Realice un control estricto del acceso a los diferentes componentes de vCenter Server a fin de aumentar la seguridad del sistema.

Las siguientes instrucciones ayudan a garantizar la seguridad del entorno.

Usar cuentas con nombre

  • Si la cuenta de administrador local de Windows actualmente otorga derechos administrativos completos para vCenter Server, elimine esos derechos de acceso y otórgueselos a una o más cuentas de administrador de vCenter Server con nombre. Otorgue derechos administrativos completos únicamente a aquellos administradores que los necesitan. No le otorgue este privilegio a cualquier grupo cuya pertenencia no esté estrictamente controlada.

    Nota:

    A partir de vSphere 6.0, el administrador local ya no cuenta con derechos administrativos completos para acceder a vCenter Server de forma predeterminada. No se recomienda el uso de usuarios de sistemas operativos locales.

  • Instale vCenter Server mediante una cuenta de servicio en lugar de hacerlo desde una cuenta de Windows. La cuenta de servicio debe ser un administrador en la máquina local.

  • Compruebe que las aplicaciones usen cuentas de servicio únicas al conectarse a un sistema vCenter Server.

Minimizar el acceso

Evite otorgar permiso para que los usuarios inicien sesión directamente en el equipo host de vCenter Server. Los usuarios cuya sesión en vCenter Server está iniciada pueden llegar a causar daños, ya sea intencionales o involuntarios, al alterar la configuración y modificar los procesos. También pueden llegar a acceder a las credenciales de vCenter, como el certificado SSL. Permítales solo a los usuarios con tareas legítimas para realizar que inicien sesión en el sistema y asegúrese de que se auditen los eventos de inicio de sesión.

Supervisar los privilegios de los usuarios administradores de vCenter Server

No todos los usuarios administradores deben tener la función de administrador. En cambio, se puede crear una función personalizado con el conjunto adecuado de privilegios y asignárselo a otros administradores.

Los usuarios con la función de administrador de vCenter Server tienen privilegios sobre todos los objetos de la jerarquía. Por ejemplo, la función de administrador permite, de forma predeterminada, que los usuarios interactúen con los archivos y los programas que se encuentran en el sistema operativo invitado de la máquina virtual. Si se asigna esa función a demasiados usuarios, se puede reducir la confidencialidad, la disponibilidad o la integridad de los datos de la máquina virtual. Cree una función que les otorgue a los administradores los privilegios que necesitan, pero elimine algunos de los privilegios de administración de la máquina virtual.

Otorgar privilegios mínimos a los usuarios de bases de datos de vCenter Server

El usuario de base de datos precisa solamente ciertos privilegios específicos para el acceso a la base de datos. Asimismo, algunos privilegios son necesarios solamente para la instalación y las actualizaciones. Estos privilegios pueden eliminarse una vez instalado o actualizado el producto.

Restringir el acceso al explorador del almacén de datos

La funcionalidad de explorador de almacén de datos permite que los usuarios con los privilegios correspondientes vean, actualicen o descarguen archivos en almacenes de datos asociados con la implementación de vSphere a través del explorador web o vSphere Web Client. Asigne el privilegio Almacén de datos > Examinar almacén de datos solo a los usuarios o grupos que realmente lo necesitan.

Restringir la ejecución de comandos en una máquina virtual a los usuarios

De forma predeterminada, un usuario con función de administrador de vCenter Server puede interactuar con archivos y programas dentro del sistema operativo invitado de una máquina virtual. Para reducir el riesgo de infracciones de confidencialidad, disponibilidad o integridad del invitado, cree una función de acceso que no sea de invitado sin el privilegio Operaciones de invitado. Consulte Restringir la ejecución de comandos dentro de una máquina virtual a los usuarios.

Comprobar la directiva sobre contraseñas de vpxuser

De manera predeterminada, vCenter Server cambia la contraseña de vpxuser automáticamente cada 30 días. Asegúrese de que esta configuración cumpla con sus directivas, o bien configúrela para que se adapte a las directivas de caducidad de contraseñas de su empresa. Consulte Configurar la directiva de contraseñas de vCenter Server.

Nota:

Compruebe que la directiva de caducidad de contraseñas no sea demasiado corta.

Comprobar los privilegios después de reiniciar vCenter Server

Revise la reasignación de privilegios al reiniciar vCenter Server. Si el usuario o el grupo de usuarios al que se asignó la función de administrador en la carpeta raíz no pueden verificarse como usuario o grupo de usuarios válido durante el reinicio, se elimina la función para ese usuario o ese grupo. En su lugar, vCenter Server otorga la función de administrador a la cuenta de vCenter Single Sign-On administrator@vsphere.local. Esta cuenta puede funcionar como administrador.

Restablezca la cuenta de administrador con nombre y asigne la función de administrador a dicha cuenta para evitar usar la cuenta administrator@vsphere.local anónima.

Usar niveles altos de cifrado RDP

Asegúrese de que en cada equipo con Windows de la infraestructura se establezca una configuración del host mediante Remote Desktop a fin de garantizar el nivel más alto de cifrado adecuado para el entorno.

Comprobar certificados de vSphere Web Client

Indique a los usuarios de una de las instancias de vSphere Web Client o de otras aplicaciones cliente que nunca omitan las advertencias de comprobación de certificados. Sin la comprobación de certificados, el usuario puede ser víctima de un ataque de MiTM.