El sistema vCenter Server y los servicios asociados están protegidos por autenticación mediante vCenter Single Sign-On y por autorización mediante el modelo de permisos de vCenter Server. Es posible modificar el comportamiento predeterminado y seguir los pasos adicionales para proteger el acceso al entorno.

Cuando proteja el entorno de vSphere, tenga en cuenta que se deben proteger todos los servicios que están asociados con las instancias de vCenter Server. En ciertos entornos, se pueden proteger varias instancias de vCenter Server y una o más instancias de Platform Services Controller.

Fortalecimiento de todos los equipos host de vCenter

El primer paso para proteger el entorno de vCenter es fortalecer cada equipo en el que se ejecutan vCenter Server o un servicio asociado. El enfoque es similar cuando se trata de una máquina física o una máquina virtual. Siempre instale las revisiones de seguridad más recientes para el sistema operativo y siga las prácticas recomendadas estándar de la industria para proteger el equipo host.

Información sobre el modelo de certificado de vCenter

De forma predeterminada, VMware Certificate Authority aprovisiona cada host ESXi, cada máquina del entorno y cada usuario de solución con un certificado firmado por VMCA. El entorno se pone en funcionamiento desde el comienzo, pero si la empresa lo requiere, se puede cambiar el comportamiento predeterminado. Consulte Certificados de seguridad de vSphere.

Para mejorar la protección, asegúrese de quitar explícitamente los certificados caducados o revocados y las instalaciones con errores.

Configuración de vCenter Single Sign-On

vCenter Server y los servicios asociados están protegidos con el marco de autenticación de vCenter Single Sign-On. Al instalar el software por primera vez, se especifica una contraseña para el usuario administrator@vsphere.local, y solo ese dominio está disponible como origen de identidad. Es posible agregar otros orígenes de identidad, ya sea de Active Directory o LDAP, y establecer un origen de identidad predeterminado. Posteriormente, los usuarios que se pueden autenticar en un origen de identidad pueden ver objetos y realizar tareas si tienen la autorización para hacerlo. Consulte Autenticar vSphere con vCenter Single Sign-On.

Asignación de funciones a usuarios o grupos

Para mejorar el registro, asocie los permisos que otorga a un objeto con un usuario o grupo designado, y una función predefinida o personalizada. El modelo de permisos de vSphere 6.0 es muy flexible porque ofrece varios modos de autorizar usuarios o grupos. Consulte Descripción de la autorización en vSphere y Privilegios necesarios para la realización de tareas comunes.

Asegúrese de restringir los privilegios de administrador y el uso de la función de administrador. De ser posible, no utilice el usuario administrador anónimo.

Configurar NTP

Configure el NTP para cada nodo del entorno. La infraestructura de certificados requiere una marca de tiempo precisa y no funciona correctamente si los nodos no están sincronizados.

Consulte Sincronizar los relojes en la red de vSphere.