VMware Security Hardening-Handbücher bieten eine aussagekräftige Anleitung zum sicheren Bereitstellen und Nutzen von VMware-Produkten. Für vSphere ist dieses Handbuch der vSphere Security Configuration Guide (Handbuch für die vSphere-Sicherheitskonfiguration, früher als Handbuch für „Hardening“ bezeichnet). Ab vSphere 8.0 Update 3 sind die Informationen aus dem vSphere Security Configuration Guide, die als Sicherheitskontrollen bezeichnet werden, in diesem Handbuch enthalten.
Sicherheitskontrollen bieten Best Practices in Bezug auf die Sicherheit für vSphere. Die Sicherheitskontrollen entsprechen nicht direkt den regulatorischen Richtlinien oder Frameworks. Verwenden Sie sie daher nicht als Mittel zur Erreichung von Konformität. Außerdem sind die Sicherheitskontrollen nicht für die Verwendung als Sicherheitscheckliste vorgesehen.
Beim Thema Sicherheit muss man immer einen Kompromiss eingehen. Bei der Umsetzung von Sicherheitskontrollen kann sich dies negativ auf Benutzerfreundlichkeit, Leistung oder andere operative Aufgaben auswirken. Berücksichtigen Sie Ihre Arbeitslasten, Nutzungsmuster, die Organisationsstruktur usw. sorgfältig, bevor Sie Sicherheitsänderungen vornehmen, unabhängig davon, ob der Hinweis von VMware oder aus anderen Branchenquellen stammt.
Wenn Ihre Organisation der Einhaltung behördlicher Auflagen unterliegt, lesen Sie https://core.vmware.com/compliance. Diese Site enthält Compliance Kits und Produktüberwachungshandbücher, die vSphere-Administratoren und regulatorische Auditoren dabei unterstützen, die virtuelle Infrastruktur für regulatorische Frameworks zu sichern und zu bestätigen, wie z. B. NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001 und mehr.
- Software, die innerhalb der virtuellen Maschine ausgeführt wird, wie z. B. das Gastbetriebssystem und Anwendungen
- Datenverkehr über Netzwerke der virtuellen Maschinen
- Sicherheit der Add-on-Produkte
Diese vSphere-Sicherheitskontrollen sind nicht als Tool für die „Konformität“ gedacht. Diese Sicherheitskontrollen unterstützen Sie bei den ersten Schritten auf dem Weg zur Konformität, stellen aber für sich allein nicht sicher, dass Ihre Bereitstellung konform ist. Weitere Informationen zur Übereinstimmung finden Sie unter Sicherheit vs. Übereinstimmung in der vSphere-Umgebung.
Wenden Sie Sicherheitskontrollen nicht wahllos auf Ihre Umgebung an. Nehmen Sie sich die Zeit, jede Einstellung zu bewerten und eine informierte Entscheidung zu treffen, ob Sie sie anwenden möchten. Als Minimum können Sie die Anweisungen in den Beurteilungsabschnitten nutzen, um die Sicherheit Ihrer Bereitstellung zu überprüfen.
Diese Sicherheitskontrollen sind eine Hilfestellung für die ersten Schritte bei der Konformitätsimplementierung in Ihrer Bereitstellung. Wenn Sie ihn zusammen mit den Richtlinien der Defense Information Systems Agency (DISA) und anderen Konformitätsrichtlinien verwenden, können Sie vSphere-Sicherheitskontrollen an den Konformitätsanforderungen der jeweiligen Richtlinie ausrichten.
Definitionen für die Begriffe der Sicherheitskontrollen
In den folgenden Abschnitten für die Sicherheitskontrollen werden die folgenden Begriffe und Definitionen verwendet.
| Begriff der Steuerung | Definition |
|---|---|
| Installationsstandardwert | Darauf wird die Steuerung in dieser Version von vSphere standardmäßig festgelegt, wenn Sie das Produkt erstmals installieren. |
| Vorgeschlagener Baseline-Wert | Eine vernünftige Empfehlung für die Konfiguration dieser Steuerung, wenn keine anderen Anleitungen vorhanden sind. Diese Empfehlungen können beispielsweise durch Richtlinien zur Einhaltung behördlicher Auflagen ersetzt werden. |
| Aktion erforderlich | Die vorgeschlagene Aktion für eine bestimmte Steuerung. Ändern: Nehmen Sie die Änderung vor. Für vSphere-externe Steuerungen, etwa Hardwareeinstellungen, wird in dieser Dokumentation immer davon ausgegangen, dass die Steuerung standardmäßig unsicher festgelegt ist, und es wird empfohlen, die Konfiguration zu ändern. Überwachung: Stellen Sie sicher, dass der Standardwert verwendet wird, der erwartete Wert vorhanden ist oder Ausnahmen an der Steuerung dokumentiert sind. Bei der Prüfung einer Steuerung, deren Standardwert der vorgeschlagene Wert ist, sind zwei Ansätze möglich. Erstens: Nur wenn die Parameter explizit festgelegt werden, können sie überwacht werden und bekannt sein. Zweitens: Alle Konfigurationsänderungen müssen im Laufe der Zeit „gepflegt und gefüttert“ werden, sodass Sie, wenn es einen sicheren Standard gibt, diese verwenden können, um eine Umgebung zu vereinfachen. In dieser Dokument findet der zweite Ansatz Anwendung. Sie können jedoch Ihren eigenen Ansatz auswählen. Nicht implementierte Steuerungen haben keine Auswirkungen auf die Sicherheit. Sie werden in dieser Dokumentation als „Überwachung“ aufgeführt, können aber entfernt werden. |
| Mögliche funktionale Auswirkungen einer Änderung des Standardwerts | Verursacht diese Änderung möglicherweise Probleme? Die meisten Sicherheitskontrollen stellen auf irgendeine Weise Kompromisse dar. Was wäre im Gegenzug erforderlich, wenn diese Steuerung geändert wird? |
| PowerCLI-Befehlsbeurteilung | Ein PowerCLI-Beispielbefehl, um zu bestimmen, wie die Steuerung festgelegt ist. |
| Beispiel für PowerCLI-Befehlsstandardisierung | Ein PowerCLI-Beispielbefehl, um die Steuerung auf die Empfehlung festzulegen. |
