Verwenden Sie alle empfohlenen Vorgehensweisen zum Absichern eines vCenter Server-Systems. Mit zusätzlichen Schritten können Sie die Sicherheit Ihres vCenter Server verbessern.

Konfigurieren von Precision Time Protocol oder Network Time Protocol

Stellen Sie sicher, dass alle Systeme dieselbe relative Zeitquelle verwenden. Diese Zeitquelle muss mit einem vereinbarten Zeitstandard wie z. B. der koordinierten Weltzeit (Coordinated Universal Time, UTC) synchronisiert sein. Synchronisierte Systeme sind für die Zertifikatsvalidierung wesentlich. Precision Time Protocol (PTP) und Network Time Protocol (NTP) erleichtern auch die Verfolgung eines Eindringlings in Protokolldateien. Bei falschen Zeiteinstellungen ist es schwierig, Protokolldateien zur Suche nach Angriffen zu untersuchen und abzugleichen. Dies führt zu ungenauen Ergebnissen beim Audit. Weitere Informationen hierzu finden Sie unter Synchronisieren der Uhrzeit in vCenter Server mit einem NTP-Server.

Beschränken des vCenter Server-Netzwerkzugriffs

Beschränken Sie den Zugriff auf Komponenten, die für die Kommunikation mit der vCenter Server erforderlich sind. Das Blockieren des Zugriffs von unnötigen Systemen reduziert das Risiko von Angriffen auf das Betriebssystem.

Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.

Konfigurieren eines Bastionhosts

Zum Schutz Ihrer Assets konfigurieren Sie einen Bastionhost (auch als „Jump Box“ bezeichnet), um Verwaltungsaufgaben mit erhöhten Rechten durchzuführen. Ein Bastionhost ist ein spezieller Computer, der eine minimale Anzahl an administrativen Anwendungen hostet. Alle anderen unnötigen Dienste werden entfernt. Der Host befindet sich in der Regel im Verwaltungsnetzwerk. Ein Bastionhost erhöht den Schutz von Assets, da er die Anmeldung auf wichtige Personen beschränkt, für den Anmeldevorgang Firewallregeln erfordert und durch Audit-Tools eine zusätzliche Überwachung stattfindet.