L'authentification via vCenter Single Sign-On et l'autorisation via le modèle d'autorisations vCenter Server protègent votre système vCenter Server et les services associés. Vous pouvez modifier le comportement par défaut et prendre des mesures pour limiter l'accès à votre environnement.

Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server.

vCenter Server utilise la communication chiffrée

Par défaut, toutes les communications de données entre le système vCenter Server et les autres composants vSphere sont chiffrées. Dans certains cas, selon la façon dont vous configurez votre environnement, il se peut qu'une partie du trafic ne soit pas chiffrée. Par exemple, vous pouvez configurer le protocole SMTP non chiffré pour les alertes par e-mail et le protocole SNMP non chiffré pour la surveillance. Le trafic DNS n'est pas non plus chiffré. vCenter Server écoute sur les ports 80 (TCP) et 443 (TCP). Le port 443 (TCP) est le port HTTPS (HTTP sécurisé) standard. Il utilise le chiffrement TLS 1.2 pour la protection. Le port 80 (TCP) est le port HTTP standard du secteur et n'utilise pas le chiffrement. Le port 80 redirige les demandes qui lui arrivent vers le port 443, où elles sont sécurisées.

Sécurisation renforcée des systèmes vCenter Server

Pour protéger votre environnement vCenter Server, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte.

En savoir plus