Die Authentifizierung über vCenter Single Sign On und die Autorisierung über das vCenter Server-Berechtigungsmodell schützen Ihr vCenter Server-System und die zugehörigen Dienste. Sie können das Standardverhalten ändern und Maßnahmen ergreifen, um den Zugriff auf Ihre Umgebung zu beschränken.
Denken Sie beim Schutz Ihrer vSphere-Umgebung daran, dass alle mit den vCenter Server-Instanzen verbundenen Dienste geschützt werden müssen. In einigen Umgebungen können Sie mehrere vCenter Server-Instanzen schützen.
vCenter Server verwendet verschlüsselte Kommunikation
Standardmäßig ist die gesamte Datenkommunikation zwischen dem vCenter Server-System und den anderen vSphere-Komponenten verschlüsselt. Der Konfiguration Ihrer Umgebung entsprechend kann ein Teil des Datenverkehrs unverschlüsselt sein. Sie können z. B. unverschlüsseltes SMTP für E-Mail-Warnungen und unverschlüsseltes SNMP für die Überwachung konfigurieren. DNS-Datenverkehr ist ebenfalls unverschlüsselt. vCenter Server überwacht Port 80 (TCP) und Port 443 (TCP). Port 443 (TCP) ist der branchenübliche Port für HTTPS (sicheres HTTP) und über eine TLS-Verschlüsselung geschützt. Weitere Informationen hierzu finden Sie unter vSphere-TLS-Konfiguration. Port 80 (TCP) ist der branchenübliche HTTP-Port und verwendet keine Verschlüsselung. Port 80 dient dazu, Anforderungen von Port 80 an Port 443 umzuleiten, wo sie sicher sind.
Erhöhen der Sicherheit von vCenter Server-Systemen
Der erste Schritt zum Schutz Ihrer vCenter Server-Umgebung besteht im Absichern jeder einzelnen Maschine, auf der vCenter Server oder ein zugehöriger Dienst ausgeführt wird. Dies gilt gleichermaßen für physische Rechner wie für virtuelle Maschinen. Installieren Sie immer die aktuellsten Sicherheitspatches für Ihr Betriebssystem und halten Sie sich an die branchenüblichen empfohlenen Vorgehensweisen zum Schutz der Hostmaschine.
Weitere Informationen zum vSphere-Zertifikatmodell
Standardmäßig stattet die VMware Certificate Authority (VMCA) alle ESXi-Hosts und alle Maschinen in der Umgebung und alle Lösungsbenutzer mit einem von VMCA signierten Zertifikat aus. Wenn die Unternehmensrichtlinie dies verlangt, können Sie das Standardverhalten ändern. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
Um zusätzlichen Schutz zu gewährleisten, entfernen Sie abgelaufene oder widerrufene Zertifikate und fehlgeschlagene Installationen.
Konfigurieren von vCenter Single Sign On
vCenter Server und die zugehörigen Dienste sind durch vCenter Single Sign On und dessen Authentifizierungsframework geschützt. Bei der erstmaligen Installation der Software geben Sie ein Kennwort für den Administrator der vCenter Single Sign-On-Domäne an (standardmäßig [email protected]). Nur diese Domäne ist anfangs als Identitätsquelle verfügbar. Sie können einen externen Identitätsanbieter wie Microsoft Active Directory Federation Services (AD FS) für die Verbundauthentifizierung hinzufügen. Sie können weitere Identitätsquellen (entweder Active Directory oder LDAP) hinzufügen und eine Standardidentitätsquelle bestimmen. Benutzer, die sich bei diesen Identitätsquellen authentifizieren können, können auch Objekte anzeigen und Aufgaben ausführen, sofern sie die entsprechende Berechtigung besitzen. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
Zuweisen von vCenter Server-Rollen zu benannten Benutzern oder Gruppen
Zur besseren Protokollierung sollten Sie jede Berechtigung, die Sie für ein Objekt erteilen, mit einem benannten Benutzer oder einer benannten Gruppe sowie einer vordefinierten oder einer benutzerdefinierten Rolle verbinden. Das Berechtigungsmodell in vSphere ist mit seinen unterschiedlichen Möglichkeiten der Benutzer- oder Gruppenautorisierung äußerst flexibel. Weitere Informationen hierzu finden Sie unter Grundlegende Informationen zur Autorisierung in vSphere und Erforderliche vCenter Server-Rechte für allgemeine Aufgaben.
Beschränken Sie die Administratorrechte und die Verwendung der Administratorrolle. Wenn möglich, verzichten Sie auf den Einsatz des anonymen Administratorbenutzers.
Einrichten von Precision Time Protocol oder Network Time Protocol
Richten Sie Precision Time Protocol (PTP) oder Network Time Protocol (NTP) für jeden Knoten in Ihrer Umgebung ein. Die vSphere-Zertifikatinfrastruktur erfordert einen genauen Zeitstempel und funktioniert nicht ordnungsgemäß, wenn die Knoten nicht synchronisiert sind.
Weitere Informationen hierzu finden Sie unter Synchronisieren der Systemuhren im vSphere-Netzwerk.