Utilisez cette liste de conditions requises et de recommandations pour référence concernant la gestion des contrôles d'accès, des certificats et des comptes dans un environnement VMware Cloud Foundation.

Pour plus d'informations sur la conception, reportez-vous à la section Conception de la sécurité des informations pour VMware Cloud Foundation.

Tableau 1. Conditions requises pour la conception de la gestion des comptes et des mots de passe pour VMware Cloud Foundation

ID de recommandation

Recommandation en matière de conception

Justification

Implication

VCF-ACTMGT-REQD-SEC-001

Activez la rotation planifiée des mots de passe dans SDDC Manager pour tous les comptes prenant en charge cette fonctionnalité.

  • Augmente la position de sécurité de votre SDDC.

  • Simplifie la gestion des mots de passe entre vos composants de gestion SDDC.

Vous devez récupérer les nouveaux mots de passe à l'aide de l'API si vous devez utiliser des comptes de manière interactive.

VCF-ACTMGT-REQD-SEC-003

Établissez une pratique opérationnelle pour effectuer une rotation des mots de passe à l'aide de SDDC Manager sur les composants qui ne prennent pas en charge la rotation planifiée dans SDDC Manager.

Effectue une rotation des mots de passe et corrige automatiquement les bases de données SDDC Manager pour ces comptes d'utilisateur.

Aucun.

VCF-ACTMGT-REQD-SEC-003

Établissez une pratique opérationnelle pour effectuer une rotation manuelle des mots de passe sur les composants pour lesquels SDDC Manager ne peut pas effectuer de rotation.

Maintient les stratégies de mots de passe pour les composants non gérés par la gestion des mots de passe de SDDC Manager.

Aucun.

Tableau 2. Recommandations en matière de conception de gestion des certificats pour VMware Cloud Foundation

ID de recommandation

Recommandation en matière de conception

Justification

Implication

VCF-SDDC-RCMD-SEC-001

Remplacez le certificat par défaut signé par VMCA sur tous les dispositifs virtuels de gestion par un certificat signé par une autorité de certification interne.

Garantit que la communication avec tous les composants de gestion est sécurisée.

Le remplacement des certificats par défaut par des certificats signés par une autorité de certification d'approbation peut augmenter le temps de préparation du déploiement, car vous devez générer des demandes de certificats et les envoyer.

VCF-SDDC-RCMD-SEC-002

Utilisez un algorithme SHA-2 ou supérieur pour les certificats signés.

L'algorithme SHA-1 est considéré comme moins sécurisé et a été désapprouvé.

Les autorités de certification ne prennent pas toutes en charge SHA-2 ou une version ultérieure.

VCF-SDDC-RCMD-SEC-003

Effectuez la gestion du cycle de vie des certificats SSL pour tous les dispositifs de gestion à l'aide de SDDC Manager.

SDDC Manager prend en charge la gestion automatique du cycle de vie des certificats SSL plutôt que d'exiger une série d'étapes manuelles.

La gestion des certificats pour les instances du gestionnaire global NSX doit être effectuée manuellement.