Die Kommunikation zwischen Clientkomponenten und einem vCenter Server-System oder ESXi-Hosts wird standardmäßig durch eine SSL-Verschlüsselung geschützt. Bei den Linux-Versionen dieser Komponenten findet keine Zertifikatvalidierung statt. Daher sollten Sie die Verwendung dieser Clients einschränken.
Um die Sicherheit zu verbessern, können Sie die VMCA-signierten Zertifikate auf dem
vCenter Server-System und auf den
ESXi-Hosts durch Zertifikate ersetzen, die von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle signiert sind. Allerdings wären bestimmte Kommunikationen mit Linux-Clients immer noch anfällig für Machine-in-the-Middle-Angriffe. Die folgenden Komponenten sind anfällig, wenn sie auf einem Linux-Betriebssystem laufen.
- ESXCLI-Befehle
- vSphere SDK for Perl-Skripts
- Mit vSphere Web Services SDK geschriebene Programme
Sie können die Einschränkungen bei Linux-Clients lockern, wenn Sie geeignete Kontrollen erzwingen.
- Beschränken Sie den Zugriff zum Verwaltungsnetzwerk auf autorisierte Systeme.
- Verwenden Sie Firewalls, um sicherzustellen, dass nur autorisierte Hosts die Berechtigung haben, auf vCenter Server zuzugreifen.
- Verwenden Sie Bastionhosts (Jump-Box-Systeme), um sicherzustellen, dass Linux-Clients sich hinter dem „Jump“ befinden.