为提高安全性,请避免将 vCenter Server 系统放置在管理网络之外的任何网络上,并确保 vSphere 管理流量位于受限网络上。通过限制网络连接,可以限制特定类型的攻击。

vCenter Server 仅需要访问管理网络。避免将 vCenter Server 系统放置在其他网络(如生产网络、存储网络或有权访问 Internet 的任何网络)上。vCenter Server 不需要访问 vMotion 在其中运行的网络。

vCenter Server 需要与以下系统建立网络连接。
  • 所有 ESXi 主机。
  • vCenter Server 数据库。
  • 其他 vCenter Server 系统(如果 vCenter Server 系统是用于复制标记、权限等的常见 vCenter Single Sign-On 域的一部分)。
  • 有权运行管理客户端的系统。例如,vSphere Client(您在其中使用 PowerCLI 的 Windows 系统)或任何其他基于 SDK 的客户端。
  • 基础架构服务,例如 DNS、Active Directory 和 PTP 或 NTP。
  • 运行对 vCenter Server 系统功能至关重要的组件的其他系统。

vCenter Server 上使用防火墙。包含基于 IP 的访问限制,这样只有必要的组件才能与 vCenter Server 系统通信。

评估 Linux 客户端与 CLI 和 SDK 的结合使用

默认情况下,客户端组件与 vCenter Server 系统或 ESXi 主机之间的通信由基于 SSL 的加密进行保护。这些组件的 Linux 版本不会执行证书验证。考虑限制 Linux 客户端的使用。

为了提高安全性,您可以将 vCenter Server 系统和 ESXi 主机上的 VMCA 签名证书替换为由企业或第三方 CA 签名的证书。但是,与 Linux 客户端的某些通信仍然容易受到中间机器的攻击。以下组件在 Linux 操作系统上运行时易受攻击。
  • ESXCLI 命令
  • vSphere SDK for Perl 脚本
  • 使用 vSphere Web Services SDK 编写的程序
如果强制执行适当的控制,则可放宽对使用 Linux 客户端的限制。
  • 仅限授权系统访问管理网络。
  • 使用防火墙确保只允许授权主机访问 vCenter Server
  • 使用堡垒主机(跳转盒系统)确保 Linux 客户端受“跳转”限制。

检查 vSphere Client 插件

vSphere Client扩展在登录用户的相同特权级别下运行。恶意扩展可以伪装成有用的插件并执行有害的操作,例如盗取凭据或更改系统配置。为增强安全性,请使用仅包含来自受信任源的授权扩展的安装。

vCenter Server 安装包含 vSphere Client 的可扩展性框架。可以使用此框架通过菜单选项或工具栏图标扩展客户端。扩展可提供对 vCenter Server 加载项组件或外部基于 Web 的功能的访问。

使用可扩展性框架存在引入意外功能的风险。例如,如果管理员在 vSphere Client的一个实例中安装插件,则该插件可以使用该管理员的特权级别运行任意命令。

为了保护 vSphere Client免受潜在的危害,请定期检查所有已安装的插件并确保每个插件均来自受信任的源。

前提条件

您必须具有访问vCenter Single Sign-On服务的特权。这些特权与 vCenter Server特权不同。

过程

  1. [email protected] 或拥有 vCenter Single Sign-On特权用户的身份登录到 vSphere Client
  2. 在主页上,选择系统管理,然后在解决方案下,选择客户端插件
  3. 检查客户端插件列表。