Conception de la sécurité des informations pour VMware Cloud Foundation

Concevez la gestion des contrôles d'accès, des certificats et des comptes pour VMware Cloud Foundation en fonction des besoins de votre organisation.

Gestion des accès pour VMware Cloud Foundation

Concevez la gestion des accès pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.


Composant	Méthode d'accès	Informations supplémentaires
SDDC Manager	Interface utilisateur API SSH	SSH est actif par défaut. L'accès de l'utilisateur racine n'est pas autorisé.
Gestionnaire local NSX	Interface utilisateur API SSH	SSH est désactivé par défaut.
Dispositifs NSX Edge	API SSH	SSH est désactivé par défaut.
Gestionnaire global NSX	Interface utilisateur API SSH	Le paramètre SSH est défini lors du déploiement.
vCenter Server	Interface utilisateur API SSH VAMI	SSH est actif par défaut.
ESXi	Interface utilisateur de console directe (DCUI) ESXi Shell SSH VMware Host Client	SSH et ESXi Shell sont désactivés par défaut.
VMware Aria Suite Lifecycle	Interface utilisateur API SSH	SSH est actif par défaut.
Workspace ONE Access	Interface utilisateur API SSH	SSH est actif par défaut.

Conception de la gestion des comptes pour VMware Cloud Foundation

Concevez la gestion des comptes pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.

Méthodes de gestion des mots de passe

SDDC Manager gère le cycle de vie des mots de passe de composants qui font partie de l'instance de VMware Cloud Foundation. Plusieurs méthodes de gestion du cycle de vie du mot de passe sont prises en charge.

Tableau 1. Méthodes de gestion des mots de passe dans VMware Cloud Foundation
Méthode	Description
Effectuer une rotation	Mettre à jour un ou plusieurs comptes avec un mot de passe généré automatiquement
Mettre à jour	Mettre à jour le mot de passe d'un compte unique avec un mot de passe entré manuellement
Corriger	Rapprochez un compte unique avec un mot de passe qui a été défini manuellement au niveau du composant.
Planifier	Planifiez la rotation automatique pour un ou plusieurs comptes sélectionnés.
Manuel	Mettez à jour un mot de passe manuellement directement dans le composant.

Gestion des comptes et des mots de passe

VMware Cloud Foundation comprend plusieurs types de comptes interactifs, locaux et de service. Chaque compte dispose d'attributs différents et peut être géré des manières suivantes :

Pour plus d'informations sur la complexité des mots de passe, le verrouillage des comptes ou l'intégration à des fournisseurs d'identité supplémentaires, reportez-vous à la section Gestion des identités et des accès pour VMware Cloud Foundation.

Tableau 2. Gestion des comptes et des mots de passe dans VMware Cloud Foundation
Composant	Compte d'utilisateur	Gestion des mots de passe	Informations supplémentaires
SDDC Manager	admin@local	Manuel à l'aide de l'API de SDDC Manager Expiration par défaut : jamais	Compte du dispositif local Accès aux API (compte d'accès d'urgence)
	vcf	Manuel à l'aide du système d'exploitation Expiration par défaut : 365 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	racine	Manuel à l'aide du système d'exploitation Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	sauvegarde	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 365 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	[email protected]	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte vCenter Single Sign-On. Accès aux applications et aux API. Compte VMware Cloud FoundationAdmin supplémentaire requis pour effectuer une rotation manuelle des mots de passe.
Gestionnaire local NSX	admin	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès aux API et aux applications au niveau du système d'exploitation
	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	audit	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation Accès au niveau des applications en lecture seule
Dispositifs NSX Edge	admin	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur, du plug-in de SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès aux API et aux applications au niveau du système d'exploitation
	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	audit	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation Accès au niveau des applications en lecture seule
Gestionnaire global NSX	admin	Manuel à l'aide de l'interface utilisateur ou de l'API du gestionnaire global NSX Expiration par défaut : 90 jours	Compte du dispositif local Accès aux API et aux applications au niveau du système d'exploitation
	racine	Manuel à l'aide de chaque dispositif du gestionnaire global NSX Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	audit	Manuel à l'aide de l'interface utilisateur ou de l'API du gestionnaire global NSX Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation Accès au niveau des applications en lecture seule
vCenter Server	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte du dispositif local Accès au niveau du système d'exploitation Accès à l'interface VAMI
	[email protected]	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 90 jours	Compte vCenter Single Sign-On. Accès aux applications et aux API. Pertinent au domaine de charge de travail isolé
	svc-`sddc-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Géré par le système. Rotation automatique tous les 30 jours par défaut Expiration par défaut : aucune	Compte de service entre SDDC Manager et vCenter Server
	svc-`nsx-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Géré par le système. Rotation automatique tous les 30 jours par défaut Expiration par défaut : aucune	Compte de service entre NSX Manager et vCenter Server
	svc-`vrslcm-hostname`-`vcenter-server-hostname`@vsphere.local	Géré par le système Rotation automatique tous les 30 jours par défaut Expiration par défaut : aucune	Compte de service entre VMware Aria Suite Lifecycle et vCenter Server
ESXi	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 99 999 (jamais)	Manuel
ESXi	svc-vcf-`esxi-hostname`	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 99 999 (jamais)	Compte de service entre SDDC Manager et l'hôte ESXi
VMware Aria Suite Lifecycle	vcfadmin@local	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : jamais	Accès aux API et aux applications
VMware Aria Suite Lifecycle	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 365 jours	Compte du dispositif local Accès au niveau du système d'exploitation
Workspace ONE Access	racine	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur de SDDC Manager, du plug-in SDDC Manager dans vCenter ou de l'API Expiration par défaut : 60 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	sshuser	Géré par VMware Aria Suite Lifecycle Expiration par défaut : 60 jours	Compte du dispositif local Accès au niveau du système d'exploitation
	admin (port 8443)	Géré par VMware Aria Suite Lifecycle	Administrateur système
	Admin (port 443)	Effectuer une rotation, une mise à jour, une correction ou une planification à l'aide de l'interface utilisateur, du plug-in de SDDC Manager dans vCenter ou de l'API Expiration par défaut : jamais	Administrateur d'applications par défaut
	configadmin	Vous devez utiliser Workspace ONE Access et VMware Aria Suite Lifecycle pour gérer la planification de la rotation des mots de passe de l'utilisateur configadmin. Expiration par défaut : jamais	Administrateur de configuration d'application

