es posible instalar tus servidores ESXi con la opción de VMware Auto Deploy, sobre todo cuando tienes un número de host importante que instalar. De esta forma, acelerarás la fase de instalación del binario de ESXi y el despliegue de tus máquinas virtuales.
Si haces una actualización de la versión ESX 4.x a la versión ESXi 5 el portgroup tipo Service Console (solo disponible en versiones ESX) será borrado, ya que en los servidores ESXi no existe un Service Console. Asimismo, el portgroup de gestión en ESXi es llamado Management Port. Recuerda antes de actualizar un servidor ESXi hacer una copia de seguridad de su configuración con el comando vicfg-cfgbackup desde el vCli.
Desde el punto de vista de almacenamiento compartido SAN iSCSC, el número máximo de LUNs iSCSI que puedes conectar a un servidor ESXi es de 256. Otro de los límites que han cambiado en esta nueva versión de VMware vSphere™ ESXi 5 con respecto a las versiones anteriores, es que ahora es posible tener arrancadas hasta 2.048 máquinas virtuales por volumen VMFS.
También, ahora es posible activar – y está soportado – el modo soporte (TSM – de las siglas en inglés Tech Support Mode) de modo que podrás entrar vía SSH a tu servidor ESXi. Puedes activar el modo TSM desde la DCUI (de las siglas en inglés Direct Console User Interface) o con el vSphere Client a través del panel Security Profile localizado dentro de la pestaña de Configuration.
Una vez entres en la consola de tu servidor ESXi vía comando, podrás ver los logs de tu sistema, configurar las propiedades de los servicios de DNS, NTP, arrancar máquinas virtuales, apagar servidores ESXi y un largo etcétera. Sin embargo, una de las pocas tareas que no podrás hacer desde consola es la de poner tu host ESXi en modo mantenimiento.
Para poder ver una guía de referencia de todos los comandos disponibles por consola en la versión ESXi 5.0, te recomiendo que veas el episodio número 31 de nuestro canal de televisión web sobre la virtualización y el cloud computing en español en la siguiente dirección: http://www.virtualizacion.tv
Asimismo, con el fin de mejorar la seguridad del servidor ESXi, VMware ha añadido un firewall embebido en el VMkernel. A diferencia de las versiones anteriores, este firewall no está basado en IPtables de Linux.
Por último, y si aún tienes servidores VMware ESX en tu entorno virtual y necesitas aplicar parches en el Service Console del ESX, debes de asegúrate de aplicar dichos parches solo y únicamente cuando VMware haya hecho público las actualizaciones y siempre que sea sugerido por personal autorizado de VMware o por el equipo experto de VMware llamado VMware Security Advisories. Para poder recibir alertas de seguridad sobre vulnerabilidades del software de VMware, puedes suscribirte en esta dirección: http://www.vmware.com/security
¿Crees que este post le puede interesar a alguien a quien conoces? Compártelo clicando los botones de Twitter, Facebook o Google+ de abajo. Gracias por tu apoyo.