遵循确保 vCenter Server 系统安全的所有最佳做法,进而确保 vCenter Server Appliance 安全。下述额外步骤将有助于提高设备的安全性。
- 配置 NTP
- 确保所有系统使用相同的相对时间源。此时间源必须与商定的时间标准(如协调世界时,UTC)同步。系统同步对于证书验证至关重要。使用 NTP,还可以更轻松地跟踪日志文件中的入侵者。错误的时间设置难以检查和关联日志文件以检测攻击,使得审核不准确。请参见 将 vCenter Server Appliance 中的时间与 NTP 服务器同步。
- 限制 vCenter Server Appliance 网络访问
-
限制对与
vCenter Server Appliance 通信所需的组件进行访问。阻止不必要的系统访问可降低操作系统遭受攻击的可能性。
有关 VMware 产品(包括 vSphere 和 vSAN)中所有受支持的端口和协议的列表,请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口,创建自定义端口列表,以及打印或保存端口列表。
- 配置 Bastion 主机
- 为了帮助保护资产,请配置 bastion 主机(也称为跳转盒)以执行提升的管理任务。bastion 主机是一种专用计算机,可托管最低数量的管理应用程序。将移除所有其他不必要的服务。主机通常驻留在管理网络上。bastion 主机通过将登录限制为主要用户、要求防火墙规则登录以及使用审核工具添加监控来提高资产的保护。