vSphere 7.0 Security Hardening

Hoy más que nunca entendemos que el activo más valioso de una organización es su información. A su alrededor existen industrias enteras dedicadas a obtenerla, robarla o inutilizarla. Este artículo no busca describir esas amenazas, sino enfocarse en algo más importante: qué podemos hacer nosotros, como responsables o diseñadores de datacenter, para proteger esa información y evitar accesos no deseados. Y así garantizar su confidencialidad, integridad y disponibilidad.

¿Qué entendemos por Seguridad de la Información?

La seguridad de la información es el conjunto de prácticas destinadas a proteger:

• la integridad de los datos,
• su privacidad,
• y el acceso adecuado a los recursos.

Esto implica que existan mecanismos y políticas que aseguren que cada usuario solo acceda a lo que le corresponde. En esencia, seguridad significa evitar pérdida de datos, controlar confidencialidad y gestionar accesos. Porque si un dato cambia sin autorización o deja de ser accesible, pierde parte o todo su valor.

Hardening: endurecer sistemas para reducir vulnerabilidades

El hardening es el proceso de reducir la superficie de ataque de un sistema, evitando así posibles intrusiones. La superficie de ataque es el conjunto de puntos por los que un atacante podría intentar ingresar, leer o robar información.

No se trata de dejar el sistema inaccesible, pero tampoco totalmente abierto. El objetivo es lograr el punto ideal: un entorno operativo, funcional y seguro.

Ejemplos típicos de hardening

• Mantener actualizados los parches de seguridad.
• Instalar un firewall.
• Bloquear transferencias de archivos entre programas.
• Guardar datos importantes en backups.
• Crear contraseñas seguras.
• Usar datos encriptados siempre que sea posible.
• Deshabilitar cookies innecesarias.
• No abrir mails ni adjuntos desconocidos.
• Separar datos y programas.
• Cerrar puertos fuera de uso.
• Configurar permisos de seguridad.
• Configurar adecuadamente el acceso remoto.
• Restringir software innecesario.

Las empresas, independientemente de su rubro, operan hoy infraestructura virtualizada que almacena información crítica. Por eso, sin importar la tecnología o el crecimiento del entorno, la seguridad siempre es el núcleo del diseño.

Desde mi experiencia de más de 12 años trabajando con VMware, este artículo resume los puntos clave para endurecer un entorno vSphere.

Componentes principales de un entorno vSphere

• Hosts ESXi
• vCenter Server
• Máquinas virtuales y sistemas operativos invitados
• Networking (capa virtual y física)
• Storage

VMware mantiene una guía oficial muy completa: https://core.vmware.com/security-configuration-guide

---

Hardening por componente

1. Hardening en ESXi

• Mantener los parches de seguridad al día.
• Deshabilitar SSH y Shell Access.
• Limitar por firewall los puertos abiertos solo a los necesarios.
• Dejar iniciados únicamente los servicios requeridos.
• Permitir solo conexiones SSL.
• Configurar NTP correctamente.
• Usar cuentas nominadas.
• Evitar usar el usuario root.
• Usar contraseñas complejas.
• Habilitar Lockdown Mode.
• Habilitar logs persistentes.
• Configurar timeouts de sesión.
• Usar SecureBoot si está disponible.
• Respetar lifecycle del producto.

Links oficiales

• General ESXi Security Recommendations
• UEFI Secure Boot for ESXi Hosts
• ESXi Passwords and Account Lockout
• Store system logs in persistent storage

---

2. Hardening en vCenter Server (vCSA)

• Configurar correctamente NTP.
• Configurar firewall interno para permitir solo lo necesario.
• Limitar o deshabilitar acceso SSH / shell.
• Limitar acceso root y paneles como VAMI.
• Revisar políticas de Contraseña y Bloqueo.
• Usar cuentas nominadas.
• Revisar permisos, roles y asignaciones.
• Usar AD como identidad si corresponde.
• Aislar vCenter en red de administración.
• Respetar lifecycle del producto.

Links oficiales

• vCenter Server Security Best Practices
• Configurar Identity Source con LDAPS

---

3. Hardening en Máquinas Virtuales

• Mantener OS invitado actualizado.
• Deshabilitar servicios innecesarios.
• Instalar y mantener antivirus/antimalware.
• Actualizar VMware Tools.
• Aplicar políticas de bloqueo y contraseña.
• Limitar acceso a red mediante firewall o ACL.
• Restringir acceso a consola de la VM.
• Usar UEFI Secure Boot (vSphere 6.5+).
• Usar plantillas actualizadas.
• Cifrar VM y discos (vSphere 6.5+).
• Respetar lifecycle del sistema operativo.

---

4. Hardening de la Red (vSphere Networking)

Los pilares son:

• Firewalls
• Segmentación
• Prevención de accesos no autorizados

Esto reduce espionaje de tráfico, MITM, ARP spoofing y DoS.

En VSS y VDS, aplicar:

• MAC Address Changes
• Forged Transmits
• Promiscuous Mode

Links oficiales

• Securing vSphere Networking
• Securing the Network with Firewalls
• Securing Virtual Machines with VLANs
• Secure the Physical Switch
• Secure vSphere Distributed Switches

---

5. Hardening del Storage

Para iSCSI:

• Habilitar CHAP.
• Limitar iniciadores solo a hosts autorizados.
• Usar red dedicada.
• Aplicar zoning y LUN masking.

Para NFS:

• Preferir NFS 4.1 con Kerberos.
• Asegurar comunicación cifrada.

Links oficiales

• Storage Security Best Practices
• NFS Security

---

Cierre

La seguridad lo abarca todo. Es transversal, constante y nunca termina. Un ejercicio serio de hardening exige coordinación entre múltiples equipos: seguridad, redes, bases de datos e infraestructura.

VMware publica avisos de seguridad de manera continua. Suscribirse es esencial: https://www.vmware.com/security/advisories.html

Un gran saludo,
Raúl Dedominici