Concevez la gestion des contrôles d'accès, des certificats et des comptes pour VMware Cloud Foundation en fonction des besoins de votre organisation.

Gestion des accès pour VMware Cloud Foundation

Concevez la gestion des accès pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.

Composant

Méthode d'accès

Informations supplémentaires

SDDC Manager

  • Interface utilisateur

  • API

  • SSH

SSH est actif par défaut. L'accès à l'utilisateur racine est désactivé.

Gestionnaire local NSX

  • Interface utilisateur

  • API

  • SSH

SSH est désactivé par défaut.

Dispositifs NSX Edge

  • API

  • SSH

SSH est désactivé par défaut.

Gestionnaire global NSX

  • Interface utilisateur

  • API

  • SSH

Le paramètre SSH est défini lors du déploiement.

vCenter Server

  • Interface utilisateur

  • API

  • SSH

  • VAMI

SSH est actif par défaut.

ESXi

  • Interface utilisateur de console directe (DCUI)

  • ESXi Shell

  • SSH

  • VMware Host Client

SSH et ESXi Shell sont désactivés par défaut.

vRealize Suite Lifecycle Manager

  • Interface utilisateur

  • API

  • SSH

SSH est actif par défaut.

Workspace ONE Access

  • Interface utilisateur

  • API

  • SSH

SSH est actif par défaut.

Conception de la gestion des comptes pour VMware Cloud Foundation

Concevez la gestion des comptes pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.

Méthodes de gestion des mots de passe

SDDC Manager gère le cycle de vie des mots de passe de composants qui font partie de l'instance de VMware Cloud Foundation. Plusieurs méthodes de gestion du cycle de vie du mot de passe sont prises en charge.

Tableau 1. Méthodes de gestion des mots de passe dans VMware Cloud Foundation

Méthode

Description

Effectuer une rotation

Mettre à jour un ou plusieurs comptes avec un mot de passe généré automatiquement

Mettre à jour

Mettre à jour le mot de passe d'un compte unique avec un mot de passe entré manuellement

Corriger

Rapprochez un compte unique avec un mot de passe qui a été défini manuellement au niveau du composant.

Planifier

Planifiez la rotation automatique pour un ou plusieurs comptes sélectionnés.

Manuel

Mettez à jour un mot de passe manuellement directement dans le composant.

Gestion des comptes et des mots de passe

VMware Cloud Foundation comprend plusieurs types de comptes interactifs, locaux et de service. Chaque compte dispose d'attributs différents et peut être géré des manières suivantes :

Pour plus d'informations sur la complexité des mots de passe, le verrouillage des comptes ou l'intégration à des fournisseurs d'identité supplémentaires, reportez-vous à la section Gestion des identités et des accès pour VMware Cloud Foundation.

Tableau 2. Gestion des comptes et des mots de passe dans VMware Cloud Foundation

Composant

Compte d'utilisateur

Gestion des mots de passe

Informations supplémentaires

SDDC Manager

admin@local

  • Manuel à l'aide de l'API de SDDC Manager

  • Expiration par défaut : jamais

  • Compte du dispositif local

  • Accès aux API (compte d'accès d'urgence)

vcf

  • Manuel à l'aide du système d'exploitation

  • Expiration par défaut : 365 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

racine

  • Manuel à l'aide du système d'exploitation

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

sauvegarde

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 365 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

[email protected]

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte vCenter Single Sign-On.

  • Accès aux applications et aux API.

  • Compte VMware Cloud FoundationAdmin supplémentaire requis pour effectuer une rotation manuelle des mots de passe.

Gestionnaire local NSX

admin

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès aux API et aux applications au niveau du système d'exploitation

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

audit

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

  • Accès au niveau des applications en lecture seule

Dispositifs NSX Edge

admin

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès aux API et aux applications au niveau du système d'exploitation

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

audit

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

  • Accès au niveau des applications en lecture seule

Gestionnaire global NSX

admin

  • Manuel à l'aide de l'interface utilisateur ou de l'API du gestionnaire global NSX

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès aux API et aux applications au niveau du système d'exploitation

racine

  • Manuel à l'aide de chaque dispositif du gestionnaire global NSX

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

audit

  • Manuel à l'aide de l'interface utilisateur ou de l'API du gestionnaire global NSX

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

  • Accès au niveau des applications en lecture seule

vCenter Server

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

  • Accès à l'interface VAMI

[email protected]

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 90 jours

  • Compte vCenter Single Sign-On.

  • Accès aux applications et aux API.

  • Pertinent au domaine de charge de travail isolé

svc-nsx-manager-hostname-vcenter-server-hostname

  • Géré par le système.

