Als Best Practice für die Sicherheit müssen Sie die VMware Aria Operations -Konsole sichern und Secure Shell (SSH), Administratorkonten und den Konsolenzugriff verwalten. Stellen Sie sicher, dass Ihr System mit sicheren Übertragungskanälen bereitgestellt wird.
Weitere Themen zum Lesen
Aktivieren von FIPS 140-2 Mit der FIPS 140-2-Akkreditierung wird sichergestellt, dass eine Verschlüsselungslösung bestimmte Anforderungen erfüllt, die das kryptografische Modul vor Angriffen, Änderungen oder anderen Manipulationen schützen soll. Wenn der FIPS 140-2-Modus aktiviert ist, werden bei jeder sicheren Kommunikation von oder zu VMware Aria Operations 8.4 und höher kryptografische Algorithmen oder Protokolle verwendet, die gemäß FIPS (Federal Information Processing Standards) zulässig sind. Mit dem FIPS-Modus werden die Cipher-Suites aktiviert, die mit FIPS 140-2 kompatibel sind. Im Lieferumfang von VMware Aria Operations 8.4 und höher enthaltene sicherheitsbezogene Bibliotheken sind FIPS 140-2-zertifiziert. Der FIPS 140-2-Modus ist standardmäßig jedoch nicht aktiviert. Der FIPS 140-2-Modus kann aktiviert werden, wenn aufgrund von Sicherheitsanforderungen FIPS-zertifizierte kryptografische Algorithmen mit aktiviertem FIPS-Modus verwendet werden müssen.
Aktivieren der Firewall-Härtung Durch die Aktivierung der Firewall-Härtung wird der Netzwerkzugriff auf interne Dienste in VMware Aria Operations beschränkt.
Sichern der VMware Aria Operations-Konsole Nachdem Sie VMware Aria Operations installiert haben, müssen Sie sich zum ersten Mal anmelden und die Konsole jedes Knotens im Cluster sichern.
Ändern des Root-Kennworts Sie können das Root-Kennwort jederzeit für alle VMware Aria Operations -Primär- oder Datenknoten über die Konsole ändern.
Verwalten von Secure Shell, Administratorkonten und Konsolenzugriff Für Remote-Verbindungen umfassen alle abgehärteten Appliances das Secure Shell-Protokoll (SSH). SSH ist auf der abgehärteten Appliance standardmäßig deaktiviert.
Boot Loader-Authentifizierung festlegen Um einen angemessenen Grad an Sicherheit bereitzustellen, konfigurieren Sie die Boot Loader-Authentifizierung auf Ihren virtuellen VMware-Appliances. Wenn der Boot Loader des Systems keine Authentifizierung erfordert, könnten Benutzer mit Konsolenzugriff auf das System die Boot-Konfiguration des Systems ändern oder das System im Einzelnutzer- oder Wartungsmodus starten, was zu Denial-of-Service oder nicht autorisiertem Systemzugriff führen kann.
Minimal erforderliche Benutzerkonten überwachen Sie müssen vorhandene Benutzerkonten überwachen und scherstellen, dass alle unnötigen Benutzerkonten entfernt werden.
Minimal erforderliche Gruppen überwachen Sie müssen vorhandene Gruppen und Mitglieder überwachen, um sicherzustellen, dass alle unnötigen Gruppen oder Gruppenzugriffe entfernt werden.
Zurücksetzen des VMware Aria Operations-Administratorkennworts Als empfehlenswerte Sicherheitspraxis können Sie das VMware Aria Operations -Administratorkennwort für vApp-Installationen zurücksetzen.
Konfigurieren von NTP für VMware Aria Operations Deaktivieren Sie für kritisches Time-Sourcing die Host-Zeitsynchronisierung und verwenden Sie das Network Time Protocol (NTP) für VMware Appliances. Sie müssen einen vertrauenswürdigen NTP-Remoteserver für die Zeitsynchronisierung konfigurieren. Der NTP-Server muss ein autoritativer Zeitserver sein, oder er muss mindestens mit einem autoritativen Zeitserver synchronisiert sein.
Deaktivieren der TCP Zeitstempel-Response auf Linux Die TCP Zeitstempel-Response wird verwendet, um die Betriebszeit des Remote-Host zu schätzen und weitere Angriffe zu unterstützen. Darüber hinaus können basierend auf dem Verhalten der TCP Zeitstempel bei einigen Betriebssystemen Fingerprints erstellt werden.
TLS für Daten während der Übertragung Als Best Practice für die Sicherheit müssen Sie sicherstellen, dass das System mit sicheren Übertragungskanälen bereitgestellt wird.
Aktivieren von TLS auf Localhost-Verbindungen Standardmäßig wird TLS bei Localhost-Verbindungen zur PostgreSQL-Datenbank nicht verwendet. Zum Aktivieren von TLS müssen Sie entweder ein selbstsigniertes Zertifikat mit OpenSSL generieren oder Ihr eigenes Zertifikat bereitstellen.
Anwendungsressourcen, die geschützt werden müssen Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.
Apache-Konfiguration
Deaktivieren der Konfigurationsmodi Wenn Sie VMware Aria Operations installieren, konfigurieren oder warten, können Sie die Konfiguration oder Einstellungen als Best Practice so ändern, dass Fehlerbehebung und Debugging Ihrer Installation aktiviert werden.
Verwalten unwichtiger Softwarekomponenten Um Sicherheitsrisiken zu minimieren, entfernen Sie unwichtige Software von Ihren VMware Aria Operations -Host-Maschinen oder konfigurieren Sie diese.
Zusätzliche Aktivitäten für eine sichere Konfiguration Blockieren Sie nicht benötigte Ports auf Ihrem Hostserver.