作为贵公司的虚拟基础架构管理员,您必须确保您的 vSphere 6.0 对象遵守vSphere 强化指南》中的合规性规则。您可以使用 vRealize Operations Manager 中的合规性警示监控违反合规行标准的对象。当您的 vCenter Server 实例、主机、虚拟机、分布式端口组和分布式交换机上触发了一个合规性警示时,您应调查合规性违反。您必须解决违反行为,以便冲突的对象仍然符合行业安全标准。

开始之前

验证 vRealize Operations Manager 的最新版本是否已安装并且正在运行。

关于此任务

您可以管理和监控您的生产、测试和开发环境的安全性。您的对象包含多个 vCenter Server 实例,每个实例中包含主机、虚拟机、分布式端口组和分布式交换机。

您的 CIO 要求您在您的生产和测试环境中的所有 vCenter Server 实例和主机上运行 SSH。您可以监控所有主机以确保它们符合 SSH 要求。您可以每周生成合规性报告来向您的经理和合规性团队证明,您的对象符合实施的安全标准。

要对您的 vSphere 6.0 对象强制实施合规性和进行报告,请启用vSphere 强化指南》中的合规性规则。然后,您可以启用合适的警示,并对您的虚拟机应用风险配置文件。在 vRealize Operations Manager 从您的对象收集合规性数据之后,您可以解决出现的任何规则违规行为,并创建合规性结果报告供您的经理和合规性团队查看。

vRealize Operations Manager 提供的警示定义基于对象类型而不是强化指南的特定版本。要使用这些警示,您不再需要创建一个自定义组并将策略应用于该组。

某些警示定义在 vSphere 6.0 和 vSphere 5.5 对象之间是通用的。vRealize Operations Manager 将针对 6.0 对象检查 vSphere 6.0 症状,针对 5.5 对象检查 5.5 症状,并针对两种版本的对象组合检查 6.0 和 5.5 症状。

过程

  1. vRealize Operations Manager 中,启用合规性规则。
    1. 单击管理,然后单击解决方案
    2. 单击 VMware vSphere 解决方案,然后单击配置
    3. 在“管理解决方案”对话框中,单击定义监控目标
    4. 是否启用《vSphere 强化指南》警示下,单击,然后单击保存
    5. vRealize Operations Manager 报告默认策略配置为收集您的对象的合规性数据时,单击确定,然后单击关闭
  2. 在默认策略中启用合规性警示定义。
    1. 单击策略 > 策略库
    2. 单击默认策略,然后单击编辑选定的策略
    3. 在左侧的“编辑监控策略”工作区中,单击警示/症状定义
    4. 在“警示定义”窗格的筛选器文本框中,输入强化

      将显示多个警示定义,您可以使用它们来对对象强制实施合规性。每个警示都显示症状数量和警示适用的对象类型。您可以查看风险配置文件 1、2 和 3 的警示定义,您可以使用它们在您的虚拟机上确保高、中或低安全性。

    5. 单击名为 vCenter 违反了《vSphere 强化指南》的警示。
    6. 在“状态”列中,单击向下箭头,然后选择本地
    7. 要在您的虚拟机、分布式端口组和分布式交换机上启用合规性警示,请启用其他警示定义,然后单击保存
  3. 在 ESXi 主机的警示定义中查看症状集。
    1. 单击内容 > 警示定义
    2. 在筛选器文本框中,输入强化
    3. 单击名为 vCenter 违反了《vSphere 强化指南》的警示。
    4. 在下面的窗格中,找到警示影响、严重程度和症状集。
    5. 滚动浏览症状集并检查主机中可能会触发警示的症状。
    6. 在症状集下方,如果此警示在您的主机上触发,请检查建议以解决问题。
    7. 单击VMware vSphere 强化指南》的链接。

      网页将打开并显示 http://www.vmware.com/security/hardening-guides.html 上的VMware vSphere 安全强化指南》的列表。

  4. 重点关注您的生产 vCenter Server 实例中主机的警示。
    1. 在导航窗格中,单击主页,然后单击建议选项卡。

      合规性违规

    2. 在标题为“排名靠前的后代风险警示”窗格中,您可以看到触发了下列警示。

      触发的合规性警示

      如何解决警示

      虚拟机违反了《vSphere 强化指南》中的风险配置文件 1

      要解决您的 12 个虚拟机的警示,请单击vSphere 强化指南》的链接。

      ESXi 主机违反了《vSphere 强化指南》

      要解决您的 6 个主机的警示,请单击vSphere 强化指南》的链接。

    3. 单击名为 ESXi 主机违反了《vSphere 强化指南》的合规性警示中的链接。
    4. 检查名为“风险问题”的对话框,它显示违反了vSphere 强化指南》中的规则的主机。

      合规性警示详细信息风险问题

    5. 对于所列的第一个主机,单击查看详细信息,并检查“摘要”选项卡上的违规行为。
    6. 检查主机上的多个合规性违规行为,包括 SSH 违规行为。通过查看 SSH 规则违规行为的说明,您可以看到规则适用于 vSphere 6.0 和 5.5 对象。

      合规性警示详细信息摘要

  5. 要确定 SSH 服务的症状何时触发了合规性警示,请单击冲突的症状旁边的向下箭头。然后,使用vSphere 强化指南》解决警示。
  6. 运行报告供您的合规性团队查看。
    1. 在左侧的导航窗格中,单击您的主机对象。
    2. 单击报告选项卡。
    3. 在筛选器文本框中,输入强化

      此时将显示名为 VMware vSphere 强化指南 - 非合规报告的报告。

    4. 在“报告模板”选项卡上,单击运行模板,然后等待 vRealize Operations Manager 生成报告。
    5. 单击已生成的报告

      此时将显示报告,并提供 PDF 和 CSV 版本供您下载。

    6. 在“下载”列中,单击 PDF 图标并检查报告中的内容。

      将显示主机的非合规性报告,包括您运行报告的日期和时间。它还将标识为运行报告的用户。报告会显示已对对象及其后代运行的非合规性规则。在报告中,您可以查看警示的严重程度和状态、对象名称以及对其触发警示的类型。

    7. 在“下载”列中,单击 CSV 图标并检查电子表格的内容。

      电子表格提供了一种轻松查看结果的摘要的方式,并允许您将数据导入到另一个应用程序中。

结果

您已确保根据VMware vSphere 强化指南》对您的 vCenter Server 实例中的对象强制实施合规性规则。

下一步做什么

要检查您的其他对象的合规性警示定义,请单击内容 > 警示定义