通过 vCenter Single Sign-On 进行身份验证和通过 vCenter Server 权限模型进行授权可保护 vCenter Server 系统及关联服务。您可以修改默认行为,且可以采取措施来限制对环境的访问。
在保护 vSphere 环境时,请考虑必须保护与 vCenter Server 实例关联的所有服务。在某些环境中,您可能保护多个 vCenter Server 实例。
- vCenter 和加密通信
- 默认情况下(“即时可用”), vCenter Server 与其他 vSphere 组件之间的所有数据通信均已加密。在某些情况下,根据环境的配置方式,一些流量可能未加密。例如,可以为电子邮件警示配置未加密的 SMTP,为监控配置未加密的 SNMP。DNS 流量也未加密。 vCenter Server 侦听端口 80 (TCP) 和端口 443 (TCP)。端口 443 (TCP) 是行业标准的 HTTPS(安全 HTTP)端口,并使用 TLS 1.2 加密进行保护。端口 80 (TCP) 是行业标准的 HTTP 端口,不使用加密。端口 80 的用途是将请求从端口 80 重定向到端口 443,以确保这些请求的安全。
- 强化对所有 vCenter 主机的保护
- 保护 vCenter 环境的第一步是强化对运行 vCenter Server 或关联服务的每台计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。
- 了解 vCenter 证书模型
- 默认情况下,VMware Certificate Authority 将为环境中的每个 ESXi 主机以及每台计算机置备 VMCA 签名的证书。如果您的公司策略需要,可以更改默认行为。有关详细信息,请参见 《vSphere 身份验证》文档。
- 配置 vCenter Single Sign-On
- vCenter Single Sign-On 身份验证框架可保护 vCenter Server 和关联服务。首次安装软件时,为 vCenter Single Sign-On 域的管理员(默认为 [email protected])指定密码。仅该域最初可用作标识源。可以添加外部身份提供程序进行联合身份验证,如 Microsoft Active Directory 联合身份验证服务 (AD FS)。您可以添加其他标识源(Active Directory 或 LDAP),并设置默认标识源。能够向其中任一标识源进行身份验证的用户可以查看对象并执行任务(如果拥有相关权限)。有关详细信息,请参见 《vSphere 身份验证》文档。
- 向指定用户或组分配角色
- 为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预定义角色或自定义角色相关联。vSphere 权限模型提供了出色的灵活性,允许通过多种方式授权用户或组。请参见 了解 vSphere 中的授权和 常见任务的所需特权。
- 设置 PTP 或 NTP
- 为环境中的每个节点设置 PTP 或 NTP。证书基础架构需要准确的时间戳,如果节点不同步,则证书基础架构将无法正常运行。
