Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas de seguridad de vCenter Server. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control. Para realizar cambios, puede utilizar el vSphere Client, PowerCLI o la interfaz de administración de vCenter Server, según el control.

PowerCLI y variables utilizadas

Algunos de los ejemplos de PowerCLI utilizados aquí requieren que el módulo VMware.vSphere.SsoAdmin esté instalado.

Los comandos de PowerCLI de esta sección utilizan las siguientes variables:

  • $VC="vcenter_server_name"
  • $VDS="vsphere_distributed_switch_name"
  • $VDPG="vsphere_distributed_port_group"

Establecer el tiempo de espera de inactividad de vSphere Client

El vCenter Server debe finalizar las sesiones del vSphere Client después de 15 minutos de inactividad.

Las sesiones del vSphere Client inactivas pueden dejarse abiertas de forma indefinida si un usuario olvida cerrar sesión, lo que aumenta el riesgo de un acceso privilegiado no autorizado.

Valores
Valor predeterminado de instalación: 120 minutos
Valor sugerido de línea base: 15 minutos
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)
Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Establecer la ubicación en vSphere Client
Administración > Configuración del cliente > Tiempo de espera de sesión

Establecer el intervalo de intentos de inicio de sesión fallidos

El vCenter Server debe establecer el intervalo para contar los intentos de inicio de sesión fallidos en al menos 15 minutos.

Al limitar el número de intentos de inicio de sesión fallidos, se reduce el acceso no autorizado mediante la búsqueda de contraseñas de usuario, también conocida como "fuerza bruta".

Valores
Valor predeterminado de instalación: 180
Valor sugerido de línea base: 900
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-SsoLockoutPolicy | Select FailedAttemptIntervalSec
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -FailedAttemptIntervalSec 900
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de bloqueo

Configurar el número máximo de intentos de la directiva de bloqueo de SSO de vSphere

El vCenter Server debe bloquear una cuenta después de un número determinado de intentos de inicio de sesión fallidos.

Los inicios de sesión fallidos repetidos de una cuenta pueden indicar problemas de seguridad. Para limitar los intentos de fuerza bruta, bloquee la cuenta después de un umbral determinado, estableciendo un equilibrio entre evitar los reintentos automáticos de conexión y los posibles ataques de denegación de servicio.

Valores
Valor predeterminado de instalación: 5
Valor sugerido de línea base: 5
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-SsoLockoutPolicy | Select MaxFailedAttempts
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -MaxFailedAttempts 5
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de bloqueo

Configurar el tiempo de desbloqueo de la directiva de bloqueo de SSO de vSphere

El vCenter Server debe desbloquear las cuentas después de un período de tiempo de espera especificado.

Los inicios de sesión fallidos repetidos pueden sugerir amenazas de seguridad. Las cuentas de vCenter Server no deben desbloquearse automáticamente cuando se han bloqueado debido a varios errores de inicio de sesión. Asegúrese de que dispone de los datos de [email protected] y de que son válidos.

Valores
Valor predeterminado de instalación: 300
Valor sugerido de línea base: 0
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Existe la oportunidad de denegación de servicio cuando las cuentas no se desbloquean automáticamente.
Evaluación mediante comandos de PowerCLI
Get-SsoLockoutPolicy | Select AutoUnlockIntervalSec
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de bloqueo

Exigir complejidad de la contraseña

El vCenter Server debe exigir la complejidad de la contraseña.

Las prácticas recomendadas modernas para contraseñas (consulte la sección 5.1.1.2 de NIST 800-63B, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al exigir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.

Las reglas de seguridad y complejidad de las contraseñas se aplican a las cuentas creadas en vSphere SSO, incluido [email protected] (o, si especificó un dominio diferente durante la instalación, administrator@mydomain). Estas reglas no se aplican a los usuarios de Active Directory cuando vCenter Server está unido a un dominio, ya que AD aplica esas directivas de contraseñas.

