Design der Informationssicherheit für VMware Cloud Foundation

Sie entwerfen die Verwaltung von Zugriffssteuerungen, Zertifikaten und Konten für VMware Cloud Foundation gemäß den Anforderungen Ihrer Organisation.

Zugriffsverwaltung für VMware Cloud Foundation

Sie entwerfen die Zugriffsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.


Komponente	Zugriffsmethode	Zusätzliche Informationen
SDDC Manager	Benutzeroberfläche API SSH	SSH ist standardmäßig aktiv. root-Benutzerzugriff ist nicht zulässig.
NSX Local Manager	Benutzeroberfläche API SSH	SSH ist standardmäßig deaktiviert.
NSX Edges	API SSH	SSH ist standardmäßig deaktiviert.
NSX Global Manager	Benutzeroberfläche API SSH	Die SSH-Einstellung wird während der Bereitstellung definiert.
vCenter Server	Benutzeroberfläche API SSH VAMI	SSH ist standardmäßig aktiv.
ESXi	Direct Console User Interface (DCUI) ESXi Shell SSH VMware Host Client	SSH und ESXi Shell sind standardmäßig deaktiviert.
VMware Aria Suite Lifecycle	Benutzeroberfläche API SSH	SSH ist standardmäßig aktiv.
Workspace ONE Access	Benutzeroberfläche API SSH	SSH ist standardmäßig aktiv.

Design der Kontoverwaltung für VMware Cloud Foundation

Sie entwerfen die Kontoverwaltung für VMware Cloud Foundation entsprechend den Branchenstandards und den Anforderungen Ihrer Organisation.

Methoden der Kennwortverwaltung

SDDC Manager verwaltet den Lebenszyklus von Kennwörtern für die Komponenten, die Teil der VMware Cloud Foundation-Instanz sind. Es werden mehrere Methoden zur Verwaltung des Kennwortlebenszyklus unterstützt.

Tabelle 1. Methoden der Kennwortverwaltung in VMware Cloud Foundation
Methode	Beschreibung
Rotieren	Aktualisieren Sie ein oder mehrere Konten mit einem automatisch generierten Kennwort.
Aktualisieren	Aktualisieren Sie das Kennwort für ein einzelnes Konto mit einem manuell eingegebenen Kennwort.
Standardisieren	Synchronisieren Sie ein einzelnes Konto mit einem Kennwort, das in der -Komponente manuell festgelegt wurde.
Zeitplan	Planen Sie die automatische Rotation für ein oder mehrere ausgewählte Konten.
Manuell	Aktualisieren Sie ein Kennwort manuell direkt in der Komponente.

Konto- und Kennwortverwaltung

VMware Cloud Foundation umfasst mehrere Arten von interaktiven und lokalen Konten sowie Dienstkonten. Jedes Konto hat unterschiedliche Attribute und kann auf folgende Weise verwaltet werden:

Weitere Informationen zur Kennwortkomplexität, Kontosperre oder zur Integration mit zusätzlichen Identitätsanbietern finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.

