Sie entwerfen die Verwaltung von Zugriffssteuerungen, Zertifikaten und Konten für VMware Cloud Foundation gemäß den Anforderungen Ihrer Organisation.

Zugriffsverwaltung für VMware Cloud Foundation

Sie entwerfen die Zugriffsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.

Komponente

Zugriffsmethode

Zusätzliche Informationen

SDDC Manager

  • Benutzeroberfläche

  • API

  • SSH

SSH ist standardmäßig aktiv. root-Benutzerzugriff ist nicht zulässig.

NSX Local Manager

  • Benutzeroberfläche

  • API

  • SSH

SSH ist standardmäßig deaktiviert.

NSX Edges

  • API

  • SSH

SSH ist standardmäßig deaktiviert.

NSX Global Manager

  • Benutzeroberfläche

  • API

  • SSH

Die SSH-Einstellung wird während der Bereitstellung definiert.

vCenter Server

  • Benutzeroberfläche

  • API

  • SSH

  • VAMI

SSH ist standardmäßig aktiv.

ESXi

  • Direct Console User Interface (DCUI)

  • ESXi Shell

  • SSH

  • VMware Host Client

SSH und ESXi Shell sind standardmäßig deaktiviert.

VMware Aria Suite Lifecycle

  • Benutzeroberfläche

  • API

  • SSH

SSH ist standardmäßig aktiv.

Workspace ONE Access

  • Benutzeroberfläche

  • API

  • SSH

SSH ist standardmäßig aktiv.

Design der Kontoverwaltung für VMware Cloud Foundation

Sie entwerfen die Kontoverwaltung für VMware Cloud Foundation entsprechend den Branchenstandards und den Anforderungen Ihrer Organisation.

Methoden der Kennwortverwaltung

SDDC Manager verwaltet den Lebenszyklus von Kennwörtern für die Komponenten, die Teil der VMware Cloud Foundation-Instanz sind. Es werden mehrere Methoden zur Verwaltung des Kennwortlebenszyklus unterstützt.

Tabelle 1. Methoden der Kennwortverwaltung in VMware Cloud Foundation

Methode

Beschreibung

Rotieren

Aktualisieren Sie ein oder mehrere Konten mit einem automatisch generierten Kennwort.

Aktualisieren

Aktualisieren Sie das Kennwort für ein einzelnes Konto mit einem manuell eingegebenen Kennwort.

Standardisieren

Synchronisieren Sie ein einzelnes Konto mit einem Kennwort, das in der -Komponente manuell festgelegt wurde.

Zeitplan

Planen Sie die automatische Rotation für ein oder mehrere ausgewählte Konten.

Manuell

Aktualisieren Sie ein Kennwort manuell direkt in der Komponente.

Konto- und Kennwortverwaltung

VMware Cloud Foundation umfasst mehrere Arten von interaktiven und lokalen Konten sowie Dienstkonten. Jedes Konto hat unterschiedliche Attribute und kann auf folgende Weise verwaltet werden:

Weitere Informationen zur Kennwortkomplexität, Kontosperre oder zur Integration mit zusätzlichen Identitätsanbietern finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.

Tabelle 2. Konto- und Kennwortverwaltung in VMware Cloud Foundation

Komponente

Benutzerkonto

Kennwortmanagement

Zusätzliche Informationen

SDDC Manager

admin@local

  • Manuell über die SDDC Manager-API

  • Standardablauf: Nie

  • Lokales Konto der Appliance

  • API-Zugriff (Break-Glass-Konto)

VCF

  • Manuell mit Betriebssystem

  • Standardablauf: 365 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

Root

  • Manuell mit Betriebssystem

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

Sicherung

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 365 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

[email protected]

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • vCenter Singe Sign-On-Konto.

  • Anwendungs- und API-Zugriff.

  • Zur Durchführung der manuellen Kennwortrotation ist ein zusätzliches Admin-Konto für VMware Cloud Foundation erforderlich.

