(L1) Ensure ESXi is properly patched (Manual)
Profile Applicability
- Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
VMware Lifecycle Manager ابزاری است که ممکن است برای خودکارسازی مدیریت Patch مربوط به Hostها و ماشینهای مجازی vSphere استفاده شود. ایجاد یک خط مبنا برای Patchها راه خوبی برای اطمینان از این موضوع است که همه Hostها در یک سطح Patch هستند. VMware همچنین توصیههایی در مورد Patchهای امنیتی منتشر میکند و راهی برای اشتراک در هشدارهای ایمیل برای آنها ارائه میدهد.
Rationale
با بهروز ماندن در وصلههای ESXi، میتوان آسیبپذیریهای موجود در Hypervisor را کاهش داد. یک مهاجم میتواند از آسیبپذیریهای شناخته شده در هنگام تلاش برای دستیابی به دسترسی یا افزایش سطح دسترسی در میزبان ESXi سوء استفاده کند.
Impact
برای اعمال Patchها، سرورهای ESXi باید در حالت Maintenance Mode باشند. این بدان معناست که تمام ماشینهای مجازی باید در سرور ESXi جابجا یا خاموش شوند، بنابراین فرآیند وصله ممکن است نیاز به قطعیهای کوتاه داشته باشد.
Audit
بررسی کنید که Patchها به روز هستند. قطعه PowerCLI زیر لیستی از تمام وصلههای نصب شده را ارائه میدهد:
همچنین میتوانید بهروزرسانیها را از طریق VMware Lifecycle Manager واقع در منو، Lifecycle Manager مدیریت کنید.
Remediation
از فرآیندی برای به روز نگه داشتن Hostهای ESXi با Patchها مطابق با استانداردهای صنعت و دستورالعملهای داخلی استفاده کنید. از VMware Lifecycle Manager برای آزمایش و اعمال Patchها به محض در دسترس بودن استفاده کنید.