Valores
Valor predeterminado de instalación:

Longitud máxima: 20

Longitud mínima: 8

Al menos 1 especial

Al menos 2 alfabéticos

Al menos 1 en mayúscula

Al menos 1 en minúscula

Al menos 1 numérico

3 adyacentes idénticos

Valor sugerido de línea base:

Longitud máxima: 64

Longitud mínima: 15

Al menos 1 especial

Al menos 2 alfabéticos

Al menos 1 en mayúscula

Al menos 1 en minúscula

Al menos 1 numérico

3 adyacentes idénticos

Acción recomendada
Modifique los valores predeterminados de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que otros productos y servicios dentro del ecosistema de VMware no esperen cambios en los requisitos de complejidad de las contraseñas y se produzca un error en la instalación.
Evaluación mediante comandos de PowerCLI
Get-SsoPasswordPolicy
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de contraseña

Configurar el número máximo de días entre cambios de contraseña

El vCenter Server debe configurarse con una antigüedad máxima de contraseña adecuada.

Las prácticas recomendadas modernas para contraseñas (consulte la sección 5.1.1.2 de NIST 800-63B, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al exigir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.

Valores
Valor predeterminado de instalación: 90
Valor sugerido de línea base: 99999
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-SsoPasswordPolicy | Select PasswordLifetimeDays
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -PasswordLifetimeDays 9999
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de contraseña

Restringir la reutilización de contraseñas

Configure la opción del historial de contraseñas para restringir la reutilización de contraseñas en el vCenter Server.

Las directrices de complejidad de las contraseñas en ocasiones hacen que los usuarios reutilicen contraseñas más antiguas. El ajuste del historial de contraseñas en el vCenter Server puede ayudar a evitar esta situación.

Valores
Valor predeterminado de instalación: 5
Valor sugerido de línea base: 5
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-SsoPasswordPolicy | Select ProhibitedPreviousPasswordsCount
Ejemplo de corrección mediante un comando de PowerCLI
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -ProhibitedPreviousPasswordsCount 5
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Cuentas locales > Directiva de contraseña

Configurar el texto del banner de inicio de sesión para el acceso SSH

Configure el texto del banner de inicio de sesión del vCenter Server para el acceso mediante SSH.

vCenter Server permite mostrar un mensaje de inicio de sesión que disuade a los intrusos y comunica las obligaciones a los usuarios autorizados. Esta configuración establece el texto que se muestra cuando un cliente se conecta mediante SSH. El texto predeterminado filtra información a los atacantes sobre la configuración del sistema y debe cambiarse.

Valores

Valor predeterminado de instalación: VMware vCenter Server version

Tipo: vCenter Server con una instancia integrada de Platform Services Controller

Valor sugerido de línea base: consulte a los asesores legales de su organización para obtener un texto adecuado para su entorno.

Texto de ejemplo: Solo usuarios autorizados. El uso real o el intento de uso no autorizados de este sistema está prohibido y puede dar lugar a procedimientos o sanciones penales, civiles, de seguridad o administrativos. El uso de este sistema de información indica el consentimiento para la supervisión y el registro, sin previo aviso o permiso. Los usuarios no tienen expectativas de privacidad cuando usan este sistema. Cualquier información almacenada en este sistema, o en tránsito, u obtenida mediante la supervisión o registro, puede divulgarse a las autoridades policiales o utilizarse de acuerdo con la legislación federal, los estatutos estatales y la directiva de la organización. Si no es un usuario autorizado de este sistema, salga de él en este momento.

Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-AdvancedSetting -Entity $VC -Name etc.issue
Ejemplo de corrección mediante un comando de PowerCLI
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Mensaje de inicio de sesión

Establecer intervalo de retención de tareas y eventos

El vCenter Server debe tener la retención de tareas y eventos establecida en un intervalo adecuado.

vCenter Server conserva los datos de tareas y eventos, que caducan para ahorrar espacio de almacenamiento. La antigüedad se puede configurar. Esto solo afecta al almacenamiento local de los datos de eventos en el vCenter Server Appliance.

Valores
Valor predeterminado de instalación: 30
Valor sugerido de línea base: 30
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)
Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Establecer la ubicación en vSphere Client
N/C

Activar el registro remoto

Active el registro remoto de eventos de vCenter Server.

El registro remoto en un host central mejora la seguridad de vCenter Server al almacenar los registros de forma segura. El registro remoto simplifica la supervisión en todos los hosts y admite análisis agregados para detectar ataques coordinados. El registro centralizado evita la manipulación y sirve como un registro de auditoría fiable a largo plazo. La opción vpxd.event.syslog.enabled activa el registro remoto.

Valores
Valor predeterminado de instalación: True
Valor sugerido de línea base: true
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled
Ejemplo de corrección mediante un comando de PowerCLI
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled | Set-AdvancedSetting -Value true
Establecer la ubicación en vSphere Client
Seleccionar vCenter Server > Configurar > Configuración avanzada

Activar FIPS

El vCenter Server debe activar la criptografía validada por FIPS.

La criptografía FIPS realiza una serie de cambios en el sistema para eliminar cifrados más débiles. La activación de FIPS hace que se reinicie vCenter Server.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: true
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
La criptografía FIPS realiza una serie de cambios en el sistema para eliminar cifrados más débiles. Habilitar FIPS hace que se reinicie vCenter Server.
Evaluación mediante comandos de PowerCLI
Invoke-GetSystemGlobalFips
Ejemplo de corrección mediante un comando de PowerCLI
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true
Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
Establecer la ubicación en vSphere Client
Consulte Activar y desactivar FIPS en vCenter Server Appliance.

Configurar registros de auditoría

El vCenter Server debe producir registros de auditoría que contengan información para establecer qué tipo de eventos se produjeron.

Es importante asegurarse de que haya suficiente información en los registros de auditoría para fines de diagnóstico y análisis forense. La opción config.log.level configura los registros de auditoría.

Valores
Valor predeterminado de instalación: información
Valor sugerido de línea base: información
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-AdvancedSetting -Entity $VC -Name config.log.level
Ejemplo de corrección mediante un comando de PowerCLI
Get-AdvancedSetting -Entity $VC -Name config.log.level | Set-AdvancedSetting -Value info
Establecer la ubicación en vSphere Client
Host de vCenter Server > Configurar > Configuración avanzada

Desactivar el aprendizaje de MAC

Todos los grupos de puertos del conmutador distribuido deben desactivar el aprendizaje de direcciones MAC, a menos que se utilice de forma intencional.

El aprendizaje de direcciones MAC permite que un conmutador distribuido proporcione conectividad de red a sistemas en los que se utiliza más de una dirección MAC en una vNIC. Esto puede resultar útil en casos especiales como la virtualización anidada (por ejemplo, para ejecutar ESXi dentro de ESXi). El aprendizaje de direcciones MAC también admite el desbordamiento de unidifusión desconocido. Normalmente, cuando un paquete recibido por un puerto tiene una dirección MAC de destino desconocido, el paquete se descarta. Cuando el desbordamiento de unidifusión desconocida está habilitado, el puerto envía el tráfico de unidifusión desconocida a cada puerto del conmutador que tenga habilitadas las opciones de desbordamiento de unidifusión desconocida y de aprendizaje de direcciones MAC. Esta propiedad está activada de forma predeterminada, pero solo si el aprendizaje de direcciones MAC está habilitado. Desactive el aprendizaje de direcciones MAC a menos que se esté utilizando de forma intencional para una carga de trabajo conocida que lo requiera.

