通过 vCenter Single Sign-On 进行身份验证并通过 vCenter Server 权限模型进行授权,可保护 vCenter Server 系统和关联的服务。您可以修改默认行为,且可以采取措施来限制对环境的访问。
在保护 vSphere 环境时,请考虑必须保护与 vCenter Server 实例关联的所有服务。在某些环境中,您可能保护多个 vCenter Server 实例。
vCenter Server 使用加密通信
默认情况下(“开箱即用”时),vCenter Server 系统与其他 vSphere 组件之间的所有数据通信均会进行加密。在某些情况下,根据环境的配置方式,一些流量可能未加密。例如,可以为电子邮件警示配置未加密的 SMTP,为监控配置未加密的 SNMP。DNS 流量也未加密。vCenter Server 侦听端口 80 (TCP) 和端口 443 (TCP)。端口 443 (TCP) 是行业标准的 HTTPS(安全 HTTP)端口,并使用 TLS 加密进行保护。请参见vSphere TLS 配置。端口 80 (TCP) 是行业标准的 HTTP 端口,不使用加密。端口 80 的用途是将请求从端口 80 重定向到端口 443,以确保这些请求的安全。
强化 vCenter Server 系统
保护 vCenter Server 环境的第一步是强化对运行 vCenter Server 或关联服务的每台计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。
了解 vSphere 证书模型
默认情况下,VMware Certificate Authority (VMCA) 将为环境中的每个 ESXi 主机以及每台计算机置备 VMCA 签名的证书。如果您的公司策略需要,可以更改默认行为。有关详细信息,请参见《vSphere 身份验证》文档。
如需其他保护,请明确移除过期或撤销的证书以及失败的安装。
配置 vCenter Single Sign-On
vCenter Single Sign-On 身份验证框架可保护 vCenter Server 和关联服务。首次安装软件时,为 vCenter Single Sign-On 域的管理员(默认为 [email protected])指定密码。仅该域最初可用作标识源。可以添加外部身份提供程序进行联合身份验证,如 Microsoft Active Directory 联合身份验证服务 (AD FS)。您可以添加其他标识源(Active Directory 或 LDAP),并设置默认标识源。能够向其中任一标识源进行身份验证的用户可以查看对象并执行任务(如果拥有相关权限)。有关详细信息,请参见《vSphere 身份验证》文档。
向指定用户或组分配 vCenter Server 角色
为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预定义角色或自定义角色相关联。vSphere 权限模型提供了出色的灵活性,允许通过多种方式授权用户或组。请参见了解 vSphere 中的授权和常见任务的所需 vCenter Server 特权。
限制管理员特权及管理员角色的使用。如果可能,请不要使用匿名管理员用户。
设置精确时间协议或网络时间协议
为环境中的每个节点设置精度时间协议 (PTP) 或网络时间协议 (NTP)。vSphere 证书基础架构需要准确的时间戳,如果节点不同步,则无法正常工作。