Verwenden Sie diese Liste mit Anforderungen und Empfehlungen als Referenz in Bezug auf die Verwaltung von Zugriffssteuerungen, Zertifikaten und Konten in einer VMware Cloud Foundation-Umgebung.

Alle Details zum Design finden Sie unter Design der Informationssicherheit für VMware Cloud Foundation.

Tabelle 1. Designanforderungen für die Konto- und Kennwortverwaltung für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-ACTMGT-REQD-SEC-001

Aktivieren Sie die geplante Kennwortrotation in SDDC Manager für alle Konten, die die geplante Rotation unterstützen.

  • Erhöht den Sicherheitsstatus Ihres SDDC.

  • Vereinfacht die Kennwortverwaltung für Ihre SDDC-Verwaltungskomponenten.

Sie müssen neue Kennwörter mithilfe der API abrufen, wenn Sie Konten interaktiv verwenden müssen.

VCF-ACTMGT-REQD-SEC-003

Richten Sie eine betriebliche Praktik ein, um Kennwörter mithilfe von SDDC Manager für Komponenten zu rotieren, die die geplante Rotation in SDDC Manager nicht unterstützen.

Rotiert Kennwörter und standardisiert automatisch SDDC Manager-Datenbanken für diese Benutzerkonten.

Keine.

VCF-ACTMGT-REQD-SEC-003

Richten Sie eine betriebliche Praktik ein, um manuell Kennwörter für Komponenten zu rotieren, die nicht von SDDC Manager rotiert werden können.

Verwaltet Kennwortrichtlinien für Komponenten, die nicht von der SDDC Manager-Kennwortverwaltung verwaltet werden.

Keine.

Tabelle 2. Empfehlungen für das Design der Zertifikatsverwaltung für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-SDDC-RCMD-SEC-001

Ersetzen Sie das standardmäßige VMCA- oder signierte Zertifikat auf allen virtuellen Verwaltungs-Appliances durch ein Zertifikat, das von einer internen Zertifizierungsstelle signiert wurde.

Stellen Sie sicher, dass die Kommunikation mit allen Verwaltungskomponenten sicher ist.

Werden die Standardzertifikate durch vertrauenswürdige, von einer Zertifizierungsstelle signierte Zertifikate ersetzt, kann sich die Vorbereitungszeit verlängern, da Sie Zertifikatsanforderungen generieren und übermitteln müssen.

VCF-SDDC-RCMD-SEC-002

Verwenden Sie einen SHA-2-Algorithmus oder höher für signierte Zertifikate.

Der SHA-1-Algorithmus gilt als weniger sicher und ist veraltet.

Nicht alle Zertifizierungsstellen unterstützen SHA-2 oder höher.

VCF-SDDC-RCMD-SEC-003

Führen Sie die Verwaltung des Lebenszyklus von SSL-Zertifikaten für alle Verwaltungs-Appliances mithilfe von SDDC Manager oder des SDDC Manager-Plug-Ins in vCenter durch.

SDDC Manager unterstützt die automatisierte Lebenszyklusverwaltung von SSL-Zertifikaten und macht so eine Reihe manueller Schritte überflüssig.

Die Zertifikatsverwaltung für NSX Global Manager-Instanzen muss manuell erfolgen.