Votre système vCenter Server et les services associés sont protégés par l'authentification via vCenter Single Sign-On, ainsi que par l'autorisation via le modèle d'autorisations vCenter Server. Vous pouvez modifier le comportement par défaut et prendre des mesures pour limiter l'accès à votre environnement.
Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server.
- vCenter et communication chiffrée
- Par défaut, toutes les communications de données entre vCenter Server et d'autres composants vSphere sont chiffrées. Dans certains cas, selon la façon dont vous configurez votre environnement, il se peut qu'une partie du trafic ne soit pas chiffrée. Par exemple, vous pouvez configurer le protocole SMTP non chiffré pour les alertes par e-mail et le protocole SNMP non chiffré pour la surveillance. Le trafic DNS n'est pas non plus chiffré. vCenter Server écoute sur les ports 80 (TCP) et 443 (TCP). Le port 443 (TCP) est le port HTTPS (HTTP sécurisé) standard. Il utilise le chiffrement TLS 1.2 pour la protection. Le port 80 (TCP) est le port HTTP standard du secteur et n'utilise pas le chiffrement. Le port 80 redirige les demandes qui lui arrivent vers le port 443, où elles sont sécurisées.
- Renforcer toutes les machines hôtes vCenter
- Pour protéger votre environnement vCenter, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte.
- En savoir plus sur le modèle de certificat vCenter
- Par défaut, l'autorité de certification VMware provisionne chaque hôte ESXi et chaque machine de l'environnement avec un certificat signé par VMCA (VMware Certificate Authority). Si la stratégie de votre entreprise l'exige, vous pouvez modifier le comportement par défaut. Pour plus d'informations, reportez-vous à la documentation Authentification vSphere.
- Configurer vCenter Single Sign-On
- vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. Lors de la première installation des logiciels, vous devez spécifier un mot de passe pour l'administrateur du domaine vCenter Single Sign-On (par défaut, [email protected]). Seul ce domaine est disponible initialement comme source d'identité. Vous pouvez ajouter un fournisseur d'identité externe tel que Microsoft Active Directory Federation Services (AD FS), pour une authentification fédérée. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Les utilisateurs qui peuvent s'authentifier auprès d'une de ces sources d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Pour plus d'informations, reportez-vous à la documentation Authentification vSphere.
- Attribuer des rôles à des utilisateurs ou groupes nommés
- Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous aux sections Présentation des autorisations dans vSphere et Privilèges requis pour les tâches courantes.
- Configurer PTP ou NTP
- Configurez PTP ou NTP pour chaque nœud de votre environnement. L'infrastructure de certificats exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés.
