Wenn Sie vSphere Auto Deploy verwenden, achten Sie besonders auf die Netzwerksicherheit, die Sicherheit des Start-Images und eine mögliche Kennwortoffenlegung durch Hostprofile, um Ihre Umgebung zu schützen.
Netzwerksicherheit
Sichern Sie Ihr Netzwerk genau wie das Netzwerk für andere PXE-basierte Bereitstellungsmethoden. vSphere Auto Deploy überträgt Daten über SSL, um gelegentliche Störungen und Webspionage zu verhindern. Allerdings wird die Authentizität des Clients oder des Auto Deploy-Servers während des Startens per PXE-Startvorgang nicht überprüft.
Sie können das Sicherheitsrisiko von Auto Deploy erheblich reduzieren, indem Sie das Netzwerk, in dem Auto Deploy eingesetzt wird, vollständig isolieren.
Start-Image- und Hostprofilsicherheit
- Das Start-Image enthält immer die VIB-Pakete, aus denen das Image-Profil besteht.
- Das Hostprofil und die Hostanpassung sind im Start-Image enthalten, wenn Auto Deploy-Regeln so eingerichtet sind, dass der Host mit einem Hostprofil- oder einer Hostanpassung bereitgestellt wird.
- Das Administratorkennwort (root) und die Benutzerkennwörter, die im Hostprofil und in der Hostanpassung enthalten sind, sind mit SHA-512 gehasht.
- Alle anderen Kennwörter in Verbindung mit Profilen sind unverschlüsselt. Wenn Sie Active Directory mithilfe von Hostprofilen einrichten, werden die Kennwörter nicht geschützt.
Verwenden Sie den vSphere Authentication Proxy, um zu verhindern, dass die Active Directory-Kennwörter offengelegt werden. Wenn Sie Active Directory mithilfe von Hostprofilen einrichten, werden die Kennwörter nicht geschützt.
- Die öffentlichen und privaten SSL-Schlüssel und das Zertifikat des Hosts sind im Start-Image enthalten.