Siga todas las prácticas recomendadas para proteger un sistema vCenter Server. Se proporcionan pasos adicionales a modo de ayuda para aumentar la seguridad de vCenter Server.

Configurar el protocolo de hora de precisión o el protocolo de hora de red

Asegúrese de que todos los sistemas utilicen el mismo origen de hora relativo. Este origen de hora debe estar sincronizado con un estándar de hora acordado, como la hora universal coordinada (Coordinated Universal Time, UTC). Es fundamental que los sistemas estén sincronizados para la validación de certificados. El protocolo de hora de precisión (Precision Time Protocol, PTP) y el protocolo de hora de redes (Network Time Protocol, NTP) también facilitan el seguimiento de un intruso en los archivos de registro. Una configuración de hora incorrecta dificulta la inspección y la correlación de los archivos de registro para detectar ataques, además de hacer imprecisas las auditorías. Consulte Sincronizar la hora de vCenter Server con un servidor NTP.

Restringir el acceso a la red de vCenter Server

Restrinja el acceso a los componentes que se necesiten para comunicarse con vCenter Server. Al bloquear el acceso desde sistemas innecesarios, se reducen las posibilidades de que el sistema operativo reciba ataques.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

Configurar un host bastión

Para ayudar a proteger los activos, configure un host bastión (también denominado Jump Box) para realizar tareas administrativas con privilegios elevados. Un host bastión es un equipo con un propósito especial que aloja una cantidad mínima de aplicaciones administrativas. Se eliminan todos los demás servicios innecesarios. El host suele residir en la red de administración. Un host bastión aumenta la protección de los activos mediante la restricción del inicio de sesión a los individuos clave, la solicitud de reglas de firewall para iniciar sesión y la adición de supervisión mediante herramientas de auditoría.