Pour plus de sécurité, évitez d'installer le système vCenter Server sur un réseau autre qu'un réseau de gestion et assurez-vous que le trafic de gestion vSphere circule sur un réseau restreint. En limitant la connectivité du réseau, vous limitez l'éventualité de certains types d'attaque.

vCenter Server requiert uniquement l'accès à un réseau de gestion. Évitez de placer le système vCenter Server sur d'autres réseaux tels que vos réseaux de production ou de stockage, ou sur tout réseau ayant accès à Internet. vCenter Server n'a pas besoin d'un accès au réseau sur lequel vMotion fonctionne.

vCenter Server requiert une connectivité réseau vers les systèmes suivants.
  • Tous les hôtes ESXi.
  • La base de données vCenter Server.
  • D'autres systèmes vCenter Server (si les systèmes vCenter Server appartiennent à un domaine vCenter Single Sign-On commun, à des fins de réplication des balises, des autorisations, etc.)
  • Des systèmes autorisés à exécuter des clients de gestion. Par exemple, vSphere Client, un système Windows sous lequel vous utilisez PowerCLI ou tout autre client SDK.
  • Des services d'infrastructure, tels que DNS, Active Directory et PTP ou NTP.
  • D'autres systèmes qui exécutent des composants essentiels à la fonctionnalité du système vCenter Server.

Utilisez le pare-feu sur l'instance de vCenter Server. Incluez des restrictions d'accès basées sur l'IP, afin que seuls les composants nécessaires puissent communiquer avec le système vCenter Server.

Évaluer l'utilisation de clients Linux avec des interfaces de lignes de commande et des SDK

Les communications entre les composants clients et un système vCenter Server ou des hôtes ESXi sont protégées par défaut par un chiffrement SSL. Les versions Linux de ces composants n'effectuent pas de validation de certificats. Envisagez de restreindre l'utilisation de ces clients.

Pour améliorer la sécurité, vous pouvez remplacer les certificats signés par VMCA sur le système vCenter Server et sur les hôtes ESXi avec des certificats signés par une entreprise ou une autorité de certification tierce. Cependant, certaines communications avec les clients Linux peuvent toujours être vulnérables aux attaques MITM (Man in the Middle). Les composants suivants sont vulnérables lorsqu'ils fonctionnent sur le système d'exploitation Linux.
  • Commandes ESXCLI
  • Scripts vSphere SDK for Perl
  • Programmes écrits à l'aide de vSphere Web Services SDK
Vous pouvez assouplir la restriction de l'utilisation des clients Linux à condition d'assurer un contrôle adéquat.
  • Limitez l'accès au réseau de gestion exclusivement aux systèmes autorisés.
  • Utilisez des pare-feux pour vous assurer que seuls les hôtes autorisés peuvent accéder à vCenter Server.
  • Utilisez des hôtes bastions (systèmes JumpBox) afin de vous assurer que les clients Linux se trouvent derrière le « saut ».

Examiner les plug-ins vSphere Client

Les extensions vSphere Client sont exécutées avec le même niveau de privilège que l'utilisateur qui est connecté. Une extension malveillante peut se faire passer pour un plug-in utile et effectuer des opérations nuisibles, notamment le vol d'informations d'identification ou la modification de la configuration système. Pour améliorer la sécurité, utilisez une installation qui comporte uniquement des extensions autorisées provenant de sources fiables.

Une installation de vCenter Server comprend une infrastructure d'extensibilité pour vSphere Client. Vous pouvez utiliser cette infrastructure pour développer le client avec des sélections du menu ou des icônes de la barre d'outils. Les extensions peuvent donner accès à des composants vCenter Server complémentaires ou des fonctionnalités externes basées sur le Web.

L'utilisation de l'infrastructure d'extensibilité peut risquer d'introduire des fonctionnalités non souhaitées. Par exemple, si un administrateur installe un plug-in dans une instance de vSphere Client, le plug-in peut exécuter des commandes arbitraires grâce au niveau de privilège de cet administrateur.

Pour éviter que votre vSphere Client puisse être compromis, examinez périodiquement tous les plug-ins installés et assurez-vous que chaque plug-in provient d'une source fiable.

Conditions préalables

Vous devez disposer de privilèges pour accéder au service vCenter Single Sign-On. Ces privilèges diffèrent des privilèges vCenter Server.

Procédure

  1. Connectez-vous à vSphere Client en tant qu'[email protected] ou utilisateur avec des privilèges vCenter Single Sign-On.
  2. Sur la page d'accueil, sélectionnez Administration, puis Plug-ins des clients dans Solutions.
  3. Examinez la liste de plug-ins des clients.