Para maior segurança, evite colocar o sistema vCenter Server em qualquer rede que não seja uma rede de gerenciamento e certifique-se de que o tráfego de gerenciamento do vSphere esteja em uma rede restrita. Ao limitar a conectividade de rede, você limita certos tipos de ataque.

vCenter Server requer acesso apenas a uma rede de gerenciamento. Evite colocar o sistema vCenter Server em outras redes, como sua rede de produção ou rede de armazenamento, ou em qualquer rede com acesso à Internet. vCenter Server não precisa de acesso à rede em que o vMotion opera.

vCenter Server requer conectividade de rede com os seguintes sistemas.
  • Todos os hosts ESXi.
  • O banco de dados vCenter Server.
  • Outros sistemas vCenter Server (se os sistemas vCenter Server fizerem parte de um domínio vCenter Single Sign-On comum para fins de replicação de tags, permissões e assim por diante).
  • Sistemas autorizados a executar clientes de gerenciamento. Por exemplo, o vSphere Client, um sistema Windows em que você usa o PowerCLI ou qualquer outro cliente baseado em SDK.
  • Serviços de infraestrutura, como DNS, Active Directory e PTP ou NTP.
  • Outros sistemas que executam componentes essenciais para a funcionalidade do sistema vCenter Server.

Use o firewall no vCenter Server. Inclua restrições de acesso baseadas em IP para que apenas os componentes necessários possam se comunicar com o sistema vCenter Server.

Avaliar o uso de clientes Linux com CLIs e SDKs

As comunicações entre os componentes do cliente e um sistema vCenter Server ou hosts ESXi são protegidas por criptografia baseada em SSL por padrão. As versões Linux desses componentes não realizam validação de certificado. Considere restringir o uso desses clientes.

Para melhorar a segurança, você pode substituir os certificados assinados por VMCA no sistema vCenter Server e nos hosts ESXi por certificados assinados por uma autoridade de certificação corporativa ou de terceiros. No entanto, algumas comunicações com clientes Linux ainda podem estar vulneráveis a ataques machine-in-the-middle. Os seguintes componentes ficam vulneráveis quando executados no sistema operacional Linux.
  • Comandos ESXCLI
  • vSphere SDK for Perl scripts
  • Programas que são escritos usando o vSphere Web Services SDK
Você pode relaxar a restrição contra o uso de clientes Linux se aplicar os controles adequados.
  • Restrinja o acesso à rede de gerenciamento somente a sistemas autorizados.
  • Use firewalls para garantir que somente hosts autorizados tenham permissão para acessar vCenter Server.
  • Use hosts bastiões (sistemas jumpbox) para garantir que os clientes Linux estejam atrás do "salto".

Examinar vSphere Client plug-ins

vSphere Client extensões são executadas no mesmo nível de privilégio que o usuário que está conectado. Uma extensão mal-intencionada pode se passar por um plug-in útil e realizar operações prejudiciais, como roubar credenciais ou alterar a configuração do sistema. Para aumentar a segurança, use uma instalação que inclua apenas extensões autorizadas de fontes confiáveis.

Uma instalação do vCenter Server inclui uma estrutura de extensibilidade para o vSphere Client. Você pode usar essa estrutura para estender o cliente com seleções de menu ou ícones da barra de ferramentas. As extensões podem fornecer acesso a vCenter Server componentes complementares ou funcionalidade externa baseada em Web.

O uso da estrutura de extensibilidade resulta em um risco de introdução de recursos não intencionais. Por exemplo, se um administrador instalar um plug-in em uma instância do vSphere Client, o plug-in poderá executar comandos arbitrários com o nível de privilégio desse administrador.

Para se proteger contra um possível comprometimento do seu vSphere Client, examine todos os plug-ins instalados periodicamente e certifique-se de que cada plug-in seja proveniente de uma fonte confiável.

Pré-requisitos

Você deve ter privilégios para acessar o serviço vCenter Single Sign-On. Esses privilégios são diferentes dos privilégios de vCenter Server.

Procedimento

  1. Faça login no vSphere Client como [email protected] ou um usuário com privilégios de vCenter Single Sign-On.
  2. Na página inicial, selecione Administração (Administration) e, em seguida, selecione Plug-ins de cliente (Client Plug-Ins) em Soluções (Solutions).
  3. Examine a lista de plug-ins do cliente.