Valores
Valor predeterminado de instalación: deshabilitado
Valor sugerido de línea base: deshabilitado
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas negativamente por los valores predeterminados y el estado deseado.
Evaluación mediante comandos de PowerCLI
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
Ejemplo de corrección mediante un comando de PowerCLI
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy
$ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy
$ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
N/D. El aprendizaje de direcciones MAC se puede habilitar en un grupo de puertos virtuales distribuidos mediante vSphere API. Consulte Referencia de vSphere Web Services API para obtener más información.

Configurar los detalles del banner del mensaje de inicio de sesión

Configure los detalles del banner de inicio de sesión de vCenter Server para el vSphere Client.

vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración establece el texto detallado del mensaje de la página de inicio de sesión del vSphere Client.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: consulte a los asesores legales de su organización para obtener un texto adecuado para su entorno.

Texto de ejemplo: Solo usuarios autorizados. El uso real o el intento de uso no autorizados de este sistema está prohibido y puede dar lugar a procedimientos o sanciones penales, civiles, de seguridad o administrativos. El uso de este sistema de información indica el consentimiento para la supervisión y el registro, sin previo aviso o permiso. Los usuarios no tienen expectativas de privacidad cuando usan este sistema. Cualquier información almacenada en este sistema, o en tránsito, u obtenida mediante la supervisión o registro, puede divulgarse a las autoridades policiales o utilizarse de acuerdo con la legislación federal, los estatutos estatales y la directiva de la organización. Si no es un usuario autorizado de este sistema, salga de él en este momento.

Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)

Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:

/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Recuerde volver a desactivar el shell cuando haya terminado.
Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile

Recuerde volver a desactivar el shell cuando haya terminado.

Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Mensaje de inicio de sesión > Editar

Activar el banner de inicio de sesión

Active el banner de inicio de sesión de vCenter Server para el vSphere Client.

vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración activa la visualización del mensaje en la página de inicio de sesión de vSphere Client.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: true
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Recuerde volver a desactivar el shell cuando haya terminado.

Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Recuerde volver a desactivar el shell cuando haya terminado.

Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Mensaje de inicio de sesión > Editar

Configurar el texto del banner de inicio de sesión

Configure el texto del banner de inicio de sesión en vCenter Server para el vSphere Client.

vCenter Server permite mostrar un mensaje de inicio de sesión. Los usos del mensaje de inicio de sesión incluyen informar a los intrusos que sus actividades son ilegales, y transmitir a los usuarios autorizados las expectativas y las obligaciones que deben cumplir y aceptar al utilizar el sistema. Esta configuración establece el texto que se muestra en la página de inicio de sesión del vSphere Client.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: consulte a los asesores legales de su organización para obtener un texto específico.

Texto de ejemplo: El uso de este sistema indica el conocimiento y consentimiento de las directivas organizativas que lo rigen.

Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Recuerde volver a desactivar el shell cuando haya terminado.

Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Puede configurar el mensaje de inicio de sesión ejecutando el siguiente comando en un shell de dispositivo:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Recuerde volver a desactivar el shell cuando haya terminado.

Establecer la ubicación en vSphere Client
Administración > Single Sign On > Configuración > Mensaje de inicio de sesión > Editar

Autenticación y autorización independientes para administradores

El vCenter Server debe separar la autenticación y la autorización de los administradores.

Al combinar autenticación y autorización, como hacen servicios como Active Directory, se corre el riesgo de que se produzcan brechas en la infraestructura si se produce un ataque. Por lo tanto, para vCenter Server, asegúrese de segregar la autenticación y la autorización para los administradores. Considere la posibilidad de utilizar grupos de SSO locales para la autorización a fin de administrar mejor el riesgo cuando sea posible.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: no configurado
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
El aprovisionamiento de acceso a vCenter Server requería la interacción con SSO de vCenter Server. La automatización es posible con PowerCLI.
Evaluación mediante comandos de PowerCLI
N/D (no hay API pública disponible)
Ejemplo de corrección mediante un comando de PowerCLI
N/D (no hay API pública disponible)
Establecer la ubicación en vSphere Client
N/C

Configurar la directiva de transmisiones falsificadas en Rechazar

Establezca todos los conmutadores distribuidos y sus grupos de puertos para que rechacen las transmisiones falsificadas.

