Zur Erhöhung der Sicherheit sollten Sie das vCenter Server-System nur im Verwaltungsnetzwerk bereitstellen und sicherstellen, dass für den Verwaltungsdatenverkehr von vSphere ein begrenztes Netzwerk verwendet wird. Durch Einschränkung der Netzwerkkonnektivität begrenzen Sie bestimmte Angriffsarten.

vCenter Server benötigt den Zugang nur zu einem Verwaltungsnetzwerk. Stellen Sie das vCenter Server-System möglichst nicht in anderen Netzwerken wie Ihrem Produktionsnetzwerk oder Speichernetzwerk bzw. einem Netzwerk mit Zugang zum Internet bereit. vCenter Server benötigt keinen Zugriff auf das Netzwerk, in dem vMotion ausgeführt wird.

vCenter Server benötigt Netzwerkkonnektivität zu den folgenden Systemen:
  • Allen ESXi-Hosts.
  • Der vCenter Server-Datenbank.
  • Andere vCenter Server-Systeme (wenn die vCenter Server-Systeme Teil einer gemeinsamen vCenter Single Sign On-Domäne zum Replizieren von Tags, Berechtigungen usw. sind).
  • Systemen, die Verwaltungsclients ausführen dürfen. Beispielsweise der vSphere Client, ein Windows-System, in dem Sie PowerCLI verwenden, oder ein anderer SDK-basierter Client.
  • Infrastrukturdiensten wie DNS, Active Directory und PTP oder NTP.
  • Anderen Systemen, auf denen Komponenten laufen, die für die Funktionen des vCenter Server-Systems wesentlich sind.

Verwenden Sie die Firewall auf dem vCenter Server. Beziehen Sie IP-basierte Zugriffsbeschränkungen ein, damit nur notwendige Komponenten mit dem vCenter Server-System kommunizieren können.

Bewerten der Verwendung von Linux-Clients mit CLIs und SDKs

Die Kommunikation zwischen Clientkomponenten und einem vCenter Server-System oder ESXi-Hosts wird standardmäßig durch eine SSL-Verschlüsselung geschützt. Bei den Linux-Versionen dieser Komponenten findet keine Zertifikatvalidierung statt. Daher sollten Sie die Verwendung dieser Clients einschränken.

Um die Sicherheit zu verbessern, können Sie die VMCA-signierten Zertifikate auf dem vCenter Server-System und auf den ESXi-Hosts durch Zertifikate ersetzen, die von einer Unternehmens- oder Drittanbieter-Zertifizierungsstelle signiert sind. Allerdings wären bestimmte Kommunikationen mit Linux-Clients immer noch anfällig für Machine-in-the-Middle-Angriffe. Die folgenden Komponenten sind anfällig, wenn sie auf einem Linux-Betriebssystem laufen.
  • ESXCLI-Befehle
  • vSphere SDK for Perl-Skripts
  • Mit vSphere Web Services SDK geschriebene Programme
Sie können die Einschränkungen bei Linux-Clients lockern, wenn Sie geeignete Kontrollen erzwingen.
  • Beschränken Sie den Zugriff zum Verwaltungsnetzwerk auf autorisierte Systeme.
  • Verwenden Sie Firewalls, um sicherzustellen, dass nur autorisierte Hosts die Berechtigung haben, auf vCenter Server zuzugreifen.
  • Verwenden Sie Bastionhosts (Jump-Box-Systeme), um sicherzustellen, dass Linux-Clients sich hinter dem „Jump“ befinden.

Überprüfen von vSphere Client-Plug-Ins

vSphere Client-Erweiterungen werden auf der Berechtigungsstufe ausgeführt, mit der der Benutzer angemeldet ist. Eine bösartige Erweiterung kann als nützliches Plug-In maskiert sein und schädliche Vorgänge ausführen, etwa Anmeldedaten stehlen oder die Systemkonfiguration ändern. Verwenden Sie zur Verbesserung der Sicherheit eine Installation, die ausschließlich autorisierte Erweiterungen vertrauenswürdiger Quellen enthält.

Eine vCenter Server-Installation enthält ein Erweiterbarkeits-Framework für den vSphere Client. Sie können dieses Framework verwenden, um den Client mit Menüauswahlen oder Symbolleistensymbolen zu erweitern. Die Erweiterungen können den Zugriff auf vCenter Server-Add-On-Komponenten oder externe, webbasierte Funktionen ermöglichen.

Die Verwendung des erweiterbaren Frameworks birgt das Risiko, ungewollte Funktionen zu installieren. Wenn beispielsweise ein Administrator ein Plug-In in einer Instanz des vSphere Client installiert, kann das Plug-In auf der Berechtigungsstufe dieses Administrators beliebige Befehle ausführen.

Zum Schutz vor einer möglichen Manipulation des vSphere Client überprüfen Sie alle installierten Plug-Ins in regelmäßigen Abständen und stellen Sie sicher, dass jedes Plug-In aus einer vertrauenswürdigen Quelle stammt.

Voraussetzungen

Für den Zugriff auf den vCenter Single Sign On-Dienst benötigen Sie entsprechende Rechte. Diese Berechtigungen weichen von den Berechtigungen für vCenter Server ab.

Prozedur

  1. Melden Sie sich beim vSphere Client als „administrator@vsphere.local“ oder als Benutzer mit vCenter Single Sign On-Rechten an.
  2. Wählen Sie auf der Homepage die Option Verwaltung und dann unter Lösungen die Option Client-Plug-Ins aus.
  3. Prüfen Sie die Liste der Client-Plug-Ins.