Empfohlene Vorgehensweisen für die Sicherheit von vCenter Server Appliance

Verwenden Sie alle empfohlenen Vorgehensweisen zum Absichern eines vCenter Server-Systems zum Absichern Ihrer vCenter Server Appliance. Mit zusätzlichen Schritten können Sie Ihre Appliance sicherer machen.

Konfigurieren von NTP: Stellen Sie sicher, dass alle Systeme dieselbe relative Zeitquelle verwenden. Diese Zeitquelle muss mit einem vereinbarten Zeitstandard wie z. B. der koordinierten Weltzeit (Coordinated Universal Time, UTC) synchronisiert sein. Synchronisierte Systeme sind für die Zertifikatsvalidierung wesentlich. NTP vereinfacht auch die Erkennung von Eindringungsversuchen in den Protokolldateien. Bei falschen Zeiteinstellungen ist es schwierig, Protokolldateien zur Suche nach Angriffen zu untersuchen und abzugleichen. Dies führt zu ungenauen Ergebnissen beim Audit. Weitere Informationen hierzu finden Sie unter Synchronisieren der Uhrzeit in vCenter Server Appliance mit einem NTP-Server.
Beschränken des vCenter Server Appliance-Netzwerkzugriffs: Beschränken Sie den Zugriff auf Komponenten, die für die Kommunikation mit der vCenter Server Appliance erforderlich sind. Das Blockieren des Zugriffs von unnötigen Systemen reduziert das Risiko von Angriffen auf das Betriebssystem.
Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.
Konfigurieren eines Bastionhosts: Zum Schutz Ihrer Assets konfigurieren Sie einen Bastionhost (auch als „Jump Box“ bezeichnet), um Verwaltungsaufgaben mit erhöhten Rechten durchzuführen. Ein Bastionhost ist ein spezieller Computer, der eine minimale Anzahl an administrativen Anwendungen hostet. Alle anderen unnötigen Dienste werden entfernt. Der Host befindet sich in der Regel im Verwaltungsnetzwerk. Ein Bastionhost erhöht den Schutz von Assets, da er die Anmeldung auf wichtige Personen beschränkt, für den Anmeldevorgang Firewallregeln erfordert und durch Audit-Tools eine zusätzliche Überwachung stattfindet.