Ihr vCenter Server-System und die zugehörigen Dienste sind durch Authentifizierung über vCenter Single Sign On und Autorisierung über das vCenter Server-Berechtigungsmodell geschützt. Sie können dieses Standardverhalten ändern und zusätzliche Maßnahmen zum Schutz Ihrer Umgebung ergreifen.

Denken Sie beim Schutz Ihrer vSphere-Umgebung daran, dass alle mit den vCenter Server-Instanzen verbundenen Dienste geschützt werden müssen. In einigen Umgebungen können Sie mehrere vCenter Server-Instanzen schützen.

Absichern aller vCenter-Hostmaschinen
Der erste Schritt zum Schutz Ihrer vCenter-Umgebung besteht im Absichern jeder einzelnen Maschine, auf der vCenter Server oder ein zugehöriger Dienst ausgeführt wird. Dies gilt gleichermaßen für physische Rechner wie für virtuelle Maschinen. Installieren Sie immer die aktuellsten Sicherheitspatches für Ihr Betriebssystem und halten Sie sich an die branchenüblichen empfohlenen Vorgehensweisen zum Schutz der Hostmaschine.
Grundlegende Informationen zum vCenter-Zertifikatmodell
Standardmäßig stattet die VMware Certificate Authority (VMCA) alle ESXi-Hosts und alle Maschinen in der Umgebung und alle Lösungsbenutzer mit einem von VMCA signierten Zertifikat aus. Wenn die Unternehmensrichtlinie dies verlangt, können Sie das Standardverhalten ändern. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
Um zusätzlichen Schutz zu gewährleisten, entfernen Sie abgelaufene oder widerrufene Zertifikate und fehlgeschlagene Installationen.
Konfigurieren von vCenter Single Sign On
vCenter Server und die zugehörigen Dienste sind durch vCenter Single Sign On und dessen Authentifizierungsframework geschützt. Bei der erstmaligen Installation der Software geben Sie ein Kennwort für den Administrator der vCenter Single Sign-On-Domäne an (standardmäßig administrator@vsphere.local). Nur diese Domäne ist anfangs als Identitätsquelle verfügbar. Sie können einen Identitätsanbieter wie z. B. Microsoft Active Directory Federation Services (AD FS) hinzufügen. Sie können weitere Identitätsquellen (entweder Active Directory oder LDAP) hinzufügen und eine Standardidentitätsquelle bestimmen. Benutzer, die sich bei diesen Identitätsquellen authentifizieren können, können auch Objekte anzeigen und Aufgaben ausführen, sofern sie die entsprechende Berechtigung besitzen. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
Zuweisen von Rollen zu benannten Benutzern oder Gruppen
Zur besseren Protokollierung sollten Sie jede Berechtigung, die Sie für ein Objekt erteilen, mit einem benannten Benutzer oder einer benannten Gruppe sowie einer vordefinierten oder einer benutzerdefinierten Rolle verbinden. Das Berechtigungsmodell in vSphere ist mit seinen unterschiedlichen Möglichkeiten der Benutzer- oder Gruppenautorisierung äußerst flexibel. Weitere Informationen hierzu finden Sie unter Grundlegende Informationen zur Autorisierung in vSphere und Erforderliche Berechtigungen für allgemeine Aufgaben.
Beschränken Sie die Administratorrechte und die Verwendung der Administratorrolle. Wenn möglich, verzichten Sie auf den Einsatz des anonymen Administratorbenutzers.
PTP oder NTP einrichten
Richten Sie PTP oder NTP für jeden Knoten in Ihrer Umgebung ein. Die Zertifikatinfrastruktur erfordert einen genauen Zeitstempel und funktioniert nicht ordnungsgemäß, wenn die Knoten nicht synchronisiert sind.
Weitere Informationen hierzu finden Sie unter Synchronisieren der Systemuhren im vSphere-Netzwerk.