Ihr vCenter Server-System und die zugehörigen Dienste sind durch Authentifizierung über vCenter Single Sign On und Autorisierung über das vCenter Server-Berechtigungsmodell geschützt. Sie können dieses Standardverhalten ändern und zusätzliche Maßnahmen zum Schutz Ihrer Umgebung ergreifen.

Denken Sie beim Schutz Ihrer vSphere-Umgebung daran, dass alle mit den vCenter Server-Instanzen verbundenen Dienste geschützt werden müssen. In manchen Umgebungen kann es erforderlich sein, mehrere vCenter Server-Instanzen und eine oder mehrere Platform Services Controller-Instanzen zu schützen.

Absichern aller vCenter-Hostmaschinen

Der erste Schritt zum Schutz Ihrer vCenter-Umgebung besteht im Absichern jeder einzelnen Maschine, auf der vCenter Server oder ein zugehöriger Dienst ausgeführt wird. Dies gilt gleichermaßen für physische Rechner wie für virtuelle Maschinen. Installieren Sie immer die aktuellsten Sicherheitspatches für Ihr Betriebssystem und halten Sie sich an die branchenüblichen empfohlenen Vorgehensweisen zum Schutz der Hostmaschine.

Grundlegende Informationen zum vCenter-Zertifikatmodell

Standardmäßig stattet die VMware Certificate Authority (VMCA) alle ESXi-Hosts, alle Maschinen in der Umgebung und alle Lösungsbenutzer mit einem von VMCA signierten Zertifikat aus. Die Umgebung funktioniert auf diese Weise ab Werk, aber Sie können dieses Standardverhalten an Ihre Unternehmensrichtlinien anpassen. Weitere Informationen finden Sie in der Dokumentation Platform Services Controller-Verwaltung.

Um zusätzlichen Schutz zu gewährleisten, entfernen Sie abgelaufene oder widerrufene Zertifikate und fehlgeschlagene Installationen.

Konfigurieren von vCenter Single Sign On

vCenter Server und die zugehörigen Dienste sind durch vCenter Single Sign On und dessen Authentifizierungsframework geschützt. Bei der erstmaligen Installation der Software geben Sie ein Kennwort für den Administrator der vCenter Single Sign-On-Domäne an (standardmäßig administrator@vsphere.local). Nur diese Domäne ist anfangs als Identitätsquelle verfügbar. Sie können weitere Identitätsquellen (entweder Active Directory oder LDAP) hinzufügen und eine Standardidentitätsquelle bestimmen. Ab diesem Zeitpunkt können Benutzer, die sich bei diesen Identitätsquellen authentifizieren können, auch Objekte anzeigen und Aufgaben ausführen, sofern sie die entsprechende Berechtigung besitzen. Weitere Informationen finden Sie in der Dokumentation Platform Services Controller-Verwaltung.

Zuweisen von Rollen zu benannten Benutzern oder Gruppen

Zur besseren Protokollierung sollten Sie jede Berechtigung, die Sie für ein Objekt erteilen, mit einem benannten Benutzer oder einer benannten Gruppe sowie einer vordefinierten oder einer benutzerdefinierten Rolle verbinden. Das Berechtigungsmodell in vSphere 6.0 ist mit seinen unterschiedlichen Möglichkeiten der Benutzer- oder Gruppenautorisierung äußerst flexibel. Siehe Grundlegende Informationen zur Autorisierung in vSphere und Erforderliche Berechtigungen für allgemeine Aufgaben.

Beschränken Sie die Administratorrechte und die Verwendung der Administratorrolle. Wenn möglich, verzichten Sie auf den Einsatz des anonymen Administratorbenutzers.

Einrichten von NTP

Richten Sie NTP für jeden Knoten in Ihrer Umgebung ein. Die Zertifikatinfrastruktur erfordert einen genauen Zeitstempel und funktioniert nicht ordnungsgemäß, wenn die Knoten nicht synchronisiert sind.

Weitere Informationen hierzu finden Sie unter Synchronisieren der Systemuhren im vSphere-Netzwerk.