Cuidados ao publicar um vSphere na Internet

Publicado por Luiz Carlos Gabriel Pacheco Castello Branco em

Compartilhe que você está se especializando

Publicar um Servidor vSphere na Internet: Pontos de Atenção para Laboratórios

Recentemente, precisei disponibilizar um servidor vSphere diretamente na internet para uso como laboratório. Isso me lembrou de uma experiência anterior: na primeira vez que fiz isso, recebi uma notificação do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) sobre vulnerabilidades e riscos potenciais.

A partir dessa experiência, resolvi compartilhar alguns pontos de atenção essenciais para quem precisa publicar um ambiente vSphere de forma segura, mesmo que seja apenas para testes.

Alguns cuidados

1. Mantenha o vSphere Sempre Atualizado

A atualização constante do vSphere é a primeira linha de defesa contra ataques. Cada nova versão traz correções de vulnerabilidades conhecidas e melhorias de segurança. Antes de expor seu servidor na internet, verifique se todos os patches e atualizações críticas estão aplicados. Isso inclui tanto o vCenter quanto os hosts ESXi.

Mesmo depois de instalar seu hypervisor, verifique os pacotes e atualize esse servidor. Leia nosso post Atualizar um host ESXi remotamente.

2. Analise os Avisos de Vulnerabilidade do Próprio Sistema

O vSphere possui um painel que avisa sobre possíveis vulnerabilidades de segurança. Um exemplo clássico está na versão 7, que alerta sobre ajustes relacionados a hyperthreadingMitigation.

É fundamental revisar todas as recomendações do sistema e aplicá-las sempre que possível, pois elas ajudam a reduzir a superfície de ataque do servidor.

3. Desabilite Serviços Desnecessários

Alguns serviços do vSphere podem representar risco se expostos à internet. Um que deve ser parado (a menos que você esteja usando) é o serviço SLPD (Service Location Protocol Daemon) é desnecessário em muitas instalações e deve ser desabilitado, especialmente no vCenter, acessando a lista de serviços pela interface gráfica. Leia o KB76372 para ver como parar e desabilitar esse serviço.

Eliminar serviços que não são usados reduz o número de vetores de ataque possíveis.

4. Remova Controladores USB das VMs

Controladores USB em máquinas virtuais podem ser explorados por atacantes se o servidor estiver exposto à internet. Por isso, recomenda-se remover qualquer controlador USB das VMs do laboratório.

Além de melhorar a segurança, isso também ajuda na performance e na estabilidade do ambiente.

5. Testes e Ferramentas de Análise de Segurança

Antes de publicar o servidor, é essencial executar testes de segurança e consultar ferramentas de análise de vulnerabilidades. Algumas opções populares incluem:

  • Nessus: para auditoria de vulnerabilidades em hosts e VMs.
  • OpenVAS: scanner de vulnerabilidades open-source.
  • Qualys: serviço baseado em nuvem para detecção de falhas.

Essas ferramentas ajudam a identificar falhas que não são apontadas diretamente pelo vSphere e permitem agir preventivamente.

Conclusão

Publicar um servidor vSphere na internet, mesmo que apenas para laboratório, envolve riscos sérios se medidas de segurança não forem aplicadas. Atualizações constantes, análise de alertas de vulnerabilidade, desativação de serviços desnecessários, remoção de controladores USB e testes de segurança são passos essenciais para minimizar esses riscos.

Seguindo essas práticas, você mantém seu ambiente de laboratório funcional, seguro e menos suscetível a incidentes que poderiam chamar atenção do CERT.br ou de agentes maliciosos.

Aqui faremos um POST rápido sobre um assunto que acreditamos que possa acrescentar a vários profissionais, seremos breves e abordaremos de uma maneira também bem simples com o objetivo de agregar o máximo da forma mais rápida.

Fontes/Referências

NVLAN – Atualizar um host ESXi remotamente

https://cert.br
https://knowledge.broadcom.com/external/article?legacyId=76372
https://knowledge.broadcom.com/external/article/315467/steps-to-remove-a-usb-controller-from-a.html
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/23590

Mais Informações

Esperamos ter te ajudado e estaremos sempre a disposição para mais informações.

Se você tem interesse em algum assunto específico, tem alguma dúvida, precisa de ajuda, ou quer sugerir um post, entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria
Categorias: Virtualização
Tags:

Posts relacionados

Virtualização

Como atualizar o VMware Tools do seu host ESXi

Compartilhe que você está se especializandoAqui demonstraremos como atualizar a versão do VMware Tools de um servidor ESXi, permitindo instalar uma versão mais nova nos servidores virtuais, guests. Seremos breves e abordaremos de uma maneira Leia mais

Virtualização

Como atualizar a licença VMware do 6 para o 7

Compartilhe que você está se especializandoMuitos não sabem, mas a VMware permite muitas vezes que seja feita o upgrade de licença, de uma versão mais antiga para uma mais nova. Para isso, basta acessar o Leia mais

Virtualização

Habilitar o cliente SNMP no vSphere ESXi

Compartilhe que você está se especializandoAcesse seu vSphere por SSH (caso não esteja habilitado, acesse o webclient, inicie o serviço SSH Server) com a credencial de root e execute os seguintes comandos (alterando as partes Leia mais