Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas de seguridad de vCenter Server. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control. Para realizar cambios, puede utilizar el vSphere Client, PowerCLI o la interfaz de administración de vCenter Server, según el control.
PowerCLI y variables utilizadas
Algunos de los ejemplos de PowerCLI utilizados aquí requieren que el módulo VMware.vSphere.SsoAdmin esté instalado.
Los comandos de PowerCLI de esta sección utilizan las siguientes variables:
- $VC="vcenter_server_name"
- $VDS="vsphere_distributed_switch_name"
- $VDPG="vsphere_distributed_port_group"
Establecer el tiempo de espera de inactividad de vSphere Client
El vCenter Server debe finalizar las sesiones del vSphere Client después de 15 minutos de inactividad.
Las sesiones del vSphere Client inactivas pueden dejarse abiertas de forma indefinida si un usuario olvida cerrar sesión, lo que aumenta el riesgo de un acceso privilegiado no autorizado.
Establecer el intervalo de intentos de inicio de sesión fallidos
El vCenter Server debe establecer el intervalo para contar los intentos de inicio de sesión fallidos en al menos 15 minutos.
Al limitar el número de intentos de inicio de sesión fallidos, se reduce el acceso no autorizado mediante la búsqueda de contraseñas de usuario, también conocida como "fuerza bruta".
Configurar el número máximo de intentos de la directiva de bloqueo de SSO de vSphere
El vCenter Server debe bloquear una cuenta después de un número determinado de intentos de inicio de sesión fallidos.
Los inicios de sesión fallidos repetidos de una cuenta pueden indicar problemas de seguridad. Para limitar los intentos de fuerza bruta, bloquee la cuenta después de un umbral determinado, estableciendo un equilibrio entre evitar los reintentos automáticos de conexión y los posibles ataques de denegación de servicio.
Configurar el tiempo de desbloqueo de la directiva de bloqueo de SSO de vSphere
El vCenter Server debe desbloquear las cuentas después de un período de tiempo de espera especificado.
Los inicios de sesión fallidos repetidos pueden sugerir amenazas de seguridad. Las cuentas de vCenter Server no deben desbloquearse automáticamente cuando se han bloqueado debido a varios errores de inicio de sesión. Asegúrese de que dispone de los datos de [email protected] y de que son válidos.
- Valores
- Valor predeterminado de instalación: 300
- Acción recomendada
- Modifique el valor predeterminado de la instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Existe la oportunidad de denegación de servicio cuando las cuentas no se desbloquean automáticamente.
- Ejemplo de corrección mediante un comando de PowerCLI
-
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
- Establecer la ubicación en vSphere Client
Exigir complejidad de la contraseña
El vCenter Server debe exigir la complejidad de la contraseña.
Las prácticas recomendadas modernas para contraseñas (consulte la sección 5.1.1.2 de NIST 800-63B, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al exigir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.
Las reglas de seguridad y complejidad de las contraseñas se aplican a las cuentas creadas en vSphere SSO, incluido [email protected] (o, si especificó un dominio diferente durante la instalación, administrator@mydomain). Estas reglas no se aplican a los usuarios de Active Directory cuando vCenter Server está unido a un dominio, ya que AD aplica esas directivas de contraseñas.
- Valores
-
Valor predeterminado de instalación:
Longitud máxima: 20
Longitud mínima: 8
Al menos 1 especial
Al menos 2 alfabéticos
Al menos 1 en mayúscula
Al menos 1 en minúscula
Al menos 1 numérico
3 adyacentes idénticos
- Acción recomendada
- Modifique los valores predeterminados de instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que otros productos y servicios dentro del ecosistema de VMware no esperen cambios en los requisitos de complejidad de las contraseñas y se produzca un error en la instalación.
- Ejemplo de corrección mediante un comando de PowerCLI
-
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
- Establecer la ubicación en vSphere Client
Configurar el número máximo de días entre cambios de contraseña
El vCenter Server debe configurarse con una antigüedad máxima de contraseña adecuada.
