Posted inVMware

Bảo mật vSphere: Thực chiến Lockdown Mode, Certificate và Hardening ESXi Host

VMware tutorial - IT technology blog
VMware tutorial - IT technology blog

Management Plane: “Gót chân Achilles” của hệ thống ảo hóa

Nhiều người thường nghĩ cứ cài xong vCenter, cấu hình vMotion mượt mà là có thể kê gối ngủ ngon. Thực tế, một cụm vSphere để mặc định là miếng mồi ngon cho các dòng Ransomware như LockBit – vốn chuyên nhắm trực tiếp vào các file .vmdk để mã hóa toàn bộ hạ tầng chỉ trong vài phút. Khi vùng quản trị (Management Plane) bị chiếm quyền, hacker không cần phá từng máy ảo mà chỉ cần xóa sạch Storage từ mức Host.

Tại cụm 8 Host ESXi mình đang vận hành, từng có lúc SSH được mở “vô tội vạ” cho toàn bộ dải IP văn phòng. Chỉ cần một máy kế toán bị nhiễm malware, kẻ tấn công có thể dùng brute-force để dò pass root của Host ngay lập tức. Những chia sẻ dưới đây là quy trình mình đã áp dụng để biến hệ thống từ trạng thái “mở toang” sang chuẩn Hardening nghiêm ngặt.

So sánh các cấp độ bảo mật: Mặc định vs Hardened

Đừng đợi đến khi thấy cảnh báo đỏ rực trên Dashboard mới bắt đầu lo lắng. Hãy nhìn vào sự khác biệt giữa hai trạng thái hệ thống:

  • Hệ thống mặc định: Root có thể đăng nhập SSH từ bất cứ đâu. Firewall mở full subnet. Certificate là loại Self-signed, khiến trình duyệt luôn báo lỗi đỏ và dễ bị tấn công giả mạo.
  • Hệ thống Hardened: SSH bị vô hiệu hóa hoặc chỉ giới hạn cho IP của Admin (Jump Host). Kích hoạt Lockdown Mode để tập trung quyền điều khiển về vCenter. Mọi kết nối đều dùng CA Certificate xịn, chuẩn hóa 100%.

Cân nhắc mức độ siết chặt bảo mật

Câu hỏi đặt ra là: Siết đến đâu thì vừa? Nếu làm quá tay, chính bạn sẽ là người “đổ mồ hôi hột” khi hệ thống gặp sự cố mà không thể truy cập để cứu dữ liệu.

Tính năng Ưu điểm Nhược điểm
Normal Lockdown Mode Chỉ vCenter và Exception List mới được điều khiển Host. Vẫn vào được giao diện DCUI (màn hình vàng đen) tại server vật lý.
Strict Lockdown Mode Bảo mật tuyệt đối, khóa luôn cả DCUI. Nếu vCenter sập, bạn gần như bị “nhốt” bên ngoài Host.
Custom Certificates Hết cảnh báo bảo mật, mã hóa kết nối an toàn. Quy trình triển khai CA nội bộ khá phức tạp với người mới.

Lựa chọn tối ưu từ kinh nghiệm thực tế

Với các môi trường doanh nghiệp quy mô vừa, mình luôn ưu tiên Normal Lockdown Mode. Cách này giúp bạn chặn đứng các đợt brute-force qua mạng, nhưng vẫn giữ được “đường lui” thông qua console vật lý (iDRAC/iLO) khi vCenter gặp sự cố nghiêm trọng.

Hướng dẫn triển khai chi tiết

1. Gia cố (Hardening) ESXi Host qua CLI

Đầu tiên là xử lý Firewall. Đừng cho phép cả dải mạng truy cập vào port 22. Giả sử IP máy quản trị của bạn là 192.168.10.50, hãy chạy lệnh sau:

# Kiểm tra các rule hiện có
esxcli network firewall ruleset list

# Chặn truy cập SSH từ mọi nguồn
esxcli network firewall ruleset set --ruleset-id=ssh --allowed-all=false

# Chỉ cho phép duy nhất IP của Admin
esxcli network firewall ruleset allowedip add --ruleset-id=ssh --ip-address=192.168.10.50

# Áp dụng thay đổi
esxcli network firewall ruleset set --ruleset-id=ssh --enabled=true

Kế tiếp, hãy tắt ngay Managed Object Browser (MOB). Dù tiện lợi cho việc debug nhưng nó lại cung cấp quá nhiều thông tin nhạy cảm về cấu hình hệ thống cho kẻ xấu.

# Kiểm tra xem MOB có đang mở không
vim-cmd proxysvc/get_all_stats

# Tắt MOB để bảo mật
# Thao tác nhanh: Host > Configure > Advanced System Settings > Tìm 'Config.HostAgent.plugins.solo.enableMob' và set về False.

2. Cấu hình Lockdown Mode trên vCenter

Sau khi add Host vào vCenter, hãy biến vCenter thành điểm quản lý duy nhất. Việc này giúp việc truy vết log (Audit log) trở nên tập trung và chính xác hơn.

  1. Mở vSphere Client, chọn Host cần cấu hình.
  2. Tìm đến Configure > System > Security Profile.
  3. Tại mục Lockdown Mode, chọn Edit và chuyển sang Normal.
  4. Lưu ý: Thêm tài khoản backup (như service account của Veeam) vào Exception Users để tránh gián đoạn sao lưu.

3. Thay thế Certificate: Xóa bỏ cảnh báo đỏ

Cái ổ khóa xanh trên trình duyệt không chỉ để cho đẹp. Nó đảm bảo bạn đang kết nối đúng server chứ không phải một trang giả mạo (Man-in-the-middle). VMware đã tích hợp sẵn VMCA để đơn giản hóa việc này.

Nếu dùng CA nội bộ (Microsoft AD CS), hãy SSH vào vCenter và gọi công cụ thần thánh:

/usr/lib/vmware-vmca/bin/certificate-manager

Chọn Option 1. Bạn sẽ thực hiện quy trình 3 bước: Tạo CSR, gửi sang CA Server để ký và Import lại. Khi xong, toàn bộ giao diện quản trị sẽ hiện ổ khóa xanh mướt, tạo sự tin cậy tuyệt đối khi vận hành.

Bài học xương máu khi vận hành

Sau nhiều lần “vấp ngã” với cụm 8 Host, mình đúc kết lại 3 quy tắc vàng:

  • Nói không với Strict Lockdown nếu thiếu KVM: Nếu bạn không có iDRAC/iLO hoặc quyền tiếp cận server vật lý, đừng bao giờ bật chế độ Strict. Một lỗi mạng nhỏ cũng có thể khiến bạn mất quyền kiểm soát hoàn toàn.
  • NTP là trái tim của Certificate: Chỉ cần thời gian giữa Host và vCenter lệch nhau quá 5 phút, toàn bộ Certificate sẽ bị từ chối. Hãy đảm bảo NTP luôn được đồng bộ với một nguồn tin cậy.
  • Đẩy Log ra ngoài: Luôn cấu hình Syslog để đẩy log về một server độc lập (như vRealize Log Insight). Nếu Host bị hacker xóa log để phi tang, bạn vẫn còn bản sao để điều tra.

Bảo mật vSphere không phải là đích đến mà là một hành trình kiểm soát liên tục. Nếu anh em gặp khó khăn khi chạy lệnh esxcli hay lỗi khi thay Cert, hãy để lại comment phía dưới, mình sẽ hỗ trợ giải quyết ngay.

Share:
Tags: