Sécurisation des systèmes vCenter Server et services associés

Votre système vCenter Server et les services associés sont protégés par l'authentification via vCenter Single Sign-On, ainsi que par l'autorisation via le modèle d'autorisations vCenter Server. Vous pouvez modifier le comportement par défaut et prendre des mesures supplémentaires pour limiter l'accès à votre environnement.

Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server et une ou plusieurs instances de Platform Services Controller.

Renforcer toutes les machines hôtes vCenter: Pour protéger votre environnement vCenter, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte.
En savoir plus sur le modèle de certificat vCenter: Par défaut, l'autorité de certification VMware provisionne chaque hôte ESXi, chaque machine de l'environnement et chaque utilisateur de solution à l'aide d'un certificat signé par VMCA (VMware Certificate Authority). L'environnement fourni est prêt à l'emploi, mais vous pouvez modifier le comportement par défaut si la stratégie de l'entreprise l'exige. Pour plus d'informations, reportez-vous à la documentation Administration de Platform Services Controller .; Pour une protection supplémentaire, supprimez explicitement les certificats révoqués ou qui ont expiré, ainsi que les installations qui ont échoué.
Configurer vCenter Single Sign-On: vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. Lors de la première installation des logiciels, vous devez spécifier un mot de passe pour l'administrateur du domaine vCenter Single Sign-On (par défaut, [email protected]). Seul ce domaine est disponible initialement comme source d'identité. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Dorénavant, les utilisateurs qui peuvent s'authentifier auprès d'une de ces sources d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Pour plus d'informations, reportez-vous à la documentation Administration de Platform Services Controller .
Attribuer des rôles à des utilisateurs ou groupes nommés: Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere 6.0 procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous aux sections Présentation des autorisations dans vSphere et Privilèges requis pour les tâches courantes.; Limitez les privilèges d'administrateur et l'utilisation du rôle d'administrateur. Dans la mesure du possible, évitez d'utiliser l'utilisateur Administrateur anonyme.
Configurer NTP: Configurez NTP pour chaque nœud de votre environnement. L'infrastructure de certificats exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés.; Reportez-vous à Synchronisation des horloges sur le réseau vSphere.