Proteger los sistemas vCenter Server y los servicios asociados

El sistema vCenter Server y los servicios asociados están protegidos por autenticación mediante vCenter Single Sign-On y por autorización mediante el modelo de permisos de vCenter Server. Es posible modificar el comportamiento predeterminado y seguir los pasos adicionales para limitar el acceso al entorno.

Cuando proteja el entorno de vSphere, tenga en cuenta que se deben proteger todos los servicios que están asociados con las instancias de vCenter Server. En ciertos entornos, se pueden proteger varias instancias de vCenter Server y una o más instancias de Platform Services Controller.

Fortalecer todos los equipos host de vCenter: El primer paso para proteger el entorno de vCenter es fortalecer cada equipo en el que se ejecutan vCenter Server o un servicio asociado. El enfoque es similar cuando se trata de una máquina física o una máquina virtual. Siempre instale las revisiones de seguridad más recientes para el sistema operativo y siga las prácticas recomendadas estándar de la industria para proteger el equipo host.
Obtener información sobre el modelo de certificado de vCenter: De forma predeterminada, VMware Certificate Authority aprovisiona cada host ESXi, cada máquina del entorno y cada usuario de solución con un certificado firmado por VMCA. El entorno se pone en funcionamiento desde el comienzo, pero si la empresa lo requiere, se puede cambiar el comportamiento predeterminado. Consulte la documentación de Administrar Platform Services Controller para obtener detalles.; Para mejorar la protección, quite explícitamente los certificados caducados o revocados y las instalaciones con errores.
Configuración de vCenter Single Sign-On: vCenter Server y los servicios asociados están protegidos con el marco de autenticación de vCenter Single Sign-On. Cuando instale el software por primera vez, especifique una contraseña para el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada. Solo ese dominio está inicialmente disponible como un origen de identidad. Es posible agregar otros orígenes de identidad, ya sea de Active Directory o LDAP, y establecer un origen de identidad predeterminado. Posteriormente, los usuarios que se pueden autenticar en uno de esos orígenes de identidad pueden ver objetos y realizar tareas si tienen la autorización para hacerlo. Consulte la documentación de Administrar Platform Services Controller para obtener detalles.
Asignar funciones a usuarios o grupos designados: Para mejorar el registro, asocie los permisos que otorga a un objeto con un usuario o grupo designado, y una función predefinida o personalizada. El modelo de permisos de vSphere 6.0 es muy flexible porque ofrece varios modos de autorizar usuarios o grupos. Consulte Descripción de la autorización en vSphere y Privilegios necesarios para la realización de tareas comunes.; Restrinja los privilegios de administrador y el uso de la función de administrador. De ser posible, no utilice el usuario administrador anónimo.
Configurar NTP: Configure el NTP para cada nodo del entorno. La infraestructura de certificados requiere una marca de tiempo precisa y no funciona correctamente si los nodos no están sincronizados.; Consulte Sincronizar los relojes en la red de vSphere.