进行安全评估是了解您的基础架构中的任何漏洞的第一步。安全评估是安全审核的一部分,用于查看系统和实践,其中包括安全合规性。
安全评估通常指扫描您组织的物理基础架构(防火墙、网络、硬件等)来识别漏洞与缺陷。安全评估与安全审核不同。安全审核不仅包括审查物理基础架构,还涉及策略和标准操作过程等其他领域,包括安全合规性。审核后,您可以决定解决系统中问题的步骤。
准备进行安全审核时,您可能会询问以下常规问题:
- 我们的组织必须要遵守合规性法规吗?如果是,必须遵守哪些法规?
- 我们多长时间进行一次审核?
- 我们内部自我评估的时间间隔是什么?
- 我们是否有权访问先前的审核结果,我们是否已查看它们?
- 我们是否使用第三方审核公司帮助我们准备审核?如果是,他们对虚拟化的熟悉程度是什么?
- 我们是否针对系统和应用程序运行安全漏洞扫描?运行的时间和频率是什么?
- 我们的内部网络安全策略是什么?
- 您是否根据需求进行了审核日志记录配置?请参见vSphere 中的审核日志记录。
在入门时缺少具体指导或说明时,您可以使用快速入门服务,通过以下方式保护您的 vSphere 环境:
- 使用最新的软件和固件修补程序保持您的环境处于最新状态
- 为所有帐户维护良好的密码管理和安全机制
- 查看供应商批准的安全建议
- 参考 VMware 安全配置指南(请参见vSphere 安全控制参考)
- 使用策略框架中随时可用且经验证的指南,例如 NIST 和 ISO 等
- 按照法规遵从性框架的指导进行操作,如 PCI、DISA 和 FedRAMP 等的