Duncan Epping написал про обсуждение интересного вопроса о безопасности ESXi.
Стоит ли отключить Tech Support доступ на ESXi с целью усиления безопасности?
Технически это несложно, но лично я полностью согласен с Duncan’ом – с точки зрения ИБ бессмысленно.
- Чтобы попасть на ваш сервер ESXi в Tech Support режиме (консоли), злоумышленнику необходим физический доступ к вашему серверу (либо iLO / IP KVM).
- Если злоумышленник получил доступ к физической консоли сервера, то ему необходимо знать пароль root.
Как все мы помним из азов ИБ – “Если у кого-то постороннего есть физический доступ к вашему серверу, это больше не ваш сервер”. Ну а если злоумышленник имеет физический доступ к серверу и знает административный пароль, то у вас явно серьезные проблемы с безопасностью в целом, которые никак не решить запретом Tech Support Mode. А вот с поддержкой проблемы возникнут, поскольку при любом сбое ESXi будет просто невозможно зайти на него и расследовать причины.
Tech Support Mode можно будет включить обратно, да, но это потребует перезагрузки сервера и симптомы неисправности могут при этом просто исчезнуть.
Сообщения
Комментариев нет:
Отправить комментарий