Un must dans toute organisation est de contrôler et d’autoriser l’accès à ses serveurs, indépendamment de l’existence de segmentations avec des VLAN, ou avoir le contrôle via des pare-feu physiques, Une bonne idée est de mettre en place une micro-segmentation, ou dans certains cas pour simplifier, activer également le contrôle sur le pare-feu du système d’exploitation.

Donc, dans l’article d’aujourd’hui, nous allons examiner cela, Comment activer l’accès à nos hyperviseurs VMware ESXi et à l’appliance de gestion VMware vCSA, Nous activerons le contrôle avec votre propre pare-feu, n’autoriser que les accès qui nous intéressent. Dans l’ordre bien sûr que si nous devions avoir un bug, ransomware ou quoi que ce soit et s’échappe plus qu’il ne le devrait, Alors atténuons et essayons de l’affecter le moins possible. Puisqu’il est nécessaire d’avoir accès à la gestion des appareils, affinons donc et indiquons qui doit se connecter au vCSA, à partir de quelles adresses IP, et la même chose pour les hôtes ESXi.

Firewall de VMware ESXi

Nous allons pouvoir modifier le pare-feu ESXi de plusieurs manières, par CLI, depuis sa gestion web ou même depuis vCenter, individuellement dans chacun d’eux, ou via un profil d’hôte. Si nous allons “Configurer” > “Système” > “Pare-feu”, Nous pourrons modifier les règles fournies avec chaque hyperviseur, à la fois entrants et sortants.

Et nous pourrons rechercher dans les règles entrantes les accès avec “Client Web vSphere” qui est normalement utilisé par les modèles 443TCP et 902TCP, ainsi que “Accès Web vSphere” qui utiliserait le port 80TCP. Là, nous pouvons ajouter une liste d’adresses IP séparées par des virgules, cette liste serait les adresses IP qui pourraient accéder à ces services. Généralement les équipes de direction, Sauter; ainsi que des services de sauvegarde ou d’autres services qui peuvent être pris en charge, est une infrastructure VDI…

Si SSH est activé sur les hôtes, Nous pouvons modifier la règle de pare-feu dans le “Coque sécurisée” pour indiquer à partir de quelles adresses IP nous donnerons accès aux connexions SSH.

Pare-feu VMware vCSA

Pour modifier le pare-feu sur notre appliance VMware vCSA ou Virtual Center Server Appliance, Nous accéderons à la gestion de l’appliance avec un navigateur au port 5480 par https, et après s’être connecté avec un compte privilégié, Nous accéderons au menu de “Fiwarell” et nous pouvons ajouter des règles. Par défaut, tout est ouvert.

Et nous pouvons établir autant de règles que nous le voulons, en ajoutant des adresses IP spécifiques qui peuvent se connecter au vCSA et à la fin, nous devons mettre une règle de déni, Rejeter le reste. De même, Mémoriser tout ce que votre infrastructure virtuelle peut utiliser, Qui a besoin de vCenter, Postes de direction ou équipes de saut, Systèmes de sauvegarde, machines virtuelles créées automatiquement…

Comme toujours, j’espère qu’ils pourront être des documents d’intérêt pour vous, L’idée est toujours de s’améliorer, Essayez de minimiser les accès inappropriés, Évitons les frayeurs 😉 Puisse-t-il bien se passer pour vous, que vous êtes très heureux et ces choses =)