NSX Local Manager

admin

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • BS-Ebene, API und Anwendungszugriff

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

audit

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

  • Schreibgeschützter Zugriff auf Anwendungsebene

NSX Edges

admin

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • BS-Ebene, API und Anwendungszugriff

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

audit

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

  • Schreibgeschützter Zugriff auf Anwendungsebene

NSX Global Manager

admin

  • Manuell über die Benutzeroberfläche oder die API von NSX Global Manager

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • BS-Ebene, API und Anwendungszugriff

Root

  • Manuell über jede NSX Global Manager-Appliance

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

audit

  • Manuell über die Benutzeroberfläche oder die API von NSX Global Manager

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

  • Schreibgeschützter Zugriff auf Anwendungsebene

vCenter Server

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

  • VAMI-Zugriff

[email protected]

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 90 Tage

  • vCenter Singe Sign-On-Konto.

  • Anwendungs- und API-Zugriff.

  • Relevant für isolierte Arbeitslastdomäne

svc-sddc-manager-hostname-vcenter-server-hostname@vsphere.local
  • Systemverwaltet.

  • Standardmäßig alle 30 Tage automatisch rotiert

  • Standardablauf: Keine

Dienstkonto zwischen SDDC Manager und vCenter Server

svc-nsx-manager-hostname-vcenter-server-hostname@vsphere.local

  • Systemverwaltet.

  • Standardmäßig alle 30 Tage automatisch rotiert

  • Standardablauf: Keine

Dienstkonto zwischen NSX Manager und vCenter Server

svc-vrslcm-hostname-vcenter-server-hostname@vsphere.local

  • Systemverwaltet

  • Standardmäßig alle 30 Tage automatisch rotiert

  • Standardablauf: Keine

Dienstkonto zwischen VMware Aria Suite Lifecycle und vCenter Server

ESXi

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 99999 (nie)

Manuell

svc-vcf-esxi-hostname

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 99999 (nie)

Dienstkonto zwischen SDDC Manager und dem ESXi-Host

VMware Aria Suite Lifecycle

vcfadmin@local

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: Nie

API- und Anwendungszugriff

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 365 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

Workspace ONE Access

Root

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: 60 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

sshuser-

  • Verwaltet von VMware Aria Suite Lifecycle

  • Standardablauf: 60 Tage

  • Lokales Konto der Appliance

  • Zugriff auf Betriebssystemebene

Administrator (Port 8443)

Verwaltet von VMware Aria Suite Lifecycle

Systemadministrator

Administrator (Port 443)

  • Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche, des SDDC Manager-Plug-Ins in vCenter oder der API

  • Standardablauf: Nie

Standard-Anwendungsadministrator

configadmin

  • Sie müssen sowohl Workspace ONE Access als auch VMware Aria Suite Lifecycle verwenden, um den Zeitplan für die Kennwortrotation des configadmin-Benutzers zu verwalten.

  • Standardablauf: Nie

Anwendungskonfigurations-Administrator

Design-Empfehlungen für die Kontoverwaltung

In Ihrem Kontoverwaltungsdesign können Sie bestimmte Best Practices anwenden.

Tabelle 3. Designanforderungen für die Konto- und Kennwortverwaltung für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-ACTMGT-REQD-SEC-001

Aktivieren Sie die geplante Kennwortrotation in SDDC Manager für alle Konten, die die geplante Rotation unterstützen.

  • Erhöht den Sicherheitsstatus Ihres SDDC.

  • Vereinfacht die Kennwortverwaltung für Ihre SDDC-Verwaltungskomponenten.

Sie müssen neue Kennwörter mithilfe der API abrufen, wenn Sie Konten interaktiv verwenden müssen.

VCF-ACTMGT-REQD-SEC-003

Richten Sie eine betriebliche Praktik ein, um Kennwörter mithilfe von SDDC Manager für Komponenten zu rotieren, die die geplante Rotation in SDDC Manager nicht unterstützen.

Rotiert Kennwörter und standardisiert automatisch SDDC Manager-Datenbanken für diese Benutzerkonten.

