A autenticação por meio de vCenter Single Sign-On e a autorização por meio do modelo de permissões vCenter Server protegem seu sistema vCenter Server e os serviços associados. Você pode modificar o comportamento padrão e tomar medidas para limitar o acesso ao seu ambiente.
Ao proteger seu ambiente vSphere, considere que todos os serviços associados às instâncias vCenter Server devem ser protegidos. Em alguns ambientes, você pode proteger várias instâncias vCenter Server.
vCenter Server Usa comunicação criptografada
Por padrão ("out of the box"), toda a comunicação de dados entre o sistema vCenter Server e os outros componentes do vSphere é criptografada. Em alguns casos, dependendo de como você configura seu ambiente, parte do tráfego pode não ser criptografado. Por exemplo, você pode configurar o SMTP não criptografado para alertas por e-mail e o SNMP não criptografado para monitoramento. O tráfego DNS também não é criptografado. vCenter Server escuta na porta 80 (TCP) e na porta 443 (TCP). A porta 443 (TCP) é a porta HTTPS (HTTP seguro) padrão do setor e usa a criptografia TLS 1.2 para proteção. A porta 80 (TCP) é a porta HTTP padrão do setor e não usa criptografia. A finalidade da porta 80 é redirecionar solicitações da porta 80 para a porta 443, onde elas são seguras.
Proteja os sistemas vCenter Server
A primeira etapa para proteger seu ambiente vCenter Server é proteger cada máquina na qual o vCenter Server ou um serviço associado é executado. Considerações semelhantes se aplicam a uma máquina física ou a uma máquina virtual. Sempre instale os patches de segurança mais recentes para o seu sistema operacional e siga as práticas recomendadas padrão do setor para proteger a máquina host.
Saiba mais sobre o modelo de certificado vSphere
Por padrão, o VMware Certificate Authority (VMCA) provisiona cada host ESXi e cada máquina no ambiente com um certificado assinado pelo VMCA. Se a política da sua empresa exigir, você poderá alterar o comportamento padrão. Consulte a documentação do vSphere Autenticação para obter detalhes.
Para obter proteção adicional, remova explicitamente certificados expirados ou revogados e instalações com falha.
Configurar vCenter Single Sign-On
vCenter Server e os serviços associados são protegidos pela estrutura de autenticação vCenter Single Sign-On. Ao instalar o software pela primeira vez, você especifica uma senha para o administrador do domínio vCenter Single Sign-On, [email protected] por padrão. Somente esse domínio está disponível inicialmente como uma fonte de identidade. Você pode adicionar um provedor de identidade externo, como Serviços de Federação da Microsoft Active Directory (AD FS), para autenticação federada. Você pode adicionar outras origens de identidade, Active Directory ou LDAP, e definir uma origem de identidade padrão. Os usuários que podem se autenticar em uma dessas fontes de identidade podem exibir objetos e executar tarefas se estiverem autorizados a fazer isso. Consulte a documentação do vSphere Autenticação para obter detalhes.
Atribuir funções de vCenter Server a usuários ou grupos nomeados
Para obter um melhor log, associe cada permissão concedida a um objeto a um usuário ou grupo nomeado e a uma função predefinida ou personalizada. O modelo de permissões vSphere permite grande flexibilidade por meio de várias maneiras de autorizar usuários ou grupos. Consulte Noções básicas sobre autorização em vSphere e vCenter Server Privilégios necessários para tarefas comuns.
Restrinja os privilégios de administrador e o uso da função de administrador. Se possível, não use o usuário Administrador anônimo.
Configurar o Precision Time Protocol ou o Network Time Protocol
Configure o Precision Time Protocol (PTP) ou o Network Time Protocol (NTP) para cada nó em seu ambiente. A infraestrutura de certificado vSphere requer um carimbo de data/hora preciso e não funcionará corretamente se os nós estiverem fora de sincronia.
Consulte Sincronizando Relógios na Rede vSphere.