El sistema vCenter Server y los servicios asociados están protegidos por autenticación mediante vCenter Single Sign-On y por autorización mediante el modelo de permisos de vCenter Server. Es posible modificar el comportamiento predeterminado y tomar medidas para limitar el acceso al entorno.
Cuando proteja el entorno de vSphere, tenga en cuenta que se deben proteger todos los servicios que están asociados con las instancias de vCenter Server. En algunos entornos, es posible que se protejan varias instancias de vCenter Server.
- vCenter y comunicación cifrada
- De forma predeterminada ("listo para usar"), se cifra toda la comunicación de datos entre vCenter Server y los demás componentes de vSphere. En algunos casos, según cómo configure su entorno, es posible parte del tráfico no esté cifrado. Por ejemplo, puede configurar SMTP sin cifrar para las alertas de correo electrónico y SNMP sin cifrar para la supervisión. El tráfico de DNS también está sin cifrar. vCenter Server escucha en los puertos 80 (TCP) y 443 (TCP). El puerto 443 (TCP) es el puerto HTTPS estándar del sector (HTTP seguro) y utiliza el cifrado TLS 1.2 para protegerse. El puerto 80 (TCP) es el puerto HTTP estándar del sector y no utiliza cifrado. El propósito del puerto 80 es redireccionar las solicitudes del puerto 80 al puerto 443, donde son seguras.
- Fortalecer todos los equipos host de vCenter
- El primer paso para proteger el entorno de vCenter es fortalecer cada equipo en el que se ejecutan vCenter Server o un servicio asociado. El enfoque es similar cuando se trata de una máquina física o una máquina virtual. Siempre instale las revisiones de seguridad más recientes para el sistema operativo y siga las prácticas recomendadas estándar de la industria para proteger el equipo host.
- Obtener información sobre el modelo de certificado de vCenter
- De forma predeterminada, la entidad de certificación de VMware aprovisiona a cada host ESXi y cada máquina del entorno con un certificado firmado por VMCA. Si la directiva de su empresa lo requiere, puede cambiar el comportamiento predeterminado. Consulte la documentación de vSphere Authentication para obtener detalles.
- Configuración de vCenter Single Sign-On
- vCenter Server y los servicios asociados están protegidos con el marco de autenticación de vCenter Single Sign-On. Cuando instale el software por primera vez, especifique una contraseña para el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada. Solo ese dominio está inicialmente disponible como un origen de identidad. Puede agregar un proveedor de identidad externo, como los servicios de federación de Active Directory (AD FS) de Microsoft, para la autenticación federada. Es posible agregar otros orígenes de identidad, ya sea de Active Directory o LDAP, y establecer un origen de identidad predeterminado. Los usuarios que se pueden autenticar en uno de esos orígenes de identidad pueden ver objetos y realizar tareas si tienen la autorización para hacerlo. Consulte la documentación de vSphere Authentication para obtener detalles.
- Asignar funciones a usuarios o grupos designados
- Para mejorar el registro, asocie los permisos que otorga a un objeto con un usuario o grupo designado, y una función predefinida o personalizada. El modelo de permisos de vSphere es muy flexible porque ofrece varios modos de autorizar usuarios o grupos. Consulte Descripción de la autorización en vSphere y Privilegios necesarios para la realización de tareas comunes.
- Configure PTP o NTP
- Configure PTP o NTP para cada nodo del entorno. La infraestructura de certificados requiere una marca de tiempo precisa y no funciona correctamente si los nodos no están sincronizados.
