Als Administrator der virtuellen Infrastruktur Ihres Unternehmens müssen Sie sicherstellen, dass die vSphere 6.0-Objekte im Einklang mit den Übereinstimmungsregeln im vSphere-Hardening-Handbuch stehen. Mithilfe der Übereinstimmungswarnungen in vRealize Operations Manager überwachen Sie die Objekte im Hinblick auf Verstöße gegen die Übereinstimmungsstandards. Wenn eine Übereinstimmungsregel auf den vCenter Server-Instanzen, den Hosts, den virtuellen Maschinen, den verteilten Portgruppen oder den Distributed Switches ausgelöst wird, untersuchen Sie den Verstoß gegen den Übereinstimmungsstandard. Sie müssen den Verstoß beheben, damit das betroffene Objekt weiterhin die Sicherheitsstandards der Branche erfüllt.

Vorbereitungen

Überprüfen Sie, ob die aktuelle Version von vRealize Operations Manager installiert ist und ausgeführt wird.

Warum und wann dieser Vorgang ausgeführt wird

Sie verwalten und überwachen die Sicherheit der Produktions-, Test- und Entwicklungsumgebungen. Die Objekte bestehen aus mehreren vCenter Server-Instanzen mit Hosts, virtuellen Maschinen, verteilten Portgruppen und Distributed Switches in jeder Instanz.

Ihr CIO bittet Sie, SSH auf allen vCenter Server-Instanzen und Hostmaschinen in den Produktions- und Testumgebungen auszuführen. Sie überwachen alle Hosts, um sicherzustellen, dass Sie die SSH-Anforderung erfüllen. Sie erstellen einen wöchentlichen Übereinstimmungsbericht, um Ihrem Manager und dem Übereinstimmungsteam zu belegen, dass die Objekte die implementierten Sicherheitsstandards erfüllen.

Um die Übereinstimmung der vSphere 6.0-Objekte durchzusetzen und Berichte zu den Objekten zu erstellen, aktivieren Sie die Übereinstimmungsregeln im vSphere-Hardening-Handbuch. Anschließend aktivieren Sie die entsprechenden Warnungen und wenden dann ein Risikoprofil auf die virtuellen Maschinen an. Nachdem vRealize Operations Manager die Übereinstimmungsdaten von den Objekten erfasst hat, beheben Sie alle aufgetretenen Regelverstöße und erstellen dann einen Bericht mit den Übereinstimmungsergebnissen für Ihren Manager und das Übereinstimmungsteam.

Die mit vRealize Operations Manager zur Verfügung gestellten Warnungsdefinitionen basieren auf Objekttypen anstelle der spezifischen Versionen der Hardening-Handbücher. Um diese Warnungen zu nutzen, ist es nicht mehr erforderlich, eine benutzerdefinierte Gruppe zu erstellen und die Richtlinie auf die Gruppe anzuwenden.

Einige Warnungsdefinitionen sind vSphere 6.0- und vSphere 5.5-Objekten gemeinsam. vRealize Operations Manager überprüft vSphere 6.0-Objekte auf 6.0-Symptome, 5.5-Objekte auf 5.5-Symptome und beide Versionen von Objekten auf eine Kombination aus 6.0- und 5.5-Symptomen.

Prozedur

  1. In vRealize Operations Manager aktivieren Sie die Übereinstimmungsregeln.
    1. Klicken Sie auf Administration und anschließend auf Lösungen.
    2. Klicken Sie auf die VMware vSphere-Lösung und dann auf Konfigurieren.
    3. Klicken Sie im Dialogfeld zum Verwalten der Lösung auf Überwachungsziele definieren.
    4. Klicken Sie unter Warnungen aus dem vSphere Hardening-Handbuch aktivieren auf Ja und anschließend auf Speichern.
    5. Wenn vRealize Operations Manager meldet, dass die Standardrichtlinie zum Erfassen der Übereinstimmungsdaten der Objekte konfiguriert wurde, klicken Sie auf OK und dann auf Schließen.
  2. Aktivieren Sie die Übereinstimmungswarnungsdefinitionen in der Standardrichtlinie.
    1. Klicken Sie auf Richtlinien > Richtlinien-Bibliothek.
    2. Klicken Sie auf die Standardrichtlinie und dann auf Ausgewählte Richtlinie bearbeiten.
    3. Klicken Sie links im Arbeitsbereich „Überwachungsrichtlinie bearbeiten“ auf Warnungs-/Symptomdefinitionen.
    4. Geben Sie im Filtertextfeld im Fensterbereich „Warnungsdefinitionen“ Folgendes ein: hardening.

      Mehrere Warnungsdefinitionen werden angezeigt, die Sie zur Durchsetzung der Übereinstimmung für die Objekte verwenden können. Jede Warnung zeigt die Anzahl der Symptome an sowie den Objekttyp, für den die Warnung gilt. Es werden Warnungsdefinitionen für die Risikoprofile 1, 2 und 3 angezeigt, mit denen Sie hohe, mittlere oder niedrige Sicherheit auf den virtuellen Maschinen gewährleisten.

