Ihr vCenter Server-System und die zugehörigen Dienste sind durch Authentifizierung über vCenter Single Sign On und Autorisierung über das vCenter Server-Berechtigungsmodell geschützt. Sie können dieses Standardverhalten ändern und zusätzliche Maßnahmen zum Schutz Ihrer Umgebung ergreifen.

Denken Sie beim Schutz Ihrer vSphere-Umgebung daran, dass alle mit den vCenter Server-Instanzen verbundenen Dienste geschützt werden müssen. In manchen Umgebungen kann es erforderlich sein, mehrere vCenter Server-Instanzen und einen oder mehrere Platform Services Controller-Instanzen zu schützen.

Absichern aller vCenter-Hostmaschinen

Der erste Schritt zum Schutz Ihrer vCenter-Umgebung besteht im Absichern jeder einzelnen Maschine, auf der vCenter Server oder ein zugehöriger Dienst ausgeführt wird. Dies gilt gleichermaßen für physische Rechner wie für virtuelle Maschinen. Installieren Sie immer die aktuellsten Sicherheitspatches für Ihr Betriebssystem und halten Sie sich an die branchenüblichen empfohlenen Vorgehensweisen zum Schutz der Hostmaschine.

Grundlegende Informationen zum vCenter-Zertifikatmodell

Standardmäßig stattet die VMware Certificate Authority (VMCA) alle ESXi-Hosts, alle Maschinen in der Umgebung und alle Lösungsbenutzer mit einem von VMCA signierten Zertifikat aus. Die Umgebung funktioniert auf diese Weise ab Werk, aber Sie können dieses Standardverhalten an Ihre Unternehmensrichtlinien anpassen. Siehe vSphere-Sicherheitszertifikate.

Um zusätzlichen Schutz zu gewährleisten, entfernen Sie abgelaufene oder widerrufene Zertifikate und fehlgeschlagene Installationen.

Konfigurieren von vCenter Single Sign On

vCenter Server und die zugehörigen Dienste sind durch vCenter Single Sign On und dessen Authentifizierungsframework geschützt. Bei der erstmaligen Installation der Software legen Sie ein Kennwort für den Benutzer „administrator@vsphere.local“ fest. Nur diese Domäne ist als Identitätsquelle verfügbar. Sie können weitere Identitätsquellen (entweder Active Directory oder LDAP) hinzufügen und eine Standardidentitätsquelle bestimmen. Ab diesem Zeitpunkt können die von einer Identitätsquelle authentifizierbaren Benutzer auch Objekte anzeigen und Aufgaben ausführen, sofern Sie die entsprechende Berechtigung besitzen. Siehe vSphere-Authentifizierung mit vCenter Single Sign On.

Zuweisen von Rollen zu Benutzern und Gruppen

Zur besseren Protokollierung sollten Sie jede Berechtigung, die Sie für ein Objekt erteilen, mit einem benannten Benutzer oder einer benannten Gruppe sowie einer vordefinierten oder einer benutzerdefinierten Rolle verbinden. Das Berechtigungsmodell in vSphere 6.0 ist mit seinen unterschiedlichen Möglichkeiten der Benutzer- oder Gruppenautorisierung äußerst flexibel. Siehe Grundlegende Informationen zur Autorisierung in vSphere und Erforderliche Berechtigungen für allgemeine Aufgaben.

Achten Sie auf die zweckgemäße Verwendung der Administratorrechte und der Administratorrolle. Wenn möglich, verzichten Sie auf den Einsatz des anonymen Administratorbenutzers.

Einrichten von NTP

Richten Sie NTP für jeden Knoten in Ihrer Umgebung ein. Die Zertifikatinfrastruktur erfordert einen genauen Zeitstempel und funktioniert nicht ordnungsgemäß, wenn die Knoten nicht synchronisiert sind.

Siehe Synchronisieren der Systemuhren im vSphere-Netzwerk.