Para mejorar la seguridad, evite colocar el sistema vCenter Server en otra red distinta de la red de administración, y asegúrese de que el tráfico de administración de vSphere se encuentre en una red restringida. Al limitar la conectividad de red, se limitan ciertos tipos de ataques.

vCenter Server requiere acceso solamente a una red de administración. Evite colocar el sistema vCenter Server en otras redes, como la red de producción o la de almacenamiento, o en otra red con acceso a Internet. vCenter Server no necesita acceder a la red donde funciona vMotion.

vCenter Server requiere conectividad de red con los siguientes sistemas.
  • Todos los hosts ESXi.
  • La base de datos de vCenter Server.
  • Otros sistemas de vCenter Server (si los sistemas de vCenter Server forman parte de un dominio de vCenter Single Sign-On común con fines de replicación de etiquetas, permisos, etc.).
  • Los sistemas que están autorizados para ejecutar clientes de administración. Por ejemplo, vSphere Client, un sistema Windows donde se utiliza PowerCLI o cualquier otro cliente basado en SDK.
  • Los servicios de infraestructura como DNS, Active Directory y NTP.
  • Otros sistemas que ejecutan componentes fundamentales para la funcionalidad del sistema vCenter Server.

Utilice el firewall en la instancia de vCenter Server. Incluya restricciones de acceso basadas en IP de modo que solo los componentes necesarios puedan comunicarse con el sistema vCenter Server.

Evaluación del uso de clientes Linux con CLI y SDK

Las comunicaciones entre los componentes del cliente y el sistema vCenter Server o los hosts ESXi están protegidas por un cifrado basado en SSL de forma predeterminada. Las versiones de Linux de estos componentes no realizan la validación de certificados. Considere restringir el uso de estos clientes.

Para mejorar la seguridad, puede reemplazar los certificados firmados por VMCA del sistema de vCenter Server y los hosts ESXi por certificados firmados por una entidad de certificación de la empresa o de terceros. Sin embargo, ciertas comunicaciones con clientes Linux seguirán siendo vulnerables a ataques machine-in-the-middle. Los siguientes componentes son vulnerables cuando se ejecutan en el sistema operativo Linux.
  • Comandos ESXCLI
  • Scripts de vSphere SDK for Perl
  • Programas escritos con el vSphere Web Services SDK
Si aplica los controles correspondientes, puede reducir la restricción contra el uso de clientes Linux.
  • Restrinja el acceso a la red de administración únicamente a los sistemas autorizados.
  • Utilice firewalls para garantizar que únicamente los hosts autorizados tengan permiso para acceder a vCenter Server.
  • Utilice hosts bastión (sistemas JumpBox) para garantizar que los clientes Linux sean supervisados.

Examinar los complementos de vSphere Client

Las extensiones de vSphere Client se ejecutan en el mismo nivel de privilegio que el usuario que inició sesión. Una extensión maliciosa puede enmascararse como si fuera un complemento útil y realizar operaciones dañinas, como el robo de credenciales o cambios en la configuración del sistema. Para aumentar la seguridad, utilice una instalación en la que se incluyan únicamente extensiones autorizadas de orígenes confiables.

Una instalación de vCenter Server incluye un marco de extensibilidad para vSphere Client. Este marco se puede usar para extender el cliente con selecciones de menú o iconos de la barra de herramientas. Las extensiones pueden proporcionar acceso a los componentes complementarios de vCenter Server o la funcionalidad externa basada en web.

Al utilizar el marco de extensibilidad, se entraña el riesgo de introducir funcionalidades no intencionadas. Por ejemplo, si un administrador instala un complemento en una instancia de vSphere Client, el complemento puede ejecutar comandos arbitrarios con el nivel de privilegio de ese administrador.

Para evitar una posible transigencia de su vSphere Client, examine periódicamente todos los complementos instalados y compruebe que provienen de un origen de confianza.

Requisitos previos

Debe tener los privilegios necesarios para acceder al servicio vCenter Single Sign-On. Estos privilegios difieren de los de vCenter Server.

Procedimiento

  1. Inicie sesión en vSphere Client como administrator@vsphere.local o como usuario con privilegios de vCenter Single Sign-On.
  2. En la página de inicio, seleccione Administración y, a continuación, seleccione Complementos del cliente en Soluciones.
  3. Examine la lista de complementos del cliente.