Tabelle 2. Konto- und Kennwortverwaltung in VMware Cloud Foundation
Komponente	Benutzerkonto	Kennwortmanagement	Zusätzliche Informationen
SDDC Manager	admin@local	Manuell über die SDDC Manager-API Standardablauf: Nie	Lokales Konto der Appliance API-Zugriff (Break-Glass-Konto)
	VCF	Manuell mit Betriebssystem Standardablauf: 365 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	Root	Manuell mit Betriebssystem Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	Sicherung	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 365 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	[email protected]	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	vCenter Singe Sign-On-Konto. Anwendungs- und API-Zugriff. Zur Durchführung der manuellen Kennwortrotation ist ein zusätzliches Admin-Konto für VMware Cloud Foundation erforderlich.
NSX Local Manager	admin	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance BS-Ebene, API und Anwendungszugriff
	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	audit	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene Schreibgeschützter Zugriff auf Anwendungsebene
NSX Edges	admin	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance BS-Ebene, API und Anwendungszugriff
	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	audit	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene Schreibgeschützter Zugriff auf Anwendungsebene
NSX Global Manager	admin	Manuell über die Benutzeroberfläche oder die API von NSX Global Manager Standardablauf: 90 Tage	Lokales Konto der Appliance BS-Ebene, API und Anwendungszugriff
	Root	Manuell über jede NSX Global Manager-Appliance Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	audit	Manuell über die Benutzeroberfläche oder die API von NSX Global Manager Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene Schreibgeschützter Zugriff auf Anwendungsebene
vCenter Server	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene VAMI-Zugriff
	[email protected]	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 90 Tage	vCenter Singe Sign-On-Konto. Anwendungs- und API-Zugriff. Relevant für isolierte Arbeitslastdomäne
	svc-`sddc-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Systemverwaltet. Standardmäßig alle 30 Tage automatisch rotiert Standardablauf: Keine	Dienstkonto zwischen SDDC Manager und vCenter Server
	svc-`nsx-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Systemverwaltet. Standardmäßig alle 30 Tage automatisch rotiert Standardablauf: Keine	Dienstkonto zwischen NSX Manager und vCenter Server
	svc-`vrslcm-hostname`-`vcenter-server-hostname`@vsphere.local	Systemverwaltet Standardmäßig alle 30 Tage automatisch rotiert Standardablauf: Keiner	Dienstkonto zwischen VMware Aria Suite Lifecycle und vCenter Server
ESXi	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 99999 (nie)	Manuell
ESXi	svc-vcf-`esxi-hostname`	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 99999 (nie)	Dienstkonto zwischen SDDC Manager und dem ESXi-Host
VMware Aria Suite Lifecycle	vcfadmin@local	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: Nie	API- und Anwendungszugriff
VMware Aria Suite Lifecycle	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 365 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
Workspace ONE Access	Root	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: 60 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	sshuser-	Verwaltet von VMware Aria Suite Lifecycle Standardablauf: 60 Tage	Lokales Konto der Appliance Zugriff auf Betriebssystemebene
	Administrator (Port 8443)	Verwaltet von VMware Aria Suite Lifecycle	Systemadministrator
	Administrator (Port 443)	Rotieren, Aktualisieren, Standardisieren oder Planen mithilfe der SDDC Manager-Benutzeroberfläche oder -API Standardablauf: Nie	Standard-Anwendungsadministrator
	configadmin	Sie müssen sowohl Workspace ONE Access als auch VMware Aria Suite Lifecycle verwenden, um den Zeitplan für die Kennwortrotation des configadmin-Benutzers zu verwalten. Standardablauf: Nie	Anwendungskonfigurations-Administrator

Design-Empfehlungen für die Kontoverwaltung

In Ihrem Kontoverwaltungsdesign können Sie bestimmte Best Practices anwenden.

Tabelle 3. Designanforderungen für die Konto- und Kennwortverwaltung für VMware Cloud Foundation
Empfehlungs-ID	Designempfehlung	Begründung	Auswirkung
VCF-ACTMGT-REQD-SEC-001	Aktivieren Sie die geplante Kennwortrotation in SDDC Manager für alle Konten, die die geplante Rotation unterstützen.	Erhöht den Sicherheitsstatus Ihres SDDC. Vereinfacht die Kennwortverwaltung für Ihre SDDC-Verwaltungskomponenten.	Sie müssen neue Kennwörter mithilfe der API abrufen, wenn Sie Konten interaktiv verwenden müssen.
VCF-ACTMGT-REQD-SEC-003	Richten Sie eine betriebliche Praktik ein, um Kennwörter mithilfe von SDDC Manager für Komponenten zu rotieren, die die geplante Rotation in SDDC Manager nicht unterstützen.	Rotiert Kennwörter und standardisiert automatisch SDDC Manager-Datenbanken für diese Benutzerkonten.	Keine.
VCF-ACTMGT-REQD-SEC-003	Richten Sie eine betriebliche Praktik ein, um manuell Kennwörter für Komponenten zu rotieren, die nicht von SDDC Manager rotiert werden können.	Verwaltet Kennwortrichtlinien für Komponenten, die nicht von der SDDC Manager-Kennwortverwaltung verwaltet werden.	Keine.

