遵循确保 vCenter Server 系统安全的所有最佳做法。下述额外措施将有助于提高 vCenter Server 的安全性。
配置精确时间协议或网络时间协议
确保所有系统使用相同的相对时间源。此时间源必须与商定的时间标准(如协调世界时,UTC)同步。系统同步对于证书验证至关重要。精确时间协议 (PTP) 和网络时间协议 (NTP) 有助于更轻松地在日志文件中跟踪入侵者。错误的时间设置难以检查和关联日志文件以检测攻击,使得审核不准确。请参见将 vCenter Server中的时间与 NTP 服务器同步。
限制 vCenter Server 网络访问
限制对与 vCenter Server 通信所需的组件进行访问。阻止不必要的系统访问可降低操作系统遭受攻击的可能性。
有关 VMware 产品(包括 vSphere 和 vSAN)中所有受支持的端口和协议的列表,请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口,创建自定义端口列表,以及打印或保存端口列表。
配置 Bastion 主机
为了帮助保护资产,请配置 bastion 主机(也称为跳转盒)以执行提升的管理任务。bastion 主机是一种专用计算机,可托管最低数量的管理应用程序。将移除所有其他不必要的服务。主机通常驻留在管理网络上。bastion 主机通过将登录限制为主要用户、要求防火墙规则登录以及使用审核工具添加监控来提高资产的保护。