Como recomendación de seguridad, debe proteger la consola de VMware Aria Operations y gestionar las cuentas administrativas de Secure Shell (SSH) y el acceso a la consola. Asegúrese de que el sistema se implementa con canales de transmisión segura.
Qué leer a continuación
Activando FIPS 140-2 La acreditación FIPS 140-2 confirma si una solución de cifrado cumple con un conjunto específico de requisitos diseñados para proteger el módulo criptográfico para que no se pueda descifrar, alterar o manipular de ninguna manera. Cuando el modo FIPS 140-2 está activado, toda comunicación segura hacia o desde VMware Aria Operations 8.4 y versiones posteriores utiliza protocolos o algoritmos criptográficos permitidos por los Estándares Federales para el Procesamiento de Información (FIPS) de los Estados Unidos. El modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS 140-2. Las bibliotecas relacionadas con la seguridad que se envían con VMware Aria Operations 8.4 y versiones posteriores tienen el certificado FIPS 140-2. Sin embargo, el modo FIPS 140-2 no está activado de forma predeterminada. Puede activar el modo FIPS 140-2 si existe un requisito de cumplimiento de normas de seguridad para utilizar algoritmos criptográficos con certificación FIPS con el modo FIPS activado.
Activar la protección de firewall Al activar la protección de firewall, se restringe el acceso a la red a los servicios internos de VMware Aria Operations .
Seguridad de la consola de VMware Aria Operations Después de instalar VMware Aria Operations , deberá iniciar sesión por primera vez y proteger la consola de cada nodo del clúster.
Cambio de la contraseña raíz Puede cambiar la contraseña raíz de cualquier nodo primario o de datos de VMware Aria Operations en cualquier momento mediante la consola.
Gestión de Secure Shell, cuentas administrativas y acceso a la consola Para las conexiones remotas, todos los dispositivos protegidos incluyen el protocolo Secure Shell (SSH). SSH está desactivado de forma predeterminada en el dispositivo fortalecido.
Configuración de la autenticación del cargador de arranque Para ofrecer un nivel de seguridad apropiado, configure la autenticación del cargador de arranque en los dispositivos virtuales de VMware. Si el cargador de arranque del sistema no requiere autenticación, los usuarios con acceso de consola al sistema podrían modificar la configuración de arranque del sistema o arrancar el sistema en modo de un solo usuario o de mantenimiento, lo que puede provocar la denegación de servicio o un acceso no autorizado al sistema.
Supervisión de la cantidad mínima de cuentas de usuario necesarias Debe supervisar las cuentas de usuario existentes y asegurarse de eliminar las innecesarias.
Supervisión de la cantidad mínima de grupos necesarios Debe supervisar los grupos y los miembros existentes para asegurarse de que se eliminan los grupos o los accesos a grupo innecesarios.
Restablecimiento de la contraseña de administrador deVMware Aria Operations Como práctica recomendada de seguridad, se puede restablecer la contraseña de administrador de VMware Aria Operations para las instalaciones de vApp.
Configurar NTP en VMware Aria Operations Para un abastecimiento de tiempo importante, desactive la sincronización de hora del host y utilice Network Time Protocol (Protocolo de tiempo de redes, NTP) en los dispositivos de VMware. Debe configurar un servidor NTP remoto de confianza para el proceso de sincronización de hora. El servidor NTP debe ser un servidor de hora autoritativo o, al menos, estar sincronizado con uno.
Desactivación de la respuesta de marca de tiempo TCP en Linux Utilice la respuesta de marca de hora TCP para aproximarse al tiempo activo del host remoto y como ayuda en futuros ataques. Además, algunos sistemas operativos pueden dejar huellas en la memoria en función del comportamiento de sus marcas de hora TCP.
TLS para datos en transferencia Como recomendación de seguridad, asegúrese de que el sistema se ha implementado con canales de transmisión segura.
Activar TLS en conexiones de Localhost De forma predeterminada, las conexiones de host local a la base de datos de PostgreSQL no utilizan TLS. Para activar TLS, debe generar un certificado autofirmado con OpenSSL o proporcionar su propio certificado.
Recursos de aplicación que se deben proteger Como recomendación de seguridad, asegúrese de que los recursos de aplicación estén protegidos.
Configuración de Apache
Desactivar modos de configuración Como práctica recomendada, al realizar tareas de instalación, configuración o mantenimiento en VMware Aria Operations , es posible modificar la configuración o los ajustes para solucionar problemas y depurar la instalación.
Gestión de componentes de software no esenciales Para reducir los riesgos de seguridad, elimine o configure el software no esencial desde las máquinas host de VMware Aria Operations .
Actividades adicionales de configuración segura Bloquee los puertos innecesarios en el servidor host.