Recommandations en matière de conception de la gestion des comptes

Vous pouvez appliquer certaines meilleures pratiques dans votre conception de gestion des comptes.

Tableau 3. Conditions requises pour la conception de la gestion des comptes et des mots de passe pour VMware Cloud Foundation
ID de recommandation	Recommandation en matière de conception	Justification	Implication
VCF-ACTMGT-REQD-SEC-001	Activez la rotation planifiée des mots de passe dans SDDC Manager pour tous les comptes prenant en charge cette fonctionnalité.	Augmente la position de sécurité de votre SDDC. Simplifie la gestion des mots de passe entre vos composants de gestion SDDC.	Vous devez récupérer les nouveaux mots de passe à l'aide de l'API si vous devez utiliser des comptes de manière interactive.
VCF-ACTMGT-REQD-SEC-003	Établissez une pratique opérationnelle pour effectuer une rotation des mots de passe à l'aide de SDDC Manager sur les composants qui ne prennent pas en charge la rotation planifiée dans SDDC Manager.	Effectue une rotation des mots de passe et corrige automatiquement les bases de données SDDC Manager pour ces comptes d'utilisateur.	Aucun.
VCF-ACTMGT-REQD-SEC-003	Établissez une pratique opérationnelle pour effectuer une rotation manuelle des mots de passe sur les composants pour lesquels SDDC Manager ne peut pas effectuer de rotation.	Maintient les stratégies de mots de passe pour les composants non gérés par la gestion des mots de passe de SDDC Manager.	Aucun.

Gestion des certificats pour VMware Cloud Foundation

Concevez la gestion des certificats pour VMware Cloud Foundation conformément aux normes sectorielles et aux conditions requises de votre organisation.

L'accès à toutes les interfaces de composants de gestion doit s'effectuer via une connexion SSL (Secure Socket Layer). Pendant le déploiement, un certificat est attribué à chaque composant à partir d'une autorité de certification de signature par défaut. Pour fournir un accès sécurisé à chaque composant, remplacez le certificat par défaut par un certificat signé par une autorité de certification d'entreprise approuvée.

Tableau 4. Gestion des certificats dans VMware Cloud Foundation
Composant	Autorité de certification de signature par défaut	Cycle de vie des certificats signés par une autorité de certification d'entreprise
SDDC Manager	VMCA du domaine de gestion	SDDC Manager Plug-in SDDC Manager dans vCenter
Gestionnaire local NSX	VMCA du domaine de gestion	SDDC Manager Plug-in SDDC Manager dans vCenter
Dispositifs NSX Edge	Sans objet	Sans objet
Gestionnaire global NSX	Auto-signé	Manuel
vCenter Server	VMCA du domaine de charge de travail local	SDDC Manager Plug-in SDDC Manager dans vCenter
ESXi	VMCA du domaine de charge de travail local	Manuel*
VMware Aria Suite Lifecycle	VMCA du domaine de gestion	SDDC Manager Plug-in SDDC Manager dans vCenter

Note :

* Pour utiliser des certificats signés par une autorité de certification d'entreprise avec ESXi, le déploiement initial de VMware Cloud Foundation doit s'effectuer à l'aide de l'API fournissant le certificat racine approuvé.

Tableau 5. Recommandations en matière de conception de gestion des certificats pour VMware Cloud Foundation
ID de recommandation	Recommandation en matière de conception	Justification	Implication
VCF-SDDC-RCMD-SEC-001	Remplacez les certificats par défaut VMCA ou signés sur tous les dispositifs virtuels de gestion par un certificat signé par une autorité de certification interne.	Garantit que la communication avec tous les composants de gestion est sécurisée.	Le remplacement des certificats par défaut par des certificats signés par une autorité de certification d'approbation peut augmenter le temps de préparation du déploiement, car vous devez générer des demandes de certificats et les envoyer.
VCF-SDDC-RCMD-SEC-002	Utilisez un algorithme SHA-2 ou supérieur pour les certificats signés.	L'algorithme SHA-1 est considéré comme moins sécurisé et a été désapprouvé.	Les autorités de certification ne prennent pas toutes en charge SHA-2 ou une version ultérieure.
VCF-SDDC-RCMD-SEC-003	Effectuez la gestion du cycle de vie des certificats SSL pour tous les dispositifs de gestion à l'aide de SDDC Manager ou du plug-in SDDC Manager dans vCenter.	SDDC Manager prend en charge la gestion automatique du cycle de vie des certificats SSL plutôt que d'exiger une série d'étapes manuelles.	La gestion des certificats pour les instances du gestionnaire global NSX doit être effectuée manuellement.