La autenticación mediante vCenter Single Sign-On y la autorización mediante el modelo de permisos de vCenter Server protegen el sistema vCenter Server y los servicios asociados. Es posible modificar el comportamiento predeterminado y tomar medidas para limitar el acceso al entorno.
Cuando proteja el entorno de vSphere, tenga en cuenta que se deben proteger todos los servicios que están asociados con las instancias de vCenter Server. En algunos entornos, es posible que se protejan varias instancias de vCenter Server.
vCenter Server utiliza comunicación cifrada
De forma predeterminada ("listo para usar"), se cifra toda la comunicación de datos entre el sistema vCenter Server y los demás componentes de vSphere. En algunos casos, según cómo configure su entorno, es posible parte del tráfico no esté cifrado. Por ejemplo, puede configurar SMTP sin cifrar para las alertas de correo electrónico y SNMP sin cifrar para la supervisión. El tráfico de DNS también está sin cifrar. vCenter Server escucha en los puertos 80 (TCP) y 443 (TCP). El puerto 443 (TCP) es el puerto HTTPS estándar del sector (HTTP seguro) y utiliza el cifrado TLS para protegerse. Consulte Configuración de vSphere TLS. El puerto 80 (TCP) es el puerto HTTP estándar del sector y no utiliza cifrado. El propósito del puerto 80 es redireccionar las solicitudes del puerto 80 al puerto 443, donde son seguras.
Proteger sistemas vCenter Server
El primer paso para proteger el entorno de vCenter Server es fortalecer cada equipo en el que se ejecutan vCenter Server o un servicio asociado. El enfoque es similar cuando se trata de una máquina física o una máquina virtual. Siempre instale las revisiones de seguridad más recientes para el sistema operativo y siga las prácticas recomendadas estándar de la industria para proteger el equipo host.
Información sobre el modelo de certificado de vSphere
De forma predeterminada, VMware Certificate Authority (VMCA) aprovisiona a cada host ESXi y cada máquina del entorno con un certificado firmado por VMCA. Si la directiva de su empresa lo requiere, puede cambiar el comportamiento predeterminado. Consulte la documentación de vSphere Authentication para obtener detalles.
Para mejorar la protección, quite explícitamente los certificados caducados o revocados y las instalaciones con errores.
Configuración de vCenter Single Sign-On
vCenter Server y los servicios asociados están protegidos con el marco de autenticación de vCenter Single Sign-On. Cuando instale el software por primera vez, especifique una contraseña para el administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada. Solo ese dominio está inicialmente disponible como un origen de identidad. Puede agregar un proveedor de identidad externo, como los servicios de federación de Active Directory (AD FS) de Microsoft, para la autenticación federada. Es posible agregar otros orígenes de identidad, ya sea de Active Directory o LDAP, y establecer un origen de identidad predeterminado. Los usuarios que se pueden autenticar en uno de esos orígenes de identidad pueden ver objetos y realizar tareas si tienen la autorización para hacerlo. Consulte la documentación de vSphere Authentication para obtener detalles.
Asignar funciones de vCenter Server a usuarios o grupos designados
Para mejorar el registro, asocie los permisos que otorga a un objeto con un usuario o grupo designado, y una función predefinida o personalizada. El modelo de permisos de vSphere es muy flexible porque ofrece varios modos de autorizar usuarios o grupos. Consulte Descripción de la autorización en vSphere y Privilegios de vCenter Server necesarios para la realización de tareas comunes.
Restrinja los privilegios de administrador y el uso de la función de administrador. De ser posible, no utilice el usuario administrador anónimo.
Configurar el protocolo de hora de precisión o el protocolo de tiempo de red
Configure el protocolo de hora de precisión (Precision Time Protocol, PTP) o el protocolo de tiempo de red (Network Time Protocol, NTP) para cada nodo del entorno. La infraestructura de certificados de vSphere requiere una marca de tiempo precisa y no funciona correctamente si los nodos no están sincronizados.