VMware 制定了《安全强化指南》,提供有关以安全方式部署和操作 VMware 产品的说明性指导。对于 vSphere,本指南称为《vSphere 安全性配置指南》(以前称为《强化指南》)。
《vSphere 安全性配置指南》包含 vSphere 的安全性最佳做法。《vSphere 安全性配置指南》并未直接映射到监管准则或框架,因此不是合规性指南。此外,《vSphere 安全性配置指南》不能用作安全性检查表。安全性始终有利也有弊。实施安全控制措施时,可能会对可用性、性能或其他操作任务产生负面影响。无论建议来自 VMware 还是其他行业来源,在进行安全性更改之前,都要仔细考虑您的工作负载、使用模式、组织结构等。如果您的组织需遵守法规要求,请参阅vSphere 环境中的安全与合规性或访问 https://core.vmware.com/compliance。该站点提供合规性工具包和产品审核指南,可帮助 vSphere 管理员和监管审核员根据监管框架保护和验证虚拟基础架构,如 NIST 800-53v4、NIST 800-171、PCI DSS、HIPAA、CJIS、ISO 27001 等。
- 虚拟机中运行的软件,例如客户机操作系统和应用程序
- 流经虚拟机网络的流量
- 加载项产品的安全性
《vSphere 安全性配置指南》不应被用作“合规性”工具。《vSphere 安全性配置指南》可以初步帮您实现合规性,但是如果单独使用,则无法确保您部署的合规性。有关合规性的详细信息,请参见vSphere 环境中的安全与合规性。
阅读《vSphere 安全性配置指南》
《vSphere 安全性配置指南》是包含安全相关准则的电子表格,它可以帮助您修改 vSphere 安全配置。这些准则基于受影响的组件分为多个选项卡,包含以下部分或全部列。
| 列标题 | 描述 |
|---|---|
| 准则 ID |
用于参照安全配置或强化建议的唯一 ID(两个部分)。第一部分指示组件,定义如下:
|
| 描述 |
特定建议的简短说明。 |
| 讨论 |
特定建议背后漏洞的描述。 |
| 配置参数 |
如果有,提供适用的配置参数或文件名。 |
| 所需的值 |
所需的状态或建议的值。可能的值包括:
|
| 默认值 |
由 vSphere 设置的默认值。 |
| 默认值是否为所需的值? |
声明安全设置是否为默认产品配置。 |
| 需要执行的操作 |
要对特定建议采取操作的类型。操作包括:
|
| vSphere Client 中的设置位置 |
通过使用 vSphere Client 检查值的步骤。 |
| 更改默认设置对功能的负面影响? |
使用安全建议造成的潜在负面影响(如果有)的描述。 |
| PowerCLI 命令评估 |
通过使用 PowerCLI 检查值的步骤。 |
| PowerCLI 命令修复示例 |
通过使用 PowerCLI 设置(修复)值的步骤。 |
| vCLI 命令修复 |
使用 vCLI 命令设置(修复)值的步骤。 |
| PowerCLI 命令评估 |
使用 PowerCLI 命令检查值的步骤。 |
| PowerCLI 命令修复 |
使用 PowerCLI 命令设置(修复)值的步骤。 |
| 能够使用主机配置文件进行设置 |
是否可以通过使用主机配置文件(仅适用于 ESXi 准则)来实现此设置。 |
| 强化 |
如果为 TRUE,则准则只有一个要合规的实现。如果为 FALSE,则可通过多个配置设置满足准则实现。实际设置通常特定于站点。 |
| 特定于站点的设置 |
如果为 TRUE,则要符合准则的设置取决于特定于该 vSphere 部署的规则或标准。 |
| 审核设置 |
如果为 TRUE,则所列设置的值可能需要进行修改以满足特定于站点的规则。 |
请勿盲目地将《vSphere 安全配置指南》中的准则应用到您的环境。请花时间评估每个设置,并针对是否应用做出明智的决定。至少,您可以使用评估列中的说明来验证您部署的安全性。
《vSphere 安全配置指南》可辅助您在部署中开始实现合规性。使用美国国防信息系统局 (DISA) 和其他合规性准则时,《vSphere 安全配置指南》能够让您根据各个准则将 vSphere 安全控制映射到合规性偏好。