Zertifikatsverwaltung für VMware Cloud Foundation

Sie entwerfen die Zertifikatsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.

Der Zugriff auf alle Schnittstellen der Verwaltungskomponente muss über eine SSL-Verbindung (Secure Socket Layer) erfolgen. Während der Bereitstellung wird jeder Komponente ein Zertifikat von einer signierenden Standard-Zertifizierungsstelle zugewiesen. Um sicheren Zugriff auf jede Komponente zu ermöglichen, ersetzen Sie das Standardzertifikat durch ein vertrauenswürdiges, von einer Unternehmenszertifizierungsstelle signiertes Zertifikat.

Tabelle 4. Zertifikatsverwaltung inVMware Cloud Foundation
Komponente	Signierende Standard-Zertifizierungsstelle	Lebenszyklus für von einer Unternehmenszertifizierungsstelle signierte Zertifikate
SDDC Manager	VMCA der Verwaltungsdomäne	Mit SDDC Manager
NSX Local Manager	VMCA der Verwaltungsdomäne	Mit SDDC Manager
NSX Edges	Nicht anwendbar	Nicht anwendbar
NSX Global Manager	Selbstsigniert	Manuell
vCenter Server	VMCA der lokalen Arbeitslastdomäne	Mit SDDC Manager
ESXi	VMCA der lokalen Arbeitslastdomäne	Manuell*
VMware Aria Suite Lifecycle	VMCA der Verwaltungsdomäne	Mit SDDC Manager

Hinweis:

* Um von einer Unternehmenszertifizierungsstelle signierte Zertifikate mit ESXi zu verwenden, muss die anfängliche Bereitstellung von VMware Cloud Foundation mithilfe der API erfolgen, die das vertrauenswürdige Root-Zertifikat bereitstellt.

Tabelle 5. Empfehlungen für das Design der Zertifikatsverwaltung für VMware Cloud Foundation
Empfehlungs-ID	Designempfehlung	Begründung	Auswirkung
VCF-SDDC-RCMD-SEC-001	Ersetzen Sie das standardmäßige VMCA- oder signierte Zertifikat auf allen virtuellen Verwaltungs-Appliances durch ein Zertifikat, das von einer internen Zertifizierungsstelle signiert wurde.	Stellen Sie sicher, dass die Kommunikation mit allen Verwaltungskomponenten sicher ist.	Werden die Standardzertifikate durch vertrauenswürdige, von einer Zertifizierungsstelle signierte Zertifikate ersetzt, kann sich die Vorbereitungszeit verlängern, da Sie Zertifikatsanforderungen generieren und übermitteln müssen.
VCF-SDDC-RCMD-SEC-002	Verwenden Sie einen SHA-2-Algorithmus oder höher für signierte Zertifikate.	Der SHA-1-Algorithmus gilt als weniger sicher und ist veraltet.	Nicht alle Zertifizierungsstellen unterstützen SHA-2 oder höher.
VCF-SDDC-RCMD-SEC-003	Führen Sie die Verwaltung des Lebenszyklus von SSL-Zertifikaten für alle Verwaltungs-Appliances mithilfe von SDDC Manager durch.	SDDC Manager unterstützt die automatisierte Lebenszyklusverwaltung von SSL-Zertifikaten und macht so eine Reihe manueller Schritte überflüssig.	Die Zertifikatsverwaltung für NSX Global Manager-Instanzen muss manuell erfolgen.