Una máquina virtual puede suplantar adaptadores de red cambiando direcciones MAC, lo que supone una amenaza para la seguridad. Al establecer la opción Transmisiones falsificadas en Rechazar en todos los conmutadores y grupos de puertos distribuidos, ESXi verifica las direcciones MAC e impide dicha suplantación.

Valores
Valor predeterminado de instalación: Rechazar
Valor sugerido de línea base: Rechazar
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Algunas cargas de trabajo utilizan estas tácticas de red de forma legítima y se ven afectadas negativamente por el ajuste predeterminado.
Evaluación mediante comandos de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Ejemplo de corrección mediante un comando de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -ForgedTransmits $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -ForgedTransmits $false
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Establecer la directiva de cambios de dirección MAC en Rechazar

Establezca la directiva de cambios de dirección MAC en Rechazar tanto en el conmutador estándar de vSphere como en sus grupos de puertos.

Permitir que las máquinas virtuales cambien las direcciones MAC supone un riesgo de seguridad, ya que permite la suplantación de adaptadores de red. El rechazo de los cambios de MAC en todos los conmutadores distribuidos y grupos de puertos lo impide, pero puede afectar a ciertas aplicaciones, como la agrupación en clústeres de Microsoft o las licencias que dependen de las direcciones MAC. Realice excepciones a esta guía de seguridad según sea necesario.

Valores
Valor predeterminado de instalación: Rechazar
Valor sugerido de línea base: Rechazar
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas negativamente por el ajuste Rechazar.
Evaluación mediante comandos de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Evaluación mediante comandos de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -MacChanges $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -MacChanges $false
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Establecer la directiva de modo promiscuo en Rechazar

Establezca la directiva de modo promiscuo en Rechazar tanto en el conmutador estándar de vSphere como en sus grupos de puertos.

La activación del modo promiscuo en un grupo de puertos permite a todas las máquinas virtuales conectadas leer todos los paquetes de red, lo que supone un riesgo potencial de seguridad. Aunque a veces es necesario permitir el modo promiscuo para depurar o supervisar, se recomienda usar el ajuste predeterminado Rechazar. Realice excepciones para grupos de puertos específicos según sea necesario.

Valores
Valor predeterminado de instalación: Rechazar
Valor sugerido de línea base: Rechazar
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Algunas cargas de trabajo utilizan legítimamente estas tácticas de red y se ven afectadas de forma negativa por el ajuste Rechazar.
Evaluación mediante comandos de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Ejemplo de corrección mediante un comando de PowerCLI
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -AllowPromiscuous $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -AllowPromiscuous $false
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Restablecer la configuración del puerto cuando se desconectan las máquinas virtuales

El vCenter Server debe restablecer la configuración del puerto cuando las máquinas virtuales se desconectan.

Cuando una máquina virtual se desconecta del puerto del conmutador virtual, es conveniente restablecer la configuración del puerto para que otra máquina virtual que se conecte tenga un puerto en un estado conocido.

Valores
Valor predeterminado de instalación: activado
Valor sugerido de línea base: activado
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
Ejemplo de corrección mediante un comando de PowerCLI
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy
$ConfigSpec.Policy.PortConfigResetAtDisconnect = $true
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Desactivar los protocolos Cisco Discovery Protocol o Link Layer Discovery Protocol

Desactive la participación en el protocolo Cisco Discovery Protocol (CDP) o Link Layer Discovery Protocol (LLDP) en los conmutadores distribuidos, a menos que se utilice de forma intencional.