Las prácticas recomendadas modernas para contraseñas (consulte la sección 5.1.1.2 de NIST 800-63B, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al exigir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.
Restringir la reutilización de contraseñas
Configure la opción del historial de contraseñas para restringir la reutilización de contraseñas en el vCenter Server.
Las directrices de complejidad de las contraseñas en ocasiones hacen que los usuarios reutilicen contraseñas más antiguas. El ajuste del historial de contraseñas en el vCenter Server puede ayudar a evitar esta situación.
- Evaluación mediante comandos de PowerCLI
-
Get-SsoPasswordPolicy | Select ProhibitedPreviousPasswordsCount
Configurar el texto del banner de inicio de sesión para el acceso SSH
Configure el texto del banner de inicio de sesión del vCenter Server para el acceso mediante SSH.
vCenter Server permite mostrar un mensaje de inicio de sesión que disuade a los intrusos y comunica las obligaciones a los usuarios autorizados. Esta configuración establece el texto que se muestra cuando un cliente se conecta mediante SSH. El texto predeterminado filtra información a los atacantes sobre la configuración del sistema y debe cambiarse.
- Valores
-
Valor predeterminado de instalación: VMware vCenter Server version
Tipo: vCenter Server con una instancia integrada de Platform Services Controller
- Ejemplo de corrección mediante un comando de PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Establecer intervalo de retención de tareas y eventos
El vCenter Server debe tener la retención de tareas y eventos establecida en un intervalo adecuado.
vCenter Server conserva los datos de tareas y eventos, que caducan para ahorrar espacio de almacenamiento. La antigüedad se puede configurar. Esto solo afecta al almacenamiento local de los datos de eventos en el vCenter Server Appliance.
Activar el registro remoto
Active el registro remoto de eventos de vCenter Server.
El registro remoto en un host central mejora la seguridad de vCenter Server al almacenar los registros de forma segura. El registro remoto simplifica la supervisión en todos los hosts y admite análisis agregados para detectar ataques coordinados. El registro centralizado evita la manipulación y sirve como un registro de auditoría fiable a largo plazo. La opción vpxd.event.syslog.enabled activa el registro remoto.
- Evaluación mediante comandos de PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled
Activar FIPS
El vCenter Server debe activar la criptografía validada por FIPS.
La criptografía FIPS realiza una serie de cambios en el sistema para eliminar cifrados más débiles. La activación de FIPS hace que se reinicie vCenter Server.
- Impacto funcional potencial si se cambia el valor predeterminado
- La criptografía FIPS realiza una serie de cambios en el sistema para eliminar cifrados más débiles. Habilitar FIPS hace que se reinicie vCenter Server.
- Ejemplo de corrección mediante un comando de PowerCLI
-
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
- Establecer la ubicación en vSphere Client
- Consulte Activar y desactivar FIPS en vCenter Server Appliance.
Configurar registros de auditoría
El vCenter Server debe producir registros de auditoría que contengan información para establecer qué tipo de eventos se produjeron.
Es importante asegurarse de que haya suficiente información en los registros de auditoría para fines de diagnóstico y análisis forense. La opción config.log.level configura los registros de auditoría.
Desactivar el aprendizaje de MAC
Todos los grupos de puertos del conmutador distribuido deben desactivar el aprendizaje de direcciones MAC, a menos que se utilice de forma intencional.
El aprendizaje de direcciones MAC permite que un conmutador distribuido proporcione conectividad de red a sistemas en los que se utiliza más de una dirección MAC en una vNIC. Esto puede resultar útil en casos especiales como la virtualización anidada (por ejemplo, para ejecutar ESXi dentro de ESXi). El aprendizaje de direcciones MAC también admite el desbordamiento de unidifusión desconocido. Normalmente, cuando un paquete recibido por un puerto tiene una dirección MAC de destino desconocido, el paquete se descarta. Cuando el desbordamiento de unidifusión desconocida está habilitado, el puerto envía el tráfico de unidifusión desconocida a cada puerto del conmutador que tenga habilitadas las opciones de desbordamiento de unidifusión desconocida y de aprendizaje de direcciones MAC. Esta propiedad está activada de forma predeterminada, pero solo si el aprendizaje de direcciones MAC está habilitado. Desactive el aprendizaje de direcciones MAC a menos que se esté utilizando de forma intencional para una carga de trabajo conocida que lo requiera.