  • Rotation automatique tous les 30 jours par défaut

  • Expiration par défaut : aucune

Compte de service entre NSX Manager et vCenter Server

svc-vrslcm-hostname-vccenter-server-hostname

  • Géré par le système

  • Rotation automatique tous les 30 jours par défaut

  • Expiration par défaut : aucune

Compte de service entre vRealize Suite Lifecycle Manager et vCenter Server

ESXi

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 99 999 (jamais)

Manuel

svc-vcf-esxi-hostname

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 99 999 (jamais)

Compte de service entre SDDC Manager et l'hôte ESXi

vRealize Suite Lifecycle Manager

vcfadmin@local

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : jamais

Accès aux API et aux applications

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 365 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

Workspace ONE Access

racine

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : 60 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

sshuser

  • Géré par vRealize Suite Lifecycle Manager

  • Expiration par défaut : 60 jours

  • Compte du dispositif local

  • Accès au niveau du système d'exploitation

admin (port 8443)

Géré par vRealize Suite Lifecycle Manager

Administrateur système

Admin (port 443)

  • Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur ou de l'API de SDDC Manager

  • Expiration par défaut : jamais

Administrateur d'applications par défaut

configadmin

  • Vous devez utiliser Workspace ONE Access et vRealize Suite Lifecycle Manager pour gérer la planification de la rotation des mots de passe de l'utilisateur configadmin.

  • Expiration par défaut : jamais

Administrateur de configuration d'application

Recommandations en matière de conception de la gestion des comptes

Vous pouvez appliquer certaines meilleures pratiques dans votre conception de gestion des comptes.

Tableau 3. Conditions requises pour la conception de la gestion des comptes et des mots de passe pour VMware Cloud Foundation

ID de recommandation

Recommandation en matière de conception

Justification

Implication

VCF-ACTMGT-REQD-SEC-001

Activez la rotation planifiée des mots de passe dans SDDC Manager pour tous les comptes prenant en charge cette fonctionnalité.

  • Augmente la position de sécurité de votre SDDC.

  • Simplifie la gestion des mots de passe entre vos composants de gestion SDDC.

Vous devez récupérer les nouveaux mots de passe à l'aide de l'API si vous devez utiliser des comptes de manière interactive.

VCF-ACTMGT-REQD-SEC-003

Établissez une pratique opérationnelle pour effectuer une rotation des mots de passe à l'aide de SDDC Manager sur les composants qui ne prennent pas en charge la rotation planifiée dans SDDC Manager.

Effectue une rotation des mots de passe et corrige automatiquement les bases de données SDDC Manager pour ces comptes d'utilisateur.

Aucun.

VCF-ACTMGT-REQD-SEC-003

Établissez une pratique opérationnelle pour effectuer une rotation manuelle des mots de passe sur les composants pour lesquels SDDC Manager ne peut pas effectuer de rotation.

Maintient les stratégies de mots de passe pour les composants non gérés par la gestion des mots de passe de SDDC Manager.

Aucun.

Gestion des certificats pour VMware Cloud Foundation

Concevez la gestion des certificats pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.

L'accès à toutes les interfaces de composants de gestion doit s'effectuer via une connexion SSL (Secure Socket Layer). Pendant le déploiement, un certificat est attribué à chaque composant à partir d'une autorité de certification de signature par défaut. Pour fournir un accès sécurisé à chaque composant, remplacez le certificat par défaut par un certificat signé par une autorité de certification d'entreprise approuvée.

Tableau 4. Gestion des certificats dans VMware Cloud Foundation

Composant

Autorité de certification de signature par défaut

Cycle de vie des certificats signés par une autorité de certification d'entreprise

SDDC Manager

VMCA du domaine de gestion

Utilisation de SDDC Manager

Gestionnaire local NSX

VMCA du domaine de gestion

Utilisation de SDDC Manager

Dispositifs NSX Edge

Sans objet

Sans objet

Gestionnaire global NSX

Auto-signé

Manuel

vCenter Server

VMCA du domaine de charge de travail local

Utilisation de SDDC Manager

ESXi

VMCA du domaine de charge de travail local

Manuel*

vRealize Suite Lifecycle Manager

VMCA du domaine de gestion

Utilisation de SDDC Manager
Note :

* Pour utiliser des certificats signés par une autorité de certification d'entreprise avec ESXi, le déploiement initial de VMware Cloud Foundation doit s'effectuer à l'aide de l'API fournissant le certificat racine approuvé.

Tableau 5. Recommandations en matière de conception de gestion des certificats pour VMware Cloud Foundation

ID de recommandation

Recommandation en matière de conception

Justification

Implication

VCF-SDDC-RCMD-SEC-001

Remplacez le certificat par défaut signé par VMCA sur tous les dispositifs virtuels de gestion par un certificat signé par une autorité de certification interne.

Garantit que la communication avec tous les composants de gestion est sécurisée.

Le remplacement des certificats par défaut par des certificats signés par une autorité de certification d'approbation peut augmenter le temps de préparation du déploiement, car vous devez générer des demandes de certificats et les envoyer.

VCF-SDDC-RCMD-SEC-002

Utilisez un algorithme SHA-2 ou supérieur pour les certificats signés.

L'algorithme SHA-1 est considéré comme moins sécurisé et a été désapprouvé.

Les autorités de certification ne prennent pas toutes en charge SHA-2 ou une version ultérieure.

VCF-SDDC-RCMD-SEC-003

Effectuez la gestion du cycle de vie des certificats SSL pour tous les dispositifs de gestion à l'aide de SDDC Manager.

SDDC Manager prend en charge la gestion automatique du cycle de vie des certificats SSL plutôt que d'exiger une série d'étapes manuelles.

La gestion des certificats pour les instances du gestionnaire global NSX doit être effectuée manuellement.