VMware crée des Guides de sécurisation renforcée qui fournissent des recommandations sur le déploiement et l'exploitation des produits VMware de manière sécurisée. Pour vSphere, ce guide est appelé Guide de configuration de la sécurité vSphere (nommé auparavant Guide de sécurisation renforcée).
Le Guide de configuration de la sécurité vSphere contient des recommandations en matière de sécurité pour vSphere. Le Guide de configuration de la sécurité vSphere n'est pas directement relié aux directives ou aux cadres réglementaires, il ne s'agit donc pas d'un guide de conformité. En outre, le Guide de configuration de la sécurité vSphere n'est pas destiné à être utilisé comme liste de contrôle de la sécurité. La sécurité doit toujours être vue comme un compromis. Lorsque vous implémentez des contrôles de sécurité, vous pouvez avoir une incidence négative sur l’utilisation, les performances ou d’autres tâches opérationnelles. Examinez attentivement vos charges de travail, vos modèles d'utilisation, votre structure organisationnelle, etc. avant d'apporter des modifications à la sécurité, quel que soit le conseil fourni par VMware ou d'autres sources du secteur. Si votre organisation est soumise à des exigences de conformité réglementaire, consultez Sécurité ou conformité dans l'environnement vSphere ou visitez le site Web https://core.vmware.com/compliance. Ce site contient des kits de conformité et des guides d'audit de produit pour aider les administrateurs vSphere et les auditeurs réglementaires à sécuriser et à attester l'infrastructure virtuelle pour différents cadres réglementaires, tels que NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001, etc.
- Logiciel s'exécutant dans la machine virtuelle, tel que le système d'exploitation invité et les applications
- Trafic en cours d'exécution via les réseaux de machine virtuelle
- Sécurité des produits de modules complémentaires
Le Guide de configuration de la sécurité vSphere n'est pas destiné à être utilisé comme un outil de « conformité ». Le Guide de configuration de la sécurité vSphere vous permet de prendre les mesures initiales d'une mise en conformité, mais ne garantit pas par lui-même la conformité de votre déploiement. Pour plus d'informations sur la conformité, reportez-vous à Sécurité ou conformité dans l'environnement vSphere.
Lecture du Guide de configuration de la sécurité vSphere
Le Guide de configuration de la sécurité vSphere est une feuille de calcul contenant des directives de sécurité pour vous aider à modifier votre configuration de sécurité vSphere. Ces recommandations sont regroupées en onglets en fonction des composants affectés, avec une partie ou l'ensemble des colonnes suivantes.
| En-tête de colonne | Description |
|---|---|
| ID de directive |
ID unique en deux parties faisant référence à une configuration de sécurité ou une recommandation de sécurisation renforcée. La première partie indique le composant, défini comme suit :
|
| Description |
Une brève description de la recommandation particulier. |
| Discussion |
Description de la vulnérabilité correspondant à une recommandation particulière. |
| Paramètre de configuration |
Fournit le paramètre de configuration applicable ou le nom de fichier, le cas échéant. |
| Valeur souhaitée |
État ou valeur souhaité de la recommandation. Voici les valeurs possibles :
|
| Valeur par défaut |
Valeur par défaut définie par vSphere. |
| La valeur souhaitée est-elle la valeur par défaut ? |
Indique si le paramètre de sécurité est la configuration par défaut du produit. |
| Action nécessaire |
Type d'action à prendre sur la recommandation particulière. Les actions comprennent :
|
| Emplacement du paramètre dans vSphere Client |
Étapes de vérification de la valeur à l'aide de vSphere Client. |
| Impact fonctionnel négatif en cas de modification de la valeur par défaut ? |
Description, le cas échéant, d'un impact négatif potentiel découlant de l'utilisation de la recommandation de sécurité. |
| Évaluation de la commande PowerCLI |
Étapes de vérification de la valeur à l'aide de PowerCLI. |
| Exemple de correction de la commande PowerCLI |
Étapes de configuration (correction) de la valeur à l'aide de PowerCLI. |
| Correction de la commande de vCLI |
Étapes de configuration (correction) de la valeur à l'aide des commandes vCLI. |
| Évaluation de la commande PowerCLI |
Étapes de vérification de la valeur à l'aide des commandes PowerCLI. |
| Correction de la commande PowerCLI |
Étapes de configuration (correction) de la valeur à l'aide des commandes PowerCLI. |
| Capable de définir à l'aide du profil d'hôte |
Si le paramètre est possible en utilisant des profils d'hôte (s'applique uniquement aux directives de ESXi). |
| Sécurisation renforcée |
Si TRUE, la directive n'a qu'une seule implémentation pour être conforme. Si FALSE, vous pouvez assurer la mise en œuvre de la directive avec plusieurs paramètres de configuration. Le paramètre réel est souvent spécifique du site. |
| Paramètre spécifique du site |
Si TRUE, le paramètre pour être conforme avec la directive dépend des règles ou des normes qui sont spécifiques de ce déploiement vSphere. |
| Paramètre d'audit |
Si TRUE, la valeur du paramètre répertoriée devra éventuellement être modifiée pour répondre aux règles spécifiques du site. |
N'appliquez pas aveuglément les directives du Guide de configuration de la sécurité vSphere à votre environnement. Prenez plutôt le temps d'évaluer chaque paramètre et de prendre une décision éclairée quant à son application éventuelle. Au minimum, vous pouvez utiliser les instructions fournies dans les colonnes Évaluation pour vérifier la sécurité de votre déploiement.
Le Guide de la configuration de la sécurité vSphere est une aide pour la mise en œuvre de la conformité dans votre déploiement. Lorsqu'il est utilisé avec les directives DISA (Defense Information Systems Agency) et autres directives de conformité, le Guide de la configuration de la sécurité vSphere vous permet de mapper les contrôles de sécurité vSphere au type de conformité correspondant à chaque directive.
