Als Best Practice für die Sicherheit müssen Sie die vRealize Operations -Konsole sichern und Secure Shell (SSH), Administratorkonten und den Konsolenzugriff verwalten. Stellen Sie sicher, dass Ihr System mit sicheren Übertragungskanälen bereitgestellt wird.
Aktivieren von FIPS 140-2 Mit der FIPS 140-2-Akkreditierung wird sichergestellt, dass eine Verschlüsselungslösung bestimmte Anforderungen erfüllt, die das kryptografische Modul vor Angriffen, Änderungen oder anderen Manipulationen schützen soll. Wenn der FIPS 140-2-Modus aktiviert ist, verwendet jede sichere Kommunikation von oder zu vRealize Operations 8.4 und höher kryptografische Algorithmen oder Protokolle, die gemäß FIPS (Federal Information Processing Standards) zulässig sind. Mit dem FIPS-Modus werden die Cipher-Suites aktiviert, die mit FIPS 140-2 kompatibel sind. Im Lieferumfang von vRealize Operations 8.4 und höher enthaltene sicherheitsbezogene Bibliotheken sind FIPS 140-2-zertifiziert. Der FIPS 140-2-Modus ist standardmäßig jedoch nicht aktiviert. Der FIPS 140-2-Modus kann aktiviert werden, wenn aufgrund von Sicherheitsanforderungen FIPS-zertifizierte kryptografische Algorithmen mit aktiviertem FIPS-Modus verwendet werden müssen.
Sichern der vRealize Operations-Konsole Nachdem Sie vRealize Operations installiert haben, müssen Sie sich zum ersten Mal anmelden und die Konsole jedes Knotens im Cluster sichern.
Ändern des Root-Kennworts Sie können das Root-Kennwort jederzeit für alle vRealize Operations -Primär- oder Datenknoten über die Konsole ändern.
Verwalten von Secure Shell, Administratorkonten und Konsolenzugriff Für Remote-Verbindungen umfassen alle abgehärteten Appliances das Secure Shell-Protokoll (SSH). SSH ist auf der abgehärteten Appliance standardmäßig deaktiviert.
Boot Loader-Authentifizierung festlegen Um einen angemessenen Grad an Sicherheit bereitzustellen, konfigurieren Sie die Boot Loader-Authentifizierung auf Ihren virtuellen VMware-Appliances. Wenn der Boot Loader des Systems keine Authentifizierung erfordert, könnten Benutzer mit Konsolenzugriff auf das System die Boot-Konfiguration des Systems ändern oder das System im Einzelnutzer- oder Wartungsmodus starten, was zu Denial-of-Service oder nicht autorisiertem Systemzugriff führen kann.
Minimal erforderliche Benutzerkonten überwachen Sie müssen vorhandene Benutzerkonten überwachen und scherstellen, dass alle unnötigen Benutzerkonten entfernt werden.
Minimal erforderliche Gruppen überwachen Sie müssen vorhandene Gruppen und Mitglieder überwachen, um sicherzustellen, dass alle unnötigen Gruppen oder Gruppenzugriffe entfernt werden.
Zurücksetzen des vRealize Operations Manager-Administratorkennworts Als empfehlenswerte Sicherheitspraxis können Sie das vRealize Operations -Administratorkennwort für vApp-Installationen zurücksetzen.
NTP für VMware Appliances konfigurieren Deaktivieren Sie für kritisches Time-Sourcing die Host-Zeitsynchronisierung und verwenden Sie das Network Time Protocol (NTP) für VMware Appliances. Sie müssen einen vertrauenswürdigen NTP-Remoteserver für die Zeitsynchronisierung konfigurieren. Der NTP-Server muss ein autoritativer Zeitserver sein, oder er muss mindestens mit einem autoritativen Zeitserver synchronisiert sein.
TCP Zeitstempel-Response auf Linux deaktivieren Die TCP Zeitstempel-Response wird verwendet, um die Betriebszeit des Remote-Host zu schätzen und weitere Angriffe zu unterstützen. Darüber hinaus können basierend auf dem Verhalten der TCP Zeitstempel bei einigen Betriebssystemen Fingerprints erstellt werden.
TLS für Daten während der Übertragung Als Best Practice für die Sicherheit müssen Sie sicherstellen, dass das System mit sicheren Übertragungskanälen bereitgestellt wird.
Aktivieren von TLS für Localhost-Verbindungen Standardmäßig wird TLS bei Localhost-Verbindungen zur PostgreSQL-Datenbank nicht verwendet. Um TLS zu aktivieren, müssen Sie entweder ein selbstsigniertes Zertifikat mit OpenSSL generieren oder ein eigenes Zertifikat angeben.
Anwendungsressourcen, die geschützt werden müssen Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.
Apache-Konfiguration
Konfigurationsmodi deaktivieren Wenn Sie vRealize Operations installieren, konfigurieren oder warten, können Sie die Konfiguration oder Einstellungen als Best Practice so ändern, dass Fehlerbehebung und Debugging Ihrer Installation ermöglicht werden.
Verwalten unwichtiger Softwarekomponenten Um Sicherheitsrisiken zu minimieren, entfernen Sie unwichtige Software von Ihren vRealize Operations Manager -Host-Maschinen oder konfigurieren Sie diese.
Zusätzliche Aktivitäten für eine sichere Konfiguration Blockieren Sie nicht benötigte Ports auf Ihrem Hostserver.