El funcionamiento seguro de VMware Cloud Director requiere un entorno de red protegido. Configure y pruebe dicho entorno de red antes de iniciar la instalación de VMware Cloud Director.
Conecte todos los servidores de VMware Cloud Director a una red que esté protegida y supervisada.
Para obtener información sobre los protocolos y los puertos de red que utiliza VMware Cloud Director, consulte Puertos y protocolos de VMware.
- No conecte VMware Cloud Director directamente a la red de Internet pública. Siempre proteja las conexiones de red de VMware Cloud Director con un firewall. Solamente el puerto 443 (HTTPS) debe estar abierto para las conexiones entrantes. Los puertos 22 (SSH) y 80 (HTTP) también se pueden abrir para las conexiones entrantes, de ser necesario. Además, cell-management-tool requiere acceso a la dirección del bucle invertido de la celda. El firewall debe rechazar el resto del tráfico entrante procedente de redes públicas, incluidas las solicitudes realizadas a JMX (puerto 8999).
Para obtener información sobre los puertos que deben permitir los paquetes entrantes de los hosts de VMware Cloud Director, consulte Puertos y protocolos de VMware.
- No conecte a la red pública los puertos utilizados con las conexiones salientes.
Para obtener información sobre los puertos que deben permitir los paquetes salientes de los hosts de VMware Cloud Director, consulte Puertos y protocolos de VMware.
- A partir de la versión 10.1, los proveedores de servicios y los tenants pueden utilizar la API de VMware Cloud Director para probar las conexiones a los servidores remotos y comprobar la identidad de estos como parte de un protocolo de intercambio SSL. Para proteger las conexiones de red de VMware Cloud Director, configure una lista de no permitidos de hosts internos a los que no pueden acceder los tenants que utilizan la API de VMware Cloud Director para probar la conexión. Configure la lista de no permitidos después de instalar o actualizar VMware Cloud Director y antes de conceder acceso a VMware Cloud Director a los tenants. Consulte Configurar una lista de denegación de conexión de prueba en la Guía de administración de proveedores de servicios de VMware Cloud Director.
- Enrute el tráfico entre los servidores de VMware Cloud Director y los siguientes servidores a través de una red privada dedicada.
- Servidor de la base de datos de VMware Cloud Director
- RabbitMQ
- Cassandra
- Si es posible, enrute el tráfico entre los servidores de VMware Cloud Director, vSphere y NSX a través de una red privada dedicada.
- Los switches virtuales y los switches virtuales distribuidos que admitan redes de proveedor deben estar aislados entre ellos. No pueden compartir el mismo segmento de red física de capa 2.
- Utilice NFSv4 para el almacenamiento del servicio de transferencia. La versión más común de NFS, NFSv3, no ofrece cifrado en tránsito que, en algunas configuraciones, podría crear un riesgo de pruebas en ejecución o la manipulación de los datos transferidos. Las amenazas inherentes a NFSv3 se describen en el documento técnico acerca de la seguridad de NFS en entornos de confianza y que no son de confianza de SANS. Encontrará información adicional acerca de la configuración y la protección del servicio de transferencia de VMware Cloud Director en el artículo de la base de conocimientos 2086127 de VMware.
- Para evitar vulnerabilidades de inserción de encabezados de host, active la verificación de encabezados de host.
- Inicie sesión directamente o utilice un cliente SSH en la consola de VMware Cloud Director como raíz.
- Active la verificación de encabezados de host mediante la herramienta de administración de celdas.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true