VMware erstellt Handbücher für das „Hardening“, d. h., die Verstärkung der Sicherheit. Diese enthalten bindende Anleitungen zur sicheren Bereitstellung und Nutzung von VMware-Produkten. Für vSphere ist dieses Handbuch der vSphere Security Configuration Guide (Handbuch für die vSphere-Sicherheitskonfiguration, früher als Handbuch für „Hardening“ bezeichnet).
Der vSphere Security Configuration Guide enthält Best Practices für die Sicherheit von vSphere. Der vSphere Security Configuration Guide ist nicht direkt regulatorischen Richtlinien oder Frameworks zugeordnet und daher kein Konformitätshandbuch. Außerdem ist der vSphere Security Configuration Guide nicht für die Verwendung als Sicherheitscheckliste vorgesehen. Beim Thema Sicherheit muss man immer einen Kompromiss eingehen. Bei der Umsetzung von Sicherheitskontrollen kann sich dies negativ auf Benutzerfreundlichkeit, Leistung oder andere operative Aufgaben auswirken. Berücksichtigen Sie Ihre Arbeitslasten, Nutzungsmuster, die Organisationsstruktur usw. sorgfältig, bevor Sie Sicherheitsänderungen vornehmen, unabhängig davon, ob der Hinweis von VMware oder aus anderen Branchenquellen stammt. Wenn Ihre Organisation regulatorischen Konformitätsanforderungen unterliegt, lesen Sie Sicherheit vs. Übereinstimmung in der vSphere-Umgebung oder besuchen Sie https://core.vmware.com/compliance. Diese Site enthält Compliance Kits und Produktüberwachungshandbücher, die vSphere-Administratoren und regulatorische Auditoren dabei unterstützen, die virtuelle Infrastruktur für regulatorische Frameworks zu sichern und zu bestätigen, wie z. B. NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001 und mehr.
- Software, die innerhalb der virtuellen Maschine ausgeführt wird, wie z. B. das Gastbetriebssystem und Anwendungen
- Datenverkehr über Netzwerke der virtuellen Maschinen
- Sicherheit der Add-on-Produkte
Der vSphere Security Configuration Guide ist nicht dazu gedacht, als „Übereinstimmungs“-Tool verwendet zu werden. Der vSphere Security Configuration Guide unterstützt Sie bei den ersten Schritten auf dem Weg zur Übereinstimmung, stellt aber für sich allein nicht sicher, dass Ihre Bereitstellung Übereinstimmung aufweist. Weitere Informationen zur Übereinstimmung finden Sie unter Sicherheit vs. Übereinstimmung in der vSphere-Umgebung.
Lesen des vSphere Security Configuration Guide
Der vSphere Security Configuration Guide ist ein Tabellenkalkulationsblatt, das sicherheitsbezogene Richtlinien enthält, welche Sie bei der Änderung Ihrer vSphere-Sicherheitskonfiguration unterstützen. Diese Richtlinien sind in Registerkarten basierend auf den betroffenen Komponenten gruppiert, mit einigen oder allen der folgenden Spalten.
Spaltenüberschrift | Beschreibung |
---|---|
Leitlinien-ID |
Eine eindeutige zweiteilige ID, die eine Sicherheitskonfigurations- oder Hardening-Empfehlung bezeichnet. Der erste Teil gibt die Komponente an und ist wie folgt definiert:
|
Beschreibung |
Eine kurze Erklärung der jeweiligen Empfehlung. |
Diskussion |
Beschreibung der Schwachstelle, auf die sich eine bestimmte Empfehlung bezieht. |
Konfigurationsparameter |
Stellt die anwendbaren Konfigurationsparameter oder Dateinamen bereit, sofern vorhanden. |
Gewünschter Wert |
Der gewünschten Zustand oder Wert der Empfehlung. Mögliche Werte:
|
Standardwert |
Der von vSphere festgelegte Standardwert. |
Ist der gewünschte Wert der Standard? |
Gibt an, ob die Sicherheitseinstellung der Produkt-Standardkonfiguration entspricht. |
Aktion erforderlich |
Der Typ der Aktion, die bei einer bestimmten Empfehlung durchzuführen ist. Zu den Aktionen zählen:
|
Festlegen des Standorts in vSphere Client |
Schritte für die Prüfung des Werts mithilfe von vSphere Client |
Negative funktionale Auswirkung bei der Änderung von Standard? |
Beschreibung möglicher negativer Auswirkungen der Anwendung der Sicherheitsempfehlung. |
PowerCLI-Befehlsbeurteilung |
Schritte für die Prüfung des Werts mithilfe von PowerCLI. |
Beispiel für PowerCLI-Befehlsstandardisierung |
Schritte zum Einrichten (Standardisieren) des Werts mithilfe von PowerCLI. |
vCLI-Befehlsstandardisierung |
Schritte zum Einrichten (Standardisieren) des Werts mithilfe der vCLI-Befehle. |
PowerCLI-Befehlsbeurteilung |
Schritte für die Prüfung des Werts mithilfe der PowerCLI-Befehle. |
PowerCLI-Befehlsstandardisierung |
Schritte zum Einrichten (Standardisieren) des Werts mithilfe der PowerCLI-Befehle. |
Kann mithilfe des Hostprofils eingerichtet werden |
Gibt an, ob die Einstellung anhand der Hostprofile erreicht werden kann (gilt nur für ESXi-Richtlinien). |
Absichern |
Bei TRUE ist für die Richtlinie nur eine Implementierung möglich, um Übereinstimmung aufzuweisen. Bei FALSE kann die Leitlinienimplementierung durch mehr als eine Konfigurationseinstellung erfolgen. Die tatsächliche Einstellung ist häufig standortspezifisch. |
Standortsspezifische Einstellung |
Bei TRUE hängt die Übereinstimmung der Einstellung mit der Richtlinie von Regeln oder Standards ab, die für diese vSphere-Bereitstellung spezifisch sind. |
Überwachungseinstellung |
Bei TRUE muss der Wert der aufgelisteten Einstellung möglicherweise geändert werden, um standortspezifische Regeln zu erfüllen. |
Wenden Sie die Richtlinien im vSphere-Handbuch zur sicheren Konfiguration nicht unüberlegt auf Ihre Umgebung an. Nehmen Sie sich die Zeit, jede Einstellung zu bewerten und eine informierte Entscheidung zu treffen, ob Sie sie anwenden möchten. Als Minimum können Sie die Anweisungen in den Beurteilungsspalten nutzen, um die Sicherheit Ihrer Bereitstellung zu überprüfen.
Das vSphere-Handbuch zur sicheren Konfiguration ist eine Hilfestellung für die ersten Schritte bei der Übereinstimmungsimplementierung in Ihrer Bereitstellung. Wenn Sie ihn zusammen mit den Richtlinien der Defense Information Systems Agency (DISA) und anderen Übereinstimmungsrichtlinien verwenden, können Sie mithilfe des vSphere-Handbuchs zur sicheren Konfiguration vSphere-Sicherheitskontrollen an den Übereinstimmungsanforderungen jeder Richtlinie ausrichten.