понедельник, 1 марта 2010 г.

Стоит ли отключить Tech Support доступ на ESXi?

Duncan Epping написал про обсуждение интересного вопроса о безопасности ESXi.

Стоит ли отключить Tech Support доступ на ESXi с целью усиления безопасности?

Технически это несложно, но лично я полностью согласен с Duncan’ом – с точки зрения ИБ бессмысленно.

  1. Чтобы попасть на ваш сервер ESXi в Tech Support режиме (консоли), злоумышленнику необходим физический доступ к вашему серверу (либо iLO / IP KVM).
  2. Если злоумышленник получил доступ к физической консоли сервера, то ему необходимо знать пароль root.

Как все мы помним из азов ИБ – “Если у кого-то постороннего есть физический доступ к вашему серверу, это больше не ваш сервер”. Ну а если злоумышленник имеет физический доступ к серверу и знает административный пароль, то у вас явно серьезные проблемы с безопасностью в целом, которые никак не решить запретом Tech Support Mode. А вот с поддержкой проблемы возникнут, поскольку при любом сбое ESXi будет просто невозможно зайти на него и расследовать причины.

Tech Support Mode можно будет включить обратно, да, но это потребует перезагрузки сервера и симптомы неисправности могут при этом просто исчезнуть.

Комментариев нет:

Отправить комментарий