Votre système vCenter Server et les services associés sont protégés par l'authentification via vCenter Single Sign-On, ainsi que par l'autorisation via le modèle d'autorisations vCenter Server. Vous pouvez modifier le comportement par défaut ou prendre des mesures supplémentaires pour protéger l'accès à votre environnement.

Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server et une ou plusieurs instances de Platform Services Controller.

Renforcer toutes les machines hôtes vCenter

Pour protéger votre environnement vCenter, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte.

Découvrir le modèle de certificat vCenter

Par défaut, l'autorité de certification VMware provisionne chaque hôte ESXi, chaque machine de l'environnement et chaque utilisateur de solution à l'aide d'un certificat signé par VMCA (VMware Certificate Authority). L'environnement fourni est prêt à l'emploi, mais vous pouvez modifier le comportement par défaut si la stratégie de l'entreprise l'exige. Reportez-vous à Certificats de sécurité vSphere.

Pour une protection supplémentaire, supprimez explicitement les certificats révoqués ou qui ont expiré, ainsi que les installations qui ont échoué.

Configurer vCenter Single Sign-On

vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. La première fois que vous installez le logiciel, vous spécifiez un mot de passe pour l'utilisateur administrator@vsphere.local, et seul ce domaine est disponible en tant que source d'identité. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Dorénavant, les utilisateurs qui peuvent s'authentifier auprès d'une source d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Reportez-vous à Authentification vSphere à l'aide de vCenter Single Sign-On.

Attribuer des rôles aux utilisateurs ou aux groupes

Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere 6.0 procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous à la section Présentation des autorisations dans vSphere et Privilèges requis pour les tâches courantes.

Assurez-vous de limiter les privilèges d'administrateur et l'utilisation du rôle d'administrateur. Dans la mesure du possible, évitez d'utiliser l'utilisateur Administrateur anonyme.

Configurer NTP

Configurez NTP pour chaque nœud de votre environnement. L'infrastructure de certificats exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés.

Reportez-vous à Synchronisation des horloges sur le réseau vSphere.