Keine.

VCF-ACTMGT-REQD-SEC-003

Richten Sie eine betriebliche Praktik ein, um manuell Kennwörter für Komponenten zu rotieren, die nicht von SDDC Manager rotiert werden können.

Verwaltet Kennwortrichtlinien für Komponenten, die nicht von der SDDC Manager-Kennwortverwaltung verwaltet werden.

Keine.

Zertifikatsverwaltung für VMware Cloud Foundation

Sie entwerfen die Zertifikatsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.

Der Zugriff auf alle Schnittstellen der Verwaltungskomponente muss über eine SSL-Verbindung (Secure Socket Layer) erfolgen. Während der Bereitstellung wird jeder Komponente ein Zertifikat von einer signierenden Standard-Zertifizierungsstelle zugewiesen. Um sicheren Zugriff auf jede Komponente zu ermöglichen, ersetzen Sie das Standardzertifikat durch ein vertrauenswürdiges, von einer Unternehmenszertifizierungsstelle signiertes Zertifikat.

Tabelle 4. Zertifikatsverwaltung inVMware Cloud Foundation

Komponente

Signierende Standard-Zertifizierungsstelle

Lebenszyklus für von einer Unternehmenszertifizierungsstelle signierte Zertifikate

SDDC Manager

VMCA der Verwaltungsdomäne

  • SDDC Manager

  • SDDC Manager-Plug-In in vCenter

NSX Local Manager

VMCA der Verwaltungsdomäne

  • SDDC Manager

  • SDDC Manager-Plug-In in vCenter

NSX Edges

Nicht anwendbar

Nicht anwendbar

NSX Global Manager

Selbstsigniert

Manuell

vCenter Server

VMCA der lokalen Arbeitslastdomäne

  • SDDC Manager

  • SDDC Manager-Plug-In in vCenter

ESXi

VMCA der lokalen Arbeitslastdomäne

Manuell*

VMware Aria Suite Lifecycle

VMCA der Verwaltungsdomäne

  • SDDC Manager

  • SDDC Manager-Plug-In in vCenter

Hinweis:

* Um von einer Unternehmenszertifizierungsstelle signierte Zertifikate mit ESXi zu verwenden, muss die anfängliche Bereitstellung von VMware Cloud Foundation mithilfe der API erfolgen, die das vertrauenswürdige Root-Zertifikat bereitstellt.

Tabelle 5. Empfehlungen für das Design der Zertifikatsverwaltung für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-SDDC-RCMD-SEC-001

Ersetzen Sie das standardmäßige VMCA- oder signierte Zertifikat auf allen virtuellen Verwaltungs-Appliances durch ein Zertifikat, das von einer internen Zertifizierungsstelle signiert wurde.

Stellen Sie sicher, dass die Kommunikation mit allen Verwaltungskomponenten sicher ist.

Werden die Standardzertifikate durch vertrauenswürdige, von einer Zertifizierungsstelle signierte Zertifikate ersetzt, kann sich die Vorbereitungszeit verlängern, da Sie Zertifikatsanforderungen generieren und übermitteln müssen.

VCF-SDDC-RCMD-SEC-002

Verwenden Sie einen SHA-2-Algorithmus oder höher für signierte Zertifikate.

Der SHA-1-Algorithmus gilt als weniger sicher und ist veraltet.

Nicht alle Zertifizierungsstellen unterstützen SHA-2 oder höher.

VCF-SDDC-RCMD-SEC-003

Führen Sie die Verwaltung des Lebenszyklus von SSL-Zertifikaten für alle Verwaltungs-Appliances mithilfe von SDDC Manager oder des SDDC Manager-Plug-Ins in vCenter durch.

SDDC Manager unterstützt die automatisierte Lebenszyklusverwaltung von SSL-Zertifikaten und macht so eine Reihe manueller Schritte überflüssig.

Die Zertifikatsverwaltung für NSX Global Manager-Instanzen muss manuell erfolgen.