vSphere ESXi 기본개념과 기능

* ESXi란?

- 하이퍼바이저이며 커널의 이름.

- vSphere와 함께 구매하거나 또는 무료로 다운로드할 수 있음.

- 무료버전의 ESXi는 vSphere Hypervisor라고 함

- vSphere는 ESXi와 vCenter가 합쳐진 VMware의 서버 가상화 "제품"의 이름이다.

 

 

 

* ESXi 설치 특징

- 작은 설치 공간 사용

- 여러가지 설치 공간에 설치 가능 (HDD, SAN LUN, SSD, USB장치, SD카드, SATADOM, Diskless Host 등)

-  vSphere Auto Deploy를 사용하여 디스크가 없는 호스트(메모리에 직접)에도 ESXi를 설치 가능

 

 

 

* ESXi 기능

 

# 호스트 기반 방화벽

- 관리 인터페이스를 통한 공격의 위험을 최소화하기 위해 ESXi에는 관리 인터페이스와 네트워크 사이에 방화벽이 포함된다.

 

# Memory Hardening

- ESXi 커널, 사용자 모드 애플리케이션 및 실행 가능한 구성 요소(예: 드라이버 및 라이브러리)가 예측할 수 없는 임의의 메모리 주소에 위치하는 기능.

- Memory Hardening은 CPU가 제공하는 비실행 메모리 보호기능과 결합하여 악성코드가 취약점을 악용하기 위해 메모리 익스플로잇을 사용하는것을 어렵게 한다.

 

# 커널 모듈 무결성

- 디지털 서명은 VM커널이 로드할 때 모듈, 드라이버, 애플리케이션의 무결성과 신뢰성을 보장한다.

 

# Trusted Platform Module 2.0

- TPM은 신뢰할 수 있는 플랫폼을 생성하는 하드웨어 요소이다.

- 이 요소는 부팅 프로세스 및 로드된 모든 드라이버가 정품임을 확인한다.

 

# UEFI 보안 부팅

- 이 기능은 VMware Infrastructure Bundles (VIB)이 체인으로 연결되는 디지털 인증서가 포함된 UEFI 보안 부팅 펌웨어를 지원하는 시스템용이다.

- 부팅 시 다른 프로세스보다 먼저 검증기가 시작되어 펌웨어의 인증서에 대한 VIB의 체인을 확인한다.

 

# 암호화된 코어 덤프

- 다음 링크 참고

- https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-D3FB2182-ECC9-42F2-9F87-11CBC33F414C.html

 

# Lockdown Mode

- ESXi 호스트에서 설정할 수 있다. 로그인 및 API 기능이 ESXi 호스트에서 직접 실행되지 않도록 비활성화 하는 모드

- 일반적으로 ESXi에서 직접 실행하지 않고 vCenter를 통해 운영함. 즉 호스트 관리를 vCenter로 제한하는 것임.
- Enable 하면 보안에는 좋으나 원격지원에 많은 제약사항이 있게 됨.

 

# 빠른 패치 및 업그레이드를 위한 빠른 부팅

- vSphere 6.7의 New Feature 이다. 이 기능을 통해 리부팅이 1~2분만에 완료될 수 있다.

- 물리적 서버 BIOS를 다시 초기화하지 않고도 ESXi를 재부팅할 수 있음.

- 호스트 패치 및 호스트 업그레이드 작업 중 문제 해결 시간을 줄여줄 수 있다.

- 지원되는 하드웨어가 필요하며, 지원되는 하드웨어에서는 기본적으로 활성화된다.

- 일반적으로 VMware의 최신 가능은 Dell 하드웨어가 가장 먼저 호환이 지원된다. 예를들어 vSphere 6.7에서 PowerEdge R730이 빠른부팅이 호환되는 식이다.