Utilisez cette liste de conditions requises et de recommandations pour référence concernant la gestion des contrôles d'accès, des certificats et des comptes dans un environnement VMware Cloud Foundation.
Pour plus d'informations sur la conception, reportez-vous à la section Conception de la sécurité des informations pour VMware Cloud Foundation.
ID de recommandation |
Recommandation en matière de conception |
Justification |
Implication |
---|---|---|---|
VCF-ACTMGT-REQD-SEC-001 |
Activez la rotation planifiée des mots de passe dans SDDC Manager pour tous les comptes prenant en charge cette fonctionnalité. |
|
Vous devez récupérer les nouveaux mots de passe à l'aide de l'API si vous devez utiliser des comptes de manière interactive. |
VCF-ACTMGT-REQD-SEC-003 |
Établissez une pratique opérationnelle pour effectuer une rotation des mots de passe à l'aide de SDDC Manager sur les composants qui ne prennent pas en charge la rotation planifiée dans SDDC Manager. |
Effectue une rotation des mots de passe et corrige automatiquement les bases de données SDDC Manager pour ces comptes d'utilisateur. |
Aucun. |
VCF-ACTMGT-REQD-SEC-003 |
Établissez une pratique opérationnelle pour effectuer une rotation manuelle des mots de passe sur les composants pour lesquels SDDC Manager ne peut pas effectuer de rotation. |
Maintient les stratégies de mots de passe pour les composants non gérés par la gestion des mots de passe de SDDC Manager. |
Aucun. |
ID de recommandation |
Recommandation en matière de conception |
Justification |
Implication |
---|---|---|---|
VCF-SDDC-RCMD-SEC-001 |
Remplacez le certificat par défaut signé par VMCA sur tous les dispositifs virtuels de gestion par un certificat signé par une autorité de certification interne. |
Garantit que la communication avec tous les composants de gestion est sécurisée. |
Le remplacement des certificats par défaut par des certificats signés par une autorité de certification d'approbation peut augmenter le temps de préparation du déploiement, car vous devez générer des demandes de certificats et les envoyer. |
VCF-SDDC-RCMD-SEC-002 |
Utilisez un algorithme SHA-2 ou supérieur pour les certificats signés. |
L'algorithme SHA-1 est considéré comme moins sécurisé et a été désapprouvé. |
Les autorités de certification ne prennent pas toutes en charge SHA-2 ou une version ultérieure. |
VCF-SDDC-RCMD-SEC-003 |
Effectuez la gestion du cycle de vie des certificats SSL pour tous les dispositifs de gestion à l'aide de SDDC Manager. |
SDDC Manager prend en charge la gestion automatique du cycle de vie des certificats SSL plutôt que d'exiger une série d'étapes manuelles. |
La gestion des certificats pour les instances du gestionnaire global NSX doit être effectuée manuellement. |