- Impacto funcional potencial si se cambia el valor predeterminado
- Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas negativamente por los valores predeterminados y el estado deseado.
- Evaluación mediante comandos de PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurar los detalles del banner del mensaje de inicio de sesión
Configure los detalles del banner de inicio de sesión de vCenter Server para el vSphere Client.
vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración establece el texto detallado del mensaje de la página de inicio de sesión del vSphere Client.
- Evaluación mediante comandos de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
- Ejemplo de corrección mediante un comando de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
Activar el banner de inicio de sesión
Active el banner de inicio de sesión de vCenter Server para el vSphere Client.
vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración activa la visualización del mensaje en la página de inicio de sesión de vSphere Client.
- Evaluación mediante comandos de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
- Ejemplo de corrección mediante un comando de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
Configurar el texto del banner de inicio de sesión
Configure el texto del banner de inicio de sesión en vCenter Server para el vSphere Client.
vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración establece el texto que se muestra en la página de inicio de sesión del vSphere Client.
- Evaluación mediante comandos de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
- Ejemplo de corrección mediante un comando de PowerCLI
-
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
Autenticación y autorización independientes para administradores
El vCenter Server debe separar la autenticación y la autorización de los administradores.
Al combinar autenticación y autorización, como hacen servicios como Active Directory, se corre el riesgo de que se produzcan brechas en la infraestructura si se produce un ataque. Por lo tanto, para vCenter Server, asegúrese de segregar la autenticación y la autorización para los administradores. Considere la posibilidad de utilizar grupos de SSO locales para la autorización a fin de administrar mejor el riesgo cuando sea posible.
Configurar la directiva de transmisiones falsificadas en Rechazar
Establezca todos los conmutadores distribuidos y sus grupos de puertos para que rechacen las transmisiones falsificadas.
Una máquina virtual puede suplantar adaptadores de red cambiando direcciones MAC, lo que supone una amenaza para la seguridad. Al establecer la opción Transmisiones falsificadas en Rechazar en todos los conmutadores y grupos de puertos distribuidos, ESXi verifica las direcciones MAC e impide dicha suplantación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Algunas cargas de trabajo utilizan estas tácticas de red de forma legítima y se ven afectadas negativamente por el ajuste predeterminado.
- Evaluación mediante comandos de PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Establecer la directiva de cambios de dirección MAC en Rechazar
Establezca la directiva de cambios de dirección MAC en Rechazar tanto en el conmutador estándar de vSphere como en sus grupos de puertos.
Permitir que las máquinas virtuales cambien las direcciones MAC supone un riesgo de seguridad, ya que permite la suplantación de adaptadores de red. El rechazo de los cambios de MAC en todos los conmutadores distribuidos y grupos de puertos lo impide, pero puede afectar a ciertas aplicaciones, como la agrupación en clústeres de Microsoft o las licencias que dependen de las direcciones MAC. Realice excepciones a esta guía de seguridad según sea necesario.
- Impacto funcional potencial si se cambia el valor predeterminado
- Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas negativamente por el ajuste Rechazar.
- Evaluación mediante comandos de PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Establecer la directiva de modo promiscuo en Rechazar
Establezca la directiva de modo promiscuo en Rechazar tanto en el conmutador estándar de vSphere como en sus grupos de puertos.
La activación del modo promiscuo en un grupo de puertos permite a todas las máquinas virtuales conectadas leer todos los paquetes de red, lo que supone un riesgo potencial de seguridad. Aunque a veces es necesario permitir el modo promiscuo para depurar o supervisar, se recomienda usar el ajuste predeterminado Rechazar. Realice excepciones para grupos de puertos específicos según sea necesario.
- Impacto funcional potencial si se cambia el valor predeterminado
- Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas de forma negativa por el ajuste Rechazar.
