Diese Sicherheitskontrollen stellen einen grundlegenden Satz bewährter Methoden für die vCenter Server-Sicherheit bereit. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden. Zum Vornehmen von Änderungen können Sie je nach Steuerung vSphere Client, PowerCLI oder die vCenter Server-Verwaltungsschnittstelle verwenden.
Verwendete PowerCLI und Variablen
Für einige der hier verwendeten PowerCLI-Beispiele muss das Modul „VMware.vSphere.SsoAdmin“ installiert werden.
Die in diesem Abschnitt aufgeführten PowerCLI-Befehle verwenden folgende Variablen:
- $VC="vcenter_server_name"
- $VDS="vsphere_distributed_switch_name"
- $VDPG="vsphere_distributed_port_group"
Festlegen der Zeitüberschreitung bei Inaktivität von vSphere Client
vCenter Server muss vSphere Client-Sitzungen nach 15 Minuten Inaktivität beenden.
Im Leerlauf befindliche vSphere Client-Sitzungen können unbegrenzt geöffnet bleiben, wenn ein Benutzer vergisst, sich abzumelden. Dadurch wird das Risiko eines nicht autorisierten privilegierten Zugriffs erhöht.
Festlegen des Intervalls für fehlgeschlagene Anmeldeversuche
vCenter Server muss das Intervall für die Erfassung fehlgeschlagener Anmeldeversuche auf mindestens 15 Minuten festlegen.
Durch die Begrenzung der Anzahl an fehlgeschlagenen Anmeldeversuchen wird das Risiko eines Brute-Force-Angriffs reduziert, bei dem es durch Erraten von Benutzerkennwörtern zu unbefugten Zugriffen kommt.
Konfigurieren der maximalen Versuche der vSphere-SSO-Sperrrichtlinie
vCenter Server muss nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche ein Konto sperren.
Wiederholte fehlgeschlagene Anmeldungen für ein Konto können Sicherheitsprobleme signalisieren. Sperren Sie zum Begrenzen von Brute-Force-Versuchen das Konto nach einem bestimmten Schwellenwert, um den Ausgleich zwischen der Vermeidung automatischer Verbindungsversuche und potenziellen Denial-of-Service-Angriffen zu erreichen.
Konfigurieren der Entsperrzeit der vSphere-SSO-Sperrrichtlinie
vCenter Server muss Konten nach einem bestimmten Zeitraum entsperren.
Wiederholte fehlgeschlagene Anmeldungen können auf Sicherheitsbedrohungen hinweisen. vCenter Server-Konten sollten nicht automatisch entsperrt werden, wenn sie aufgrund mehrerer fehlgeschlagener Anmeldungen gesperrt wurden. Stellen Sie sicher, dass Sie über Ihre [email protected] verfügen und dass sie gültig sind.
- Werte
- Installationsstandardwert: 300
- Empfohlene Aktion
- Ändern Sie den Standardwert der Installation.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Wenn Konten nicht automatisch entsperrt werden, kann es zum Denial-of-Service kommen.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
- Festlegen des Standorts in vSphere Client
Erzwingen der Kennwortkomplexität
vCenter Server muss Kennwortkomplexität erzwingen.
Moderne Best Practices für Kennwörter (siehe u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.
Regeln für die Kennwortstärke und -komplexität gelten für Konten, die in vSphere SSO erstellt wurden, einschließlich [email protected] (oder administrator@mydomain, wenn Sie bei der Installation eine andere Domäne angegeben haben). Diese Regeln gelten nicht für Active Directory-Benutzer, wenn vCenter Server einer Domäne beigetreten ist, da AD diese Kennwortrichtlinien erzwingt.
- Werte
-
Standardwert der Installation:
Maximale Länge: 20
Minimale Länge: 8
Mindestens 1 Sonderzeichen
Mindestens 2 Buchstaben
Mindestens 1 Großbuchstabe
Mindestens 1 Kleinbuchstabe
Mindestens 1 Zahl
3 identische Nachbarn
- Empfohlene Aktion
- Ändern Sie die Installationsstandardwerte.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Von anderen Produkte und Diensten im VMware-Ökosystem wird möglicherweise nicht erwartet, dass sich die Anforderungen an die Kennwortkomplexität ändern, und die Installation könnte fehlschlagen.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
- Festlegen des Standorts in vSphere Client
Konfigurieren der maximalen Anzahl an Tagen zwischen Kennwortänderungen
vCenter Server muss mit einem angemessenen maximalen Kennwortalter konfiguriert werden.
Moderne Best Practices für Kennwörter (siehe u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.
Einschränken der Kennwortwiederverwendung
Konfigurieren Sie die Einstellung für den Kennwortverlauf, um die Wiederverwendung von Kennwörtern auf vCenter Server einzuschränken.
Richtlinien zur Kennwortkomplexität führen manchmal dazu, dass Benutzer ältere Kennwörter wiederverwenden. Das Konfigurieren der Einstellung für den Kennwortverlauf auf vCenter Server kann dazu beitragen, diese Situation zu verhindern.
Konfigurieren des Texts des Anmelde-Banners für den Zugriff über SSH
Konfigurieren Sie den vCenter Server-Text des Anmelde-Banners für den Zugriff über SSH.
vCenter Server ermöglicht eine Anmeldenachricht, die Eindringlinge abschreckt und autorisierten Benutzern Verpflichtungen vermittelt. Diese Konfiguration legt den Text fest, der angezeigt wird, wenn ein Client eine Verbindung über SSH herstellt. Der Standardtext gibt Angreifern Informationen über die Systemkonfiguration preis und sollte geändert werden.
- Werte
-
Installationsstandardwert: VMware vCenter Server-Version
Typ: vCenter Server mit einem eingebetteten Platform Services Controller
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Festlegen des Aufgaben- und Aufbewahrungsintervalls
Für vCenter Server muss die Aufgaben- und Ereignisaufbewahrung auf ein geeignetes Intervall festgelegt sein.
vCenter Server behält Aufgaben- und Ereignisdaten bei, bis sie auslaufen, wodurch Speicherplatz gespart wird. Das Alter ist konfigurierbar. Dies wirkt sich nur auf die lokale Speicherung von Ereignisdaten auf der vCenter Server-Appliance aus.
Aktivieren der Remoteprotokollierung
Aktivieren Sie die Remoteprotokollierung von vCenter Server-Ereignissen.
Die Remoteprotokollierung auf einem zentralen Host erhöht die Sicherheit von vCenter Server, indem Protokolle sicher gespeichert werden. Die Remoteprotokollierung vereinfacht die Hostüberwachung und unterstützt aggregierte Analysen zur Erkennung koordinierter Angriffe. Die zentralisierte Protokollierung verhindert Manipulationen und dient als zuverlässiger langfristiger Überwachungsdatensatz. Mit der Einstellung vpxd.event.syslog.enabled wird die Remoteprotokollierung aktiviert.
FIPS aktivieren
vCenter Server muss die FIPS-validierte Kryptografie aktivieren.
Die FIPS-Kryptografie nimmt eine Reihe von Änderungen am System vor, um schwächere Verschlüsselungen zu entfernen. Die Aktivierung von FIPS führt dazu, dass vCenter Server neu gestartet wird.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Die FIPS-Kryptografie nimmt eine Reihe von Änderungen am System vor, um schwächere Verschlüsselungen zu entfernen. Die Aktivierung von FIPS führt dazu, dass vCenter Server neu gestartet wird.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
- Festlegen des Standorts in vSphere Client
- Weitere Informationen hierzu finden Sie unter Aktivieren und Deaktivieren von FIPS auf der vCenter Server Appliance.
Konfigurieren von Überwachungsdatensätzen
vCenter Server muss Überwachungsdatensätze erstellen, die Informationen enthalten, um festzustellen, welche Art von Ereignissen aufgetreten ist.
Es ist wichtig, sicherzustellen, dass genügend Informationen in Überwachungsprotokollen für Diagnose- und Diagnosezwecke vorhanden sind. Mit der Einstellung config.log.level werden Überwachungsdatensätze konfiguriert.
Deaktivieren des MAC-Lernvorgangs
Alle Distributed Switch-Portgruppen müssen den MAC-Lernvorgang deaktivieren, sofern die Verwendung nicht absichtlich erfolgt.
Der MAC-Lernvorgang ermöglicht es einem Distributed Switch, Netzwerkkonnektivität für Systeme bereitzustellen, bei denen mehr als eine MAC-Adresse auf einer vNIC verwendet wird. Dies kann in speziellen Fällen nützlich sein, etwa bei verschachtelter Virtualisierung (z. B. bei der Ausführung von ESXi in ESXi). MAC Learning unterstützt auch unbekanntes Unicast Flooding. Wenn ein Paket, das von einem Port empfangen wird, eine unbekannte MAC-Zieladresse aufweist, wird das Paket normalerweise verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn der MAC-Lernvorgang aktiviert ist. Deaktivieren Sie den MAC-Lernvorgang, es sei denn, er wird absichtlich für eine bekannte Arbeitslast verwendet, die dies erfordert.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und sind von den Standardwerten und dem gewünschten Zustand negativ betroffen.
- PowerCLI-Befehlsbeurteilung
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Konfigurieren der Details des Anmeldenachrichten-Banners
Konfigurieren Sie die Details des vCenter Server-Anmelde-Banners für vSphere Client.
vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Diese Konfiguration legt den detaillierten Text aus der Nachricht der vSphere Client-Anmeldeseite fest.
- PowerCLI-Befehlsbeurteilung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
Aktivieren des Anmelde-Banners
Aktivieren Sie das vCenter Server-Anmelde-Banner für vSphere Client.
vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Diese Konfiguration aktiviert die Anzeige der Nachricht auf der Anmeldeseite des vSphere Client.
- PowerCLI-Befehlsbeurteilung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
Konfigurieren des Texts des Anmelde-Banners
Konfigurieren Sie den vCenter Server-Text des Anmelde-Banners für vSphere Client.
vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Mit dieser Konfiguration wird der Text festgelegt, der auf der Anmeldeseite von vSphere Client angezeigt wird.
- PowerCLI-Befehlsbeurteilung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
Separate Authentifizierung und Autorisierung für Administratoren
vCenter Server muss die Authentifizierung und Autorisierung für Administratoren trennen.
Die Kombination aus Authentifizierung und Autorisierung, wie dies bei Diensten wie Active Directory der Fall ist, birgt im Falle von Kompromittierungen das Risiko von Infrastrukturverstößen. Stellen Sie daher für vCenter Server sicher, dass Sie Authentifizierung und Autorisierung für Administratoren trennen. Erwägen Sie nach Möglichkeit die Verwendung von lokalen SSO-Gruppen für die Autorisierung, um Risiken besser zu verwalten.
Festlegen der Richtlinie für gefälschte Übertragungen auf „Ablehnen“
Legen Sie alle Distributed Switches und deren Portgruppen so fest, dass gefälschte Übertragungen abgelehnt werden.
Eine virtuelle Maschine kann die Identität von Netzwerkadaptern annehmen, indem sie MAC-Adressen ändert, was Sicherheitsbedrohungen darstellt. Indem die Option „Gefälschte Übertragungen“ auf allen Distributed Switches und Portgruppen auf „Ablehnen“ festgelegt wird, überprüft ESXi MAC-Adressen und verhindert einen solchen Identitätswechsel.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und sind standardmäßig negativ betroffen.
- PowerCLI-Befehlsbeurteilung
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Festlegen der Richtlinie „MAC-Adressänderungen“ auf „Ablehnen“
Legen Sie die Richtlinie „MAC-Adressänderungen“ auf dem vSphere Standard-Switch und den dazu gehörigen Portgruppen auf „Ablehnen“ fest.
Das Zulassen, dass virtuelle Maschinen MAC-Adressen ändern, stellt Sicherheitsrisiken dar und ermöglicht eine mögliche Imitation von Netzwerkadaptern. Die Ablehnung von MAC-Änderungen auf allen Distributed Switches und Portgruppen verhindert dies, kann sich jedoch auf bestimmte Anwendungen wie Microsoft Clustering oder die von der MAC-Adresse abhängige Lizenzierung auswirken. Nehmen Sie bei Bedarf Ausnahmen von dieser Sicherheitsleitlinie vor.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und werden durch die Einstellung „Ablehnen“ negativ beeinflusst.
- PowerCLI-Befehlsbeurteilung
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Festlegen der Richtlinie „Promiskuitiver Modus“ auf „Ablehnen“
Legen Sie die Richtlinie „Promiskuitiver Modus“ auf dem vSphere Standard-Switch und dessen Portgruppen auf „Ablehnen“ fest.
Durch die Aktivierung des promiskuitiven Modus für eine Portgruppe können alle verbundenen virtuellen Maschinen alle Netzwerkpakete lesen, was ein potenzielles Sicherheitsrisiko darstellt. Obwohl das Zulassen des promiskuitiven Modus manchmal für das Debugging oder die Überwachung erforderlich ist, wird die Standardeinstellung „Ablehnen“ empfohlen. Nehmen Sie nach Bedarf Ausnahmen für bestimmte Portgruppen vor.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und werden durch die Einstellung „Ablehnen“ negativ beeinflusst.
- PowerCLI-Befehlsbeurteilung
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Zurücksetzen von Portkonfigurationen beim Trennen von virtuellen Maschinen
vCenter Server muss die Portkonfiguration zurücksetzen, wenn virtuelle Maschinen getrennt werden.
Wenn eine virtuelle Maschine vom virtuellen Switch-Port getrennt wird, ist es wünschenswert, sollte die Portkonfiguration zurückgesetzt werden, damit eine andere virtuelle Maschine, die angehängt wird, über einen Port in einem bekannten Zustand verfügt.
- PowerCLI-Befehlsbeurteilung
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.PortConfigResetAtDisconnect = $true $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Deaktivieren von Cisco Discovery Protocol oder Link Layer Discovery Protocol
Deaktivieren Sie die Teilnahme am Cisco Discovery Protocol (CDP) oder LLDP (Link Layer Discovery Protocol) auf Distributed Switches, sofern nicht absichtlich verwendet.
Der vSphere Distributed Virtual Switch kann CDP oder LLDP einbinden und potenziell vertrauliche unverschlüsselte Informationen wie IP-Adressen und Systemnamen im Netzwerk teilen. So können CDP und LLDP Angreifern dabei helfen, Ihre Umgebung zu verstehen oder zu imitieren. CDP und LLDP sind jedoch auch äußerst hilfreich für legitime Anwendungsfälle. Deaktivieren Sie CDP und LLDP, es sei denn, dies ist für die Fehlerbehebung oder Konfigurationsvalidierung erforderlich.
- PowerCLI-Befehlsbeurteilung
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VDview = Get-VDSwitch -Name $VDS | Get-View $ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec $ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig $ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp' $ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none' $ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion $VDview.ReconfigureDvs_Task($ConfigSpec)
Sicherstellen des NetFlow-Datenverkehrempfangs durch autorisierte Collectors
vCenter Server muss sicherstellen, dass NetFlow-Datenverkehr an autorisierte Collectors gesendet wird.
Die vSphere Distributed Switch kann unverschlüsselte NetFlow-Daten exportieren und Details zu virtuellen Netzwerken und Datenverkehrsmustern anzeigen. Stellen Sie sicher, dass die NetFlow-Nutzung autorisiert und ordnungsgemäß konfiguriert ist, um Datenlecks zu verhindern.
- PowerCLI-Befehlsbeurteilung
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress (Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy $ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false $ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Konfigurieren der Portsicherheit für virtuelle Maschinen
Der vCenter Server darf die Portgruppeneinstellungen auf Portebene auf Distributed Switches nicht außer zum Blockieren von Ports außer Kraft setzen.
Für die Einrichtung eindeutiger virtueller Maschinen sind möglicherweise Außerkraftsetzungen der Konfiguration auf Portebene erforderlich. Achten Sie jedoch darauf, diese zu überwachen, um eine nicht autorisierte Verwendung zu verhindern. Nicht überwachte Außerkraftsetzungen können einen breiteren Zugriff ermöglichen, wenn eine weniger sichere Distributed Switch-Konfiguration ausgenutzt wird.
- Werte
-
Standardwert der Installation:
Außerkraftsetzung von „Ports blockieren“: TRUE
Alle anderen Außerkraftsetzungen: FALSE
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false $ConfigSpec.Policy.BlockOverrideAllowed = $true $ConfigSpec.Policy.LivePortMovingAllowed = $false $ConfigSpec.Policy.VlanOverrideAllowed = $false $ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false $ConfigSpec.Policy.VendorConfigOverrideAllowed = $false $ConfigSpec.Policy.ShapingOverrideAllowed = $false $ConfigSpec.Policy.IpfixOverrideAllowed = $false $ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Entfernen des Port-Mirroring
vCenter Server muss nicht autorisierte Port-Mirroring-Sitzungen auf Distributed Switches entfernen.
Der vSphere Distributed Switch kann den Datenverkehr zwischen Ports spiegeln, wodurch die Datenverkehrsbeobachtung aktiviert wird. Zur Aufrechterhaltung der Sicherheit müssen alle nicht autorisierten Port-Mirroring-Sitzungen auf Distributed Switches entfernt werden.
Einschränken von Virtual Guest Tagging
vCenter Server muss die Verwendung von Virtual Guest Tagging (VGT) auf Distributed Switches einschränken.
Wenn Sie eine Portgruppe auf VLAN 4095 festlegen, wird Virtual Guest Tagging (VGT) ermöglicht, sodass die virtuelle Maschine VLAN-Tags verarbeiten muss. Aktivieren Sie VGT nur für die virtuellen Maschinen, die zur Verwaltung von VLAN-Tags autorisiert und ausgestattet sind. Eine unangemessene Verwendung kann zu Denial-of-Service-Szenarien oder nicht autorisierten VLAN-Datenverkehrsinteraktionen führen.
- PowerCLI-Befehlsbeurteilung
-
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Prüfung auf VMware-Wartung in der vCenter Server-Version
Stellen Sie sicher, dass die vCenter Server-Version nicht den VMware-Status „Ende des allgemeinen Supports“ erreicht hat.
Einschränken des Zugriffs auf SSH
Der vCenter Server-SSH-Dienst muss deaktiviert werden.
vCenter Server Appliance wird als Appliance bereitgestellt und ist für die Verwaltung über die vCenter Server-Verwaltungsschnittstelle, vSphere Client und die APIs vorgesehen. SSH ist ein Fehlerbehebungs- und Support-Tool, das nur bei Bedarf aktiviert werden sollte. vCenter Server High Availability verwendet SSH, um die Replizierung und das Failover zwischen den Knoten zu koordinieren. Die Verwendung dieser Funktion erfordert, dass SSH aktiviert bleibt.
- PowerCLI-Befehlsbeurteilung
-
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
Überprüfen des Ablaufs des Root-Benutzerkennworts
Der Kennwortablauf des vCenter Server-Root-Kontos muss entsprechend konfiguriert werden.
Moderne Best Practices für Kennwörter (u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Wenn das Kennwort vor seinem Ablauf nicht zurückgesetzt werden kann, sind Wiederherstellungsverfahren erforderlich.
- PowerCLI-Befehlsbeurteilung
-
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
Konfigurieren der dateibasierten Sicherung und Wiederherstellung
Konfigurieren Sie die dateibasierte Sicherung und Wiederherstellung, sodass Sie Ihre vCenter Server Appliance und deren Konfiguration mithilfe des Installationsprogramms für vCenter Server wiederherstellen können. Die Sicherung und Wiederherstellung ist ein wichtiger Bestandteil beim Schützen Ihrer Umgebung.
Konfigurieren der Firewall, sodass nur Datenverkehr von autorisierten Netzwerken zugelassen wird
vCenter Server Appliance muss die Firewall so konfigurieren, dass nur Datenverkehr von autorisierten Netzwerken zugelassen wird.
Stellen Sie sicher, dass der gesamte eingehende und ausgehende Netzwerkdatenverkehr blockiert wird, sofern nicht explizit zugelassen, wodurch die Angriffsfläche reduziert und nicht autorisierter Zugriff auf das System verhindert wird. Ausgehender (Egress-)Datenverkehr wird weder blockiert noch sind verwandte oder hergestellte Verbindungen vorhanden, sodass vCenter Server Appliance weiterhin mit Systemen kommunizieren kann, auf denen die Verbindung initiiert wird. Verwenden Sie Perimeter-Firewalls, um diese Verbindungstypen zu drosseln.
Konfigurieren des Remoteprotokollservers
Konfigurieren Sie einen Remoteprotokollserver für vCenter Server.
Die Remoteprotokollierung auf einem zentralen Host erhöht die Sicherheit von vCenter Server, indem Protokolle sicher gespeichert werden. Die Remoteprotokollierung vereinfacht die Hostüberwachung und unterstützt aggregierte Analysen zur Erkennung koordinierter Angriffe. Die zentralisierte Protokollierung verhindert Manipulationen und dient als zuverlässiger langfristiger Überwachungsdatensatz.
Konfigurieren der Uhrzeitsynchronisierung
vCenter Server muss über zuverlässige Zeitsynchronisierungsquellen verfügen.
Kryptografie, Überwachungsprotokollierung, Clustervorgänge sowie Reaktion auf Vorfälle und Forensik sind stark von der synchronisierten Uhrzeit abhängig. Für NTP (Network Time Protocol) müssen mindestens vier Quellen verfügbar sein. Wenn Sie sich zwischen zwei Quellen oder einer Quelle entscheiden müssen, sollten Sie eine Quelle vorziehen.
- PowerCLI-Befehlsbeurteilung
-
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
Installieren von Software-Updates
Stellen Sie sicher, dass in vCenter Server alle Software-Updates installiert sind.
Indem vCenter Server-Patches auf dem neuesten Stand gehalten werden, können Schwachstellen verringert werden. Angreifer können bekannte Schwachstellen ausnutzen, wenn sie versuchen, nicht autorisierten Zugriff zu erlangen oder Rechte zu erhöhen.
Aktualisieren Sie beim Anwenden von Updates zuerst vCenter Server, wenn ein Update verfügbar ist, und fahren Sie dann mit der Aktualisierung von ESXi fort. Diese Reihenfolge stellt sicher, dass die Verwaltungsebene aktualisiert wird, bevor die ESXi-Hosts aktualisiert werden.
Rotieren des vpxuser-Kennworts
vCenter Server muss das vpxuser-Kennwort so konfigurieren, dass es in einem geeigneten Intervall rotiert wird.
Mit der Einstellung VirtualCenter.VimPasswordExpirationInDays wird der Rotationszeitraum konfiguriert. Stellen Sie sicher, dass vCenter Server das Kennwort, das automatisch auf den ESXi-Hosts festgelegt wird, ordnungsgemäß rotiert.
- PowerCLI-Befehlsbeurteilung
-
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays