Ihr vCenter Server-System und die zugehörigen Dienste sind durch Authentifizierung über vCenter Single Sign On und Autorisierung über das vCenter Server-Berechtigungsmodell geschützt. Sie können das Standardverhalten ändern und Maßnahmen ergreifen, um den Zugriff auf Ihre Umgebung zu beschränken.
Denken Sie beim Schutz Ihrer vSphere-Umgebung daran, dass alle mit den vCenter Server-Instanzen verbundenen Dienste geschützt werden müssen. In einigen Umgebungen können Sie mehrere vCenter Server-Instanzen schützen.
- vCenter und verschlüsselte Kommunikation
- Standardmäßig ist die gesamte Datenkommunikation zwischen vCenter Server und anderen vSphere-Komponenten verschlüsselt. Der Konfiguration Ihrer Umgebung entsprechend kann ein Teil des Datenverkehrs unverschlüsselt sein. Sie können z. B. unverschlüsseltes SMTP für E-Mail-Warnungen und unverschlüsseltes SNMP für die Überwachung konfigurieren. DNS-Datenverkehr ist ebenfalls unverschlüsselt. vCenter Server überwacht Port 80 (TCP) und Port 443 (TCP). Port 443 (TCP) ist der branchenübliche Port für HTTPS (sicheres HTTP) und über eine TLS 1.2-Verschlüsselung geschützt. Port 80 (TCP) ist der branchenübliche HTTP-Port und verwendet keine Verschlüsselung. Port 80 dient dazu, Anforderungen von Port 80 an Port 443 umzuleiten, wo sie sicher sind.
- Absichern aller vCenter-Hostmaschinen
- Der erste Schritt zum Schutz Ihrer vCenter-Umgebung besteht im Absichern jeder einzelnen Maschine, auf der vCenter Server oder ein zugehöriger Dienst ausgeführt wird. Dies gilt gleichermaßen für physische Rechner wie für virtuelle Maschinen. Installieren Sie immer die aktuellsten Sicherheitspatches für Ihr Betriebssystem und halten Sie sich an die branchenüblichen empfohlenen Vorgehensweisen zum Schutz der Hostmaschine.
- Grundlegende Informationen zum vCenter-Zertifikatmodell
- Standardmäßig stattet die VMware Certificate Authority (VMCA) alle ESXi-Hosts und alle Maschinen in der Umgebung und alle Lösungsbenutzer mit einem von VMCA signierten Zertifikat aus. Wenn die Unternehmensrichtlinie dies verlangt, können Sie das Standardverhalten ändern. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
- Konfigurieren von vCenter Single Sign On
- vCenter Server und die zugehörigen Dienste sind durch vCenter Single Sign On und dessen Authentifizierungsframework geschützt. Bei der erstmaligen Installation der Software geben Sie ein Kennwort für den Administrator der vCenter Single Sign-On-Domäne an (standardmäßig [email protected]). Nur diese Domäne ist anfangs als Identitätsquelle verfügbar. Sie können einen externen Identitätsanbieter wie Microsoft Active Directory Federation Services (AD FS) für die Verbundauthentifizierung hinzufügen. Sie können weitere Identitätsquellen (entweder Active Directory oder LDAP) hinzufügen und eine Standardidentitätsquelle bestimmen. Benutzer, die sich bei diesen Identitätsquellen authentifizieren können, können auch Objekte anzeigen und Aufgaben ausführen, sofern sie die entsprechende Berechtigung besitzen. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
- Zuweisen von Rollen zu benannten Benutzern oder Gruppen
- Zur besseren Protokollierung sollten Sie jede Berechtigung, die Sie für ein Objekt erteilen, mit einem benannten Benutzer oder einer benannten Gruppe sowie einer vordefinierten oder einer benutzerdefinierten Rolle verbinden. Das Berechtigungsmodell in vSphere ist mit seinen unterschiedlichen Möglichkeiten der Benutzer- oder Gruppenautorisierung äußerst flexibel. Weitere Informationen hierzu finden Sie unter Grundlegende Informationen zur Autorisierung in vSphere und Erforderliche Berechtigungen für allgemeine Aufgaben.
- PTP oder NTP einrichten
- Richten Sie PTP oder NTP für jeden Knoten in Ihrer Umgebung ein. Die Zertifikatinfrastruktur erfordert einen genauen Zeitstempel und funktioniert nicht ordnungsgemäß, wenn die Knoten nicht synchronisiert sind.