- Evaluación mediante comandos de PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Restablecer la configuración del puerto cuando se desconectan las máquinas virtuales
El vCenter Server debe restablecer la configuración del puerto cuando las máquinas virtuales se desconectan.
Cuando una máquina virtual se desconecta del puerto del conmutador virtual, es conveniente restablecer la configuración del puerto para que otra máquina virtual que se conecte tenga un puerto en un estado conocido.
- Evaluación mediante comandos de PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.PortConfigResetAtDisconnect = $true $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Desactivar los protocolos Cisco Discovery Protocol o Link Layer Discovery Protocol
Desactive la participación en el protocolo Cisco Discovery Protocol (CDP) o Link Layer Discovery Protocol (LLDP) en los conmutadores distribuidos, a menos que se utilice de forma intencional.
El conmutador virtual distribuido de vSphere puede participar en CDP o LLDP, y podría compartir en la red información confidencial sin cifrar, como direcciones IP y nombres de sistema. Por lo tanto, CDP y LLDP pueden ayudar a los atacantes a comprender o suplantar su entorno. No obstante, CDP y LLDP también son sumamente útiles para los casos de uso legítimos. Desactive CDP y LLDP a menos que se necesiten para la validación de la configuración o la solución de problemas.
- Evaluación mediante comandos de PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VDview = Get-VDSwitch -Name $VDS | Get-View $ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec $ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig $ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp' $ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none' $ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion $VDview.ReconfigureDvs_Task($ConfigSpec)
Asegurarse de que los recopiladores autorizados reciban tráfico de NetFlow
El vCenter Server debe asegurarse de que el tráfico de NetFlow se envíe a los recopiladores autorizados.
El vSphere Distributed Switch puede exportar datos de NetFlow sin cifrar, revelando detalles sobre la red virtual y los patrones de tráfico. Compruebe que el uso de NetFlow esté autorizado y configurado correctamente para evitar fugas de información.
- Evaluación mediante comandos de PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress (Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy $ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false $ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurar la seguridad de puertos de la máquina virtual
El vCenter Server no debe anular los ajustes del grupo de puertos en el nivel de puerto en los conmutadores distribuidos, excepto para bloquear puertos.
Si bien es posible que se necesiten anulaciones de configuración en el nivel de puertos para configuraciones de máquinas virtuales únicas, asegúrese de supervisarlas para evitar el uso no autorizado. Las anulaciones no supervisadas podrían permitir un acceso más amplio si se explota una configuración de Distributed Switch menos segura.
- Valores
-
Valor predeterminado de instalación:
Anulación de bloqueo de puertos: TRUE
Todas las demás anulaciones: FALSE
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false $ConfigSpec.Policy.BlockOverrideAllowed = $true $ConfigSpec.Policy.LivePortMovingAllowed = $false $ConfigSpec.Policy.VlanOverrideAllowed = $false $ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false $ConfigSpec.Policy.VendorConfigOverrideAllowed = $false $ConfigSpec.Policy.ShapingOverrideAllowed = $false $ConfigSpec.Policy.IpfixOverrideAllowed = $false $ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Quitar reflejo de puertos
El vCenter Server debe quitar las sesiones de reflejo de puertos no autorizadas en los conmutadores distribuidos.
El vSphere Distributed Switch puede replicar el tráfico entre puertos, lo que permite la observación de tráfico. Para mantener la seguridad, se deben eliminar todas las sesiones de reflejo de puertos no autorizadas en los conmutadores distribuidos.
Restringir el etiquetado de invitado virtual
El vCenter Server debe restringir el uso del etiquetado de invitado virtual (Virtual Guest Tagging, VGT) en los conmutadores distribuidos.
Establecer un grupo de puertos en VLAN 4095 permite el etiquetado de invitado virtual (VGT), lo que requiere que la máquina virtual procese las etiquetas de VLAN. Active VGT solo para las máquinas virtuales que estén autorizadas y equipadas para administrar etiquetas de VLAN. El uso inadecuado puede provocar una denegación de servicio o una interacción de tráfico de VLAN no autorizada.
- Evaluación mediante comandos de PowerCLI
-
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Comprobar el mantenimiento VMware en la versión del vCenter Server
Asegúrese de que la versión de vCenter Server no esté en el estado Fin de soporte general de VMware.
Restringir el acceso a SSH
El servicio SSH del vCenter Server se debe desactivar.
vCenter Server Appliance se entrega como un dispositivo y está pensado para administrarse a través de la interfaz de administración de vCenter Server, el vSphere Client y las API. SSH es una herramienta de solución de problemas y soporte que se activará solo cuando sea necesario. High Availability de vCenter Server utiliza SSH para coordinar la replicación y la conmutación por error entre los nodos. El uso de esta función requiere que SSH permanezca activado.
- Evaluación mediante comandos de PowerCLI
-
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
Comprobar la caducidad de la contraseña del usuario raíz
La caducidad de la contraseña de la cuenta raíz del vCenter Server debe configurarse correctamente.
Las prácticas recomendadas modernas para contraseñas (NIST 800-63B Sección 5.1.1.2, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al requerir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Si no se restablece la contraseña antes de que caduque, se necesitarán procedimientos de recuperación.
- Evaluación mediante comandos de PowerCLI
-
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
Configurar la copia de seguridad y la recuperación basadas en archivos
Configure la copia de seguridad y la recuperación basadas en archivos para poder recuperar el vCenter Server Appliance y su configuración mediante el instalador de vCenter Server. Las copias de seguridad y la restauración son una parte importante de la protección de su entorno.
Configurar el firewall para que solo permita el tráfico desde redes autorizadas
El vCenter Server Appliance debe configurar el firewall para que solo permita el tráfico desde redes autorizadas.
Asegúrese de que todo el tráfico de red entrante y saliente esté bloqueado a menos que se permita explícitamente, lo que reduce la superficie de ataque y ayuda a evitar el acceso no autorizado al sistema. El tráfico saliente (egreso) no se bloquea, ni tampoco las conexiones relacionadas o establecidas, por lo que vCenter Server Appliance aún puede comunicarse con los sistemas en los que inicia la conexión. Utilice firewalls perimetrales para restringir ese tipo de conexiones.
Configurar un servidor de registro remoto
Configure un servidor de registro remoto para el vCenter Server.
El registro remoto en un host central mejora la seguridad de vCenter Server al almacenar los registros de forma segura. El registro remoto simplifica la supervisión en todos los hosts y admite análisis agregados para detectar ataques coordinados. El registro centralizado evita la manipulación y sirve como un registro de auditoría fiable a largo plazo.
Configurar la sincronización de hora
vCenter Server debe tener orígenes de sincronización de hora fiables.
El cifrado, el registro de auditoría, las operaciones del clúster, la respuesta ante incidentes y los análisis forenses dependen en gran medida de la sincronización de la hora. El protocolo de tiempo de red (NTP) debe tener al menos cuatro orígenes. Si debe elegir entre dos orígenes y un origen, es preferible uno solo.
- Evaluación mediante comandos de PowerCLI
-
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
Instalar las actualizaciones de software
Asegúrese de que vCenter Server tenga instaladas todas las actualizaciones de software.
Al mantener las revisiones de vCenter Server actualizadas, se pueden mitigar las vulnerabilidades. Los atacantes pueden aprovechar las vulnerabilidades conocidas al intentar obtener acceso no autorizado o elevar privilegios.
Al aplicar las actualizaciones, actualice primero vCenter Server si hay alguna actualización disponible y, a continuación, continúe con la actualización de ESXi. Esta secuencia garantiza que la capa de administración se actualice antes de actualizar los hosts ESXi.
Rotar la contraseña de vpxuser
El vCenter Server debe configurar la contraseña de vpxuser para que se rote en el intervalo adecuado.
La opción VirtualCenter.VimPasswordExpirationInDays configura el período de rotación. Asegúrese de que el vCenter Server esté rotando correctamente la contraseña que establece automáticamente en los hosts ESXi.
- Evaluación mediante comandos de PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays