Suivez toutes les meilleures pratiques de sécurisation d'un système vCenter Server pour sécuriser vCenter Server Appliance. Des procédures supplémentaires vous permettent de renforcer la sécurité de votre dispositif.
- Configurer NTP
- Assurez-vous que tous les systèmes utilisent la même source de temps relatif. Cette source de temps doit être en synchronisation avec une norme de temps convenue, par exemple UTC (temps universel coordonné). La synchronisation des systèmes est essentielle pour la validation des certificats. NTP simplifie également le suivi d'un éventuel intrus dans les fichiers journaux. Des réglages d'heure incorrects compliquent l'analyse et la corrélation de fichiers journaux pour détecter d'éventuelles attaques et compromettent la précision des audits. Reportez-vous à la section Synchroniser l'heure dans vCenter Server Appliance avec un serveur NTP.
- Limiter l'accès au réseau de vCenter Server Appliance
-
Limitez l'accès aux composants qui sont nécessaires pour communiquer avec le dispositif
vCenter Server Appliance. En bloquant l'accès des systèmes non essentiels, vous réduisez les risques d'attaque sur le système d'exploitation.
Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.
- Configurer un hôte bastion
- Pour protéger vos ressources, configurez un hôte bastion (également appelé JumpBox) pour effectuer des tâches administratives élevées. Un hôte bastion est un ordinateur spécial qui héberge un nombre minimal d'applications administratives. Tous les autres services inutiles sont supprimés. L’hôte réside généralement sur le réseau de gestion. Un hôte bastion renforce la protection des ressources en limitant la connexion à des individus clés, en exigeant l'application de règles de pare-feu pour se connecter et en ajoutant la surveillance via des outils d'audit.