El conmutador virtual distribuido de vSphere puede participar en CDP o LLDP, y podría compartir en la red información confidencial sin cifrar, como direcciones IP y nombres de sistema. Por lo tanto, CDP y LLDP pueden ayudar a los atacantes a comprender o suplantar su entorno. No obstante, CDP y LLDP también son sumamente útiles para los casos de uso legítimos. Desactive CDP y LLDP a menos que se necesiten para la validación de la configuración o la solución de problemas.

Valores
Valor predeterminado de instalación: Escuchar
Valor sugerido de línea base: Ninguno
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
Ejemplo de corrección mediante un comando de PowerCLI
$VDview = Get-VDSwitch -Name $VDS | Get-View
$ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec
$ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig
$ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp'
$ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none'
$ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion
$VDview.ReconfigureDvs_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Asegurarse de que los recopiladores autorizados reciban tráfico de NetFlow

El vCenter Server debe asegurarse de que el tráfico de NetFlow se envíe a los recopiladores autorizados.

El vSphere Distributed Switch puede exportar datos de NetFlow sin cifrar, revelando detalles sobre la red virtual y los patrones de tráfico. Compruebe que el uso de NetFlow esté autorizado y configurado correctamente para evitar fugas de información.

Valores
Valor predeterminado de instalación: Escuchar
Valor sugerido de línea base: Ninguno
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
Ejemplo de corrección mediante un comando de PowerCLI
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy
$ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false
$ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Configurar la seguridad de puertos de la máquina virtual

El vCenter Server no debe anular los ajustes del grupo de puertos en el nivel de puerto en los conmutadores distribuidos, excepto para bloquear puertos.

Si bien es posible que se necesiten anulaciones de configuración en el nivel de puertos para configuraciones de máquinas virtuales únicas, asegúrese de supervisarlas para evitar el uso no autorizado. Las anulaciones no supervisadas podrían permitir un acceso más amplio si se explota una configuración de Distributed Switch menos segura.

Valores
Valor predeterminado de instalación:

Anulación de bloqueo de puertos: TRUE

Todas las demás anulaciones: FALSE

Valor sugerido de línea base:

Anulación de bloqueo de puertos: TRUE

Todas las demás anulaciones: FALSE

Acción recomendada
Audite el ajuste predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy
Ejemplo de corrección mediante un comando de PowerCLI
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy
$ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false
$ConfigSpec.Policy.BlockOverrideAllowed = $true
$ConfigSpec.Policy.LivePortMovingAllowed = $false
$ConfigSpec.Policy.VlanOverrideAllowed = $false
$ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false
$ConfigSpec.Policy.VendorConfigOverrideAllowed = $false
$ConfigSpec.Policy.ShapingOverrideAllowed = $false
$ConfigSpec.Policy.IpfixOverrideAllowed = $false
$ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Quitar reflejo de puertos

El vCenter Server debe quitar las sesiones de reflejo de puertos no autorizadas en los conmutadores distribuidos.

El vSphere Distributed Switch puede replicar el tráfico entre puertos, lo que permite la observación de tráfico. Para mantener la seguridad, se deben eliminar todas las sesiones de reflejo de puertos no autorizadas en los conmutadores distribuidos.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: no configurado
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
(Get-VDSwitch -Name $VDS).ExtensionData.config.VspanSession
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Restringir el etiquetado de invitado virtual

El vCenter Server debe restringir el uso del etiquetado de invitado virtual (Virtual Guest Tagging, VGT) en los conmutadores distribuidos.

Establecer un grupo de puertos en VLAN 4095 permite el etiquetado de invitado virtual (VGT), lo que requiere que la máquina virtual procese las etiquetas de VLAN. Active VGT solo para las máquinas virtuales que estén autorizadas y equipadas para administrar etiquetas de VLAN. El uso inadecuado puede provocar una denegación de servicio o una interacción de tráfico de VLAN no autorizada.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: no configurado
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Ejemplo de corrección mediante un comando de PowerCLI
Get-VDPortgroup $VDPG | Set-VDVlanConfiguration -VlanId "New_VLAN#"
Establecer la ubicación en vSphere Client
Consulte la documentación de Redes de vSphere.

Comprobar el mantenimiento VMware en la versión del vCenter Server

Asegúrese de que la versión de vCenter Server no esté en el estado Fin de soporte general de VMware.

Valores
Valor predeterminado de instalación: N/D
Valor sugerido de línea base: N/D
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/C
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en la interfaz de administración del vCenter Server
Actualizar

Restringir el acceso a SSH

El servicio SSH del vCenter Server se debe desactivar.

vCenter Server Appliance se entrega como un dispositivo y está pensado para administrarse a través de la interfaz de administración de vCenter Server, el vSphere Client y las API. SSH es una herramienta de solución de problemas y soporte que se activará solo cuando sea necesario. High Availability de vCenter Server utiliza SSH para coordinar la replicación y la conmutación por error entre los nodos. El uso de esta función requiere que SSH permanezca activado.

Valores
Valor predeterminado de instalación: desactivado
Valor sugerido de línea base: desactivado
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
(Get-CisService -Name "com.vmware.appliance.access.ssh").get()
Ejemplo de corrección mediante un comando de PowerCLI
(Get-CisService -Name "com.vmware.appliance.access.ssh").set($false)
Establecer la ubicación en la interfaz de administración del vCenter Server
Acceso

Comprobar la caducidad de la contraseña del usuario raíz

La caducidad de la contraseña de la cuenta raíz del vCenter Server debe configurarse correctamente.

Las prácticas recomendadas modernas para contraseñas (NIST 800-63B Sección 5.1.1.2, entre otras instrucciones) indican que, con una entropía de contraseña adecuada, la seguridad no mejora al requerir arbitrariamente a los usuarios que cambien sus contraseñas a intervalos determinados. Muchas herramientas de seguridad automatizadas y algunos marcos de cumplimiento normativo no reflejan esta orientación y podrían pasar por alto esta recomendación.

Valores
Valor predeterminado de instalación: Sí
Valor sugerido de línea base: No
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Si no se restablece la contraseña antes de que caduque, se necesitarán procedimientos de recuperación.
Evaluación mediante comandos de PowerCLI
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
(Get-CisService -Name "com.vmware.appliance.local_accounts.policy").get()
Ejemplo de corrección mediante un comando de PowerCLI
(Get-CisService -Name "com.vmware.appliance.local_accounts.policy").set(@{max_days=9999; min_days=1; warn_days=7})
Establecer la ubicación en la interfaz de administración del vCenter Server
Administración

Configurar la copia de seguridad y la recuperación basadas en archivos

Configure la copia de seguridad y la recuperación basadas en archivos para poder recuperar el vCenter Server Appliance y su configuración mediante el instalador de vCenter Server. Las copias de seguridad y la restauración son una parte importante de la protección de su entorno.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: configuradas
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/C
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en la interfaz de administración del vCenter Server
Copia de seguridad

Configurar el firewall para que solo permita el tráfico desde redes autorizadas

El vCenter Server Appliance debe configurar el firewall para que solo permita el tráfico desde redes autorizadas.

Asegúrese de que todo el tráfico de red entrante y saliente esté bloqueado a menos que se permita explícitamente, lo que reduce la superficie de ataque y ayuda a evitar el acceso no autorizado al sistema. El tráfico saliente (egreso) no se bloquea, ni tampoco las conexiones relacionadas o establecidas, por lo que vCenter Server Appliance aún puede comunicarse con los sistemas en los que inicia la conexión. Utilice firewalls perimetrales para restringir ese tipo de conexiones.

Valores
Valor predeterminado de instalación: conexiones permitidas desde cualquier dirección IP.
Valor sugerido de línea base: conexiones permitidas solo desde estaciones de trabajo de infraestructura y administración autorizadas.
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Pérdida de conectividad. Asegúrese de configurar una regla de permiso para sí mismo antes de configurar una regla de "denegar todo".
Evaluación mediante comandos de PowerCLI
N/C
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en la interfaz de administración del vCenter Server
Firewall

Configurar un servidor de registro remoto

Configure un servidor de registro remoto para el vCenter Server.

El registro remoto en un host central mejora la seguridad de vCenter Server al almacenar los registros de forma segura. El registro remoto simplifica la supervisión en todos los hosts y admite análisis agregados para detectar ataques coordinados. El registro centralizado evita la manipulación y sirve como un registro de auditoría fiable a largo plazo.

Valores
Valor predeterminado de la instalación: no configurado
Valor sugerido de línea base: servidor de registro específico del sitio
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
(Get-CisService -Name "com.vmware.appliance.logging.forwarding").get()
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en vSphere Client
N/C

Configurar la sincronización de hora

vCenter Server debe tener orígenes de sincronización de hora fiables.

El cifrado, el registro de auditoría, las operaciones del clúster, la respuesta ante incidentes y los análisis forenses dependen en gran medida de la sincronización de la hora. El protocolo de tiempo de red (NTP) debe tener al menos cuatro orígenes. Si debe elegir entre dos orígenes y un origen, es preferible uno solo.

Valores
Valor predeterminado de instalación: no definido
Valor sugerido de línea base: específico del sitio, o bien:

0.vmware.pool.ntp.org,

1.vmware.pool.ntp.org,

2.vmware.pool.ntp.org,

3.vmware.pool.ntp.org

Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Nota: Primero debe conectarse al host de vCenter Server mediante el cmdlet Connect-CISServer.
(Get-CisService -Name ""com.vmware.appliance.timesync"").get()
(Get-CisService -Name ""com.vmware.appliance.ntp"").get()
Ejemplo de corrección mediante un comando de PowerCLI
(Get-CisService -Name ""com.vmware.appliance.timesync"").set(""NTP"")
(Get-CisService -Name ""com.vmware.appliance.ntp"").set(""0.vmware.pool.ntp.org,1.vmware.pool.ntp.org,2.vmware.pool.ntp.org,3.vmware.pool.ntp.org"")
Establecer la ubicación en vSphere Client
N/C

Instalar las actualizaciones de software

Asegúrese de que vCenter Server tenga instaladas todas las actualizaciones de software.

Al mantener las revisiones de vCenter Server actualizadas, se pueden mitigar las vulnerabilidades. Los atacantes pueden aprovechar las vulnerabilidades conocidas al intentar obtener acceso no autorizado o elevar privilegios.

Al aplicar las actualizaciones, actualice primero vCenter Server si hay alguna actualización disponible y, a continuación, continúe con la actualización de ESXi. Esta secuencia garantiza que la capa de administración se actualice antes de actualizar los hosts ESXi.

Valores
Valor predeterminado de instalación: N/D
Valor sugerido de línea base: N/D
Acción recomendada
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
N/C
Ejemplo de corrección mediante un comando de PowerCLI
N/C
Establecer la ubicación en vSphere Client
Consulte la documentación de Administración del ciclo de vida de hosts y clústeres.

Rotar la contraseña de vpxuser

El vCenter Server debe configurar la contraseña de vpxuser para que se rote en el intervalo adecuado.

La opción VirtualCenter.VimPasswordExpirationInDays configura el período de rotación. Asegúrese de que el vCenter Server esté rotando correctamente la contraseña que establece automáticamente en los hosts ESXi.

Valores
Valor predeterminado de instalación: 30
Valor sugerido de línea base: 30
Acción recomendada
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays
Ejemplo de corrección mediante un comando de PowerCLI
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays | Set-AdvancedSetting -Value 30
Establecer la ubicación en vSphere Client
Seleccionar vCenter Server > Configurar > Configuración avanzada