    5. Klicken Sie auf die Warnung mit der Bezeichnung vCenter verstößt gegen die Vorgaben des vSphere-Hardening-Handbuchs.
    6. Klicken Sie in der Statusspalte auf den Pfeil nach unten und wählen Sie Lokal aus.
    7. Um Übereinstimmungswarnungen für die virtuellen Maschinen, die verteilten Portgruppen und die Distributed Switches zu aktivieren, aktivieren Sie die übrigen Warnungsdefinitionen und klicken Sie auf Speichern.
  3. Zeigen Sie den Symptomsatz in der Warnungsdefinition für den ESXi-Host an.
    1. Klicken Sie auf Inhalt > Warnungsdefinitionen.
    2. Geben Sie in das Filtertextfeld den Begriff hardening ein.
    3. Klicken Sie auf die Warnung mit der Bezeichnung vCenter verstößt gegen die Vorgaben des vSphere-Hardening-Handbuchs.
    4. Suchen Sie im unteren Fensterbereich nach der Auswirkung der Warnung, der Priorität und dem Symptomsatz.
    5. Gehen Sie den Symptomsatz durch und untersuchen Sie die Symptome, die eine Warnung für den Host auslösen können.
    6. Untersuchen Sie unterhalb des Symptomsatzes die Empfehlung zur Behebung des Problems, wenn diese Warnung auf dem Host ausgelöst wird.
    7. Klicken Sie auf den Link zum VMware vSphere-Hardening-Handbuch.

      Die daraufhin geöffneten Webseite enthält eine Liste der VMware vSphere Security Hardening-Handbücher unter http://www.vmware.com/security/hardening-guides.html.

  4. Konzentrieren Sie sich auf die Warnungen für den Host in Ihrer vCenter Server-Produktionsinstanz.
    1. Klicken Sie im Navigationsbereich auf Home und anschließend auf die Registerkarte Empfehlungen.

      Übereinstimmungsverstöße

    2. Im Bereich mit den wichtigen Risikowarnungen für abgeleitete Elemente sehen Sie, dass die folgenden Warnungen ausgelöst wurden.

      Ausgelöste Übereinstimmungswarnung

      Beheben der Warnung

      Virtuelle Maschine verstößt gegen Risikoprofil 1 im vSphere Hardening-Handbuch

      Um die Warnung auf 12 virtuellen Maschinen zu beheben, klicken Sie auf den Link zum vSphere-Hardening-Handbuch.

      ESXi-Host verstößt gegen die Vorgaben des Hardening-Handbuchs für vSphere

      Um die Warnung auf 6 Hosts zu beheben, klicken Sie auf den Link zum vSphere-Hardening-Handbuch.

    3. Klicken Sie auf den Link in der Übereinstimmungswarnung mit dem Namen ESXi-Host verstößt gegen die Vorgaben des Hardening-Handbuchs für vSphere.
    4. Prüfen Sie das Dialogfeld „Risiken“. In diesem Dialogfeld werden die Hosts angezeigt, die gegen die Regeln im vSphere-Hardening-Handbuch verstoßen haben.

      Details zu Übereinstimmungswarnungen – Risiken

    5. Klicken Sie für den ersten angezeigten Host auf Details anzeigen und untersuchen Sie die Verstöße auf der Registerkarte „Übersicht“.
    6. Untersuchen Sie die mehrfachen Übereinstimmungsverstöße auf dem Host, einschließlich SSH-Verstöße. Aus der Beschreibung der SSH-Regelverstöße erfahren Sie, dass die Regel für vSphere 6.0- und 5.5-Objekte gilt.

      Details zu Übereinstimmungswarnungen – Übersicht

  5. Um zu ermitteln, wann das Symptom für die SSH-Dienste die Übereinstimmungswarnung ausgelöst hat, klicken Sie auf den Pfeil nach unten neben dem Verstoßsymptom. Beheben Sie die Warnung anschließend mithilfe des vSphere-Hardening-Handbuchs.
  6. Erstellen Sie einen Bericht für das Übereinstimmungsteam.
    1. Klicken Sie im Navigationsbereich auf der linken Seite auf das Hostobjekt.
    2. Klicken Sie auf die Registerkarte Berichte.
    3. Geben Sie in das Filtertextfeld den Begriff hardening ein.

      Der Bericht VMware vSphereHardening-Handbuch - Bericht über Nicht-Konformität wird angezeigt.

    4. Klicken Sie auf der Registerkarte „Berichtsvorlagen“ auf Vorlage ausführen und warten Sie, bis vRealize Operations Manager den Bericht erstellt hat.
    5. Klicken Sie auf Generierte Berichte.

      Der Bericht wird angezeigt und kann als PDF- und CSV-Version heruntergeladen werden.

    6. Klicken Sie in der Spalte „Download“ auf das Symbol PDF und sehen Sie sich den Inhalt des Berichts an.

      Der Nichtübereinstimmungsbericht wird für den betreffenden Host angezeigt. Er enthält das Datum und die Uhrzeit der Berichtausführung. Außerdem sind Sie als der Benutzer angegeben, der den Bericht ausgeführt hat. Im Bericht sind die Nichtübereinstimmungsregeln aufgeführt, die für die Objekte und die Nachfolgerobjekte ausgeführt wurden. Im Bericht sind die Priorität und der Status der Warnung, der Objektname und der Typ, für den die Warnung ausgelöst wurde, angegeben.

    7. Klicken Sie in der Spalte „Download“ auf das Symbol CSV und sehen Sie sich den Inhalt der Tabelle an.

      Die Tabelle enthält eine Übersicht über die Ergebnisse und ermöglicht Ihnen den Import der Daten in eine andere Anwendung.

Ergebnisse

Sie haben nun sichergestellt, dass die Übereinstimmungsregeln für die Objekte in den vCenter Server-Instanzen gemäß dem VMware vSphere-Hardening-Handbuch durchgesetzt werden.

Nächste Maßnahme

Um die Übereinstimmungswarnungsdefinitionen für die übrigen Objekte zu untersuchen, klicken Sie auf Inhalt > Warnungsdefinitionen.