Las guías de fortalecimiento de seguridad de VMware proporcionan instrucciones prescriptivas para implementar y operar los productos de VMware de forma segura. Para vSphere, esta guía se denomina Guía de configuración de seguridad de vSphere (anteriormente conocida como Guía de fortalecimiento). A partir de vSphere 8.0 Update 3, la información de la Guía de configuración de seguridad de vSphere conocida como controles de seguridad, se incluye en esta guía.

Los controles de seguridad ofrecen prácticas recomendadas de seguridad para vSphere. Los controles de seguridad no corresponden directamente a directrices o marcos normativos. Por lo tanto, no los utilice como medio para lograr la conformidad. Además, los controles de seguridad no están diseñados para usarse como lista de comprobación de seguridad.

La seguridad siempre implica ceder en algo. Implementar controles de seguridad puede afectar negativamente la facilidad de uso, el rendimiento u otras tareas operativas. Tenga en cuenta las cargas de trabajo, los patrones de uso, la estructura organizativa, entre otros elementos, antes de realizar cambios de seguridad, ya sea que los consejos provengan de VMware o de otras fuentes del sector.

Si su organización tiene necesidades de conformidad normativa, consulte https://core.vmware.com/compliance. Este sitio incluye kits de conformidad y guías de auditoría de productos para ayudar a los administradores de vSphere y a los auditores normativos a garantizar y dar fe de la conformidad de la infraestructura virtual en cuanto a los marcos normativos, como NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001, entre otros.

Estos controles de seguridad de vSphere no contemplan la protección de los siguientes elementos:
  • Software que se ejecuta dentro de la máquina virtual, como el sistema operativo invitado y las aplicaciones
  • Tráfico que se ejecuta a través de las redes de máquina virtual
  • Seguridad de los productos de extensión

Estos controles de seguridad de vSphere no deben utilizarse como una herramienta de "cumplimiento". Estos controles de seguridad permiten dar los primeros pasos hacia el cumplimiento pero, por sí mismos, no garantizan que la implementación sea conforme. Para obtener más información sobre la conformidad, consulte Seguridad y conformidad en el entorno de vSphere.

No aplique ciegamente controles de seguridad a su entorno. En cambio, dedique un momento a evaluar cada ajuste y tome una decisión informada sobre si aplicarlo o no. Como mínimo, puede utilizar las instrucciones de las secciones de Evaluación para comprobar la seguridad de su implementación.

Estos controles de seguridad son una ayuda para comenzar a implementar la conformidad en su implementación. Cuando se utilizan con las guías de DISA y otras directrices de conformidad, puede establecer una correspondencia entre los controles de seguridad de vSphere y el tipo de conformidad de cada directriz.

Definiciones de los términos de los controles de seguridad

En las siguientes secciones de control de seguridad, se utilizan estos términos y definiciones.

Tabla 1. Definiciones de controles de seguridad
Término de los controles Definición
Valor predeterminado de instalación El valor predeterminado del control en esta versión de vSphere cuando instala el producto por primera vez.
Valor sugerido de línea base Una recomendación razonable sobre cómo debe configurar este control, si no hay otras instrucciones presentes. Las instrucciones de cumplimiento normativo podrían sustituir a estas recomendaciones, por ejemplo.
Acción necesaria

La acción sugerida para un control en particular.

Modificar: realizar el cambio. Para los controles que están fuera de vSphere, como la configuración de hardware, esta documentación siempre asume que el control está establecido de forma no segura de forma predeterminada y recomienda modificar la configuración.

Auditar: asegurarse de que el valor predeterminado esté en uso, que el valor esperado esté presente o que están documentadas las excepciones al control. Cuando se audita un control cuyo valor predeterminado es el valor sugerido, son posibles dos líneas de pensamiento. Primera: solo si se establecen los parámetros explícitamente se pueden auditar y conocer. Segunda: todos los cambios de configuración requieren "cuidado y mantenimiento" a lo largo del tiempo, así que cuando exista un valor predeterminado seguro, puede utilizarlo para ayudar a simplificar un entorno. Esta documentación sigue este último enfoque, pero puede elegir su propio criterio.

Los controles no implementados no tienen ningún efecto sobre la seguridad. Se enumeran como "auditoría" en esta documentación, pero se pueden eliminar.

Impacto funcional potencial si se cambia el valor predeterminado ¿Este cambio puede causar problemas? La mayoría de los controles de seguridad presentan compromisos de algún tipo. ¿Qué exigiría a cambio la modificación de este control?
Evaluación mediante comandos de PowerCLI Un ejemplo de comando PowerCLI para determinar cómo se establece el control.
Ejemplo de corrección mediante un comando de PowerCLI Un ejemplo de comando PowerCLI para establecer el control según la recomendación.