VMware crea guías de fortalecimiento de seguridad que proporcionan instrucciones prescriptivas para implementar y operar los productos de VMware de forma segura. Para vSphere, esta guía se denomina Guía de configuración de seguridad de vSphere (anteriormente conocida como Guía de fortalecimiento).

La Guía de configuración de seguridad de vSphere contiene las prácticas recomendadas de seguridad para vSphere. La Guía de configuración de seguridad de vSphere no se relaciona directamente con directrices o marcos normativos, por lo que no es una guía de cumplimiento. Además, la Guía de configuración de seguridad de vSphere no está diseñada para usarse como lista de comprobación de seguridad. La seguridad siempre implica ceder en algo. Implementar controles de seguridad puede afectar negativamente la facilidad de uso, el rendimiento u otras tareas operativas. Tenga en cuenta las cargas de trabajo, los patrones de uso, la estructura organizativa, entre otros elementos, antes de realizar cambios de seguridad, ya sea que los consejos provengan de VMware o de otras fuentes del sector. Si su organización tiene necesidades de conformidad normativa, consulte Seguridad y conformidad en el entorno de vSphere o visite https://core.vmware.com/compliance. Este sitio incluye kits de conformidad y guías de auditoría de productos para ayudar a los administradores de vSphere y a los auditores normativos a garantizar y dar fe de la conformidad de la infraestructura virtual en cuanto a los marcos normativos, como NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001, entre otros.

La Guía de configuración de seguridad de vSphere no analiza la protección de los siguientes elementos:
  • Software que se ejecuta dentro de la máquina virtual, como el sistema operativo invitado y las aplicaciones
  • Tráfico que se ejecuta a través de las redes de máquina virtual
  • Seguridad de los productos de extensión

La Guía de configuración de seguridad de vSphere no se creó para ser usada como una herramienta de "conformidad". La Guía de configuración de seguridad de vSphere permite dar los primeros pasos hacia el cumplimiento, pero no garantiza que la implementación sea conforme por sí misma. Para obtener más información sobre la conformidad, consulte Seguridad y conformidad en el entorno de vSphere.

Leer la Guía de configuración de seguridad de vSphere

La Guía de configuración de seguridad de vSphere es una hoja de cálculo con directrices de seguridad de ayuda para modificar la configuración de seguridad de vSphere. Estas directrices se agrupan en pestañas en función de los componentes afectados, con algunas de las siguientes columnas o todas ellas.

Tabla 1. Columnas de la hoja de cálculo Guía de configuración de seguridad de vSphere
Encabezado de columna Descripción

Identificador de directriz

Un identificador único de dos partes para hacer referencia a una recomendación de fortalecimiento o una configuración de seguridad. La primera parte indica el componente, que se define de la siguiente manera:

  • ESXi: hosts ESXi
  • VM: máquinas virtuales
  • vNetwork: conmutadores virtuales

Descripción

Una breve explicación de la recomendación determinada.

Discusión

Un descripción de la vulnerabilidad detrás de una recomendación determinada.

Parámetro de configuración

El parámetro de configuración aplicable o el nombre de archivo, si existe alguno.

Valor deseado

El estado o valor deseado de la recomendación. Los posibles valores son:

  • N/C
  • Específico del sitio
  • False
  • True
  • Habilitado
  • Deshabilitado
  • No presente o Falso

Valor predeterminado

El valor predeterminado establecido por vSphere.

¿Es el valor deseado el predeterminado?

Indica si el ajuste de seguridad es la configuración predeterminada del producto.

Acción necesaria

El tipo de acción que se realizará en la recomendación determinada. Las acciones incluyen:

  • Actualizar
  • Solo auditoría
  • Modificar
  • Agregar
  • Quitar

Establecer la ubicación en vSphere Client

Los pasos para comprobar el valor mediante vSphere Client.

¿Impacto funcional negativo al cambiar el valor predeterminado?

La descripción, si existe una, de un impacto potencial negativo por usar la recomendación de seguridad.

Evaluación mediante comandos de PowerCLI

Los pasos para comprobar el valor mediante PowerCLI.

Ejemplo de corrección mediante un comando de PowerCLI

Los pasos para establecer (corregir) el valor mediante PowerCLI.

Corrección mediante comandos de vCLI

Los pasos para configurar (corregir) el valor mediante comandos de vCLI.

Evaluación mediante comandos de PowerCLI

Los pasos para comprobar el valor mediante comandos de PowerCLI.

Corrección mediante comandos de PowerCLI

Los pasos para configurar (corregir) el valor mediante comandos de PowerCLI.

Se puede establecer mediante el perfil de host

Si la configuración se puede realizar mediante perfiles de host (se aplica solo a las directrices de ESXi).

Fortalecimiento

Si es TRUE, la directriz tiene solo una implementación que sea conforme. Si es FALSE, se puede cumplir con la implementación de la directriz con más de una opción de configuración. A menudo, el valor real es específico del sitio.

Ajuste específico del sitio

Si es TRUE, el ajuste conforme con la directriz depende de reglas o normas que son específicas para esa implementación de vSphere.

Ajuste de auditoría

Si es TRUE, es posible que el valor del ajuste enumerado deba ser modificado para cumplir con las reglas específicas del sitio.

Nota: Estas columnas pueden cambiar con el paso del tiempo según sea necesario. Por ejemplo, algunas adiciones recientes son las columnas Identificador de STIG de DISA, Fortalecimiento y Ajuste específico del sitio. Consulte https://blogs.vmware.com para ver anuncios sobre las actualizaciones de la Guía de configuración segura de vSphere.

No aplique ciegamente las directrices de la Guía de configuración segura de vSphere en su entorno. En cambio, dedique un momento a evaluar cada ajuste y tome una decisión informada sobre si aplicarlo o no. Como mínimo, puede utilizar las instrucciones de las columnas Evaluación para comprobar la seguridad de su implementación.

La Guía de configuración segura de vSphere es una ayuda para comenzar a aplicar la conformidad en la implementación. Cuando se utiliza con las guías de DISA y otras directrices de conformidad, la Guía de configuración segura de vSphere permite asignar los controles de seguridad de vSphere según el tipo de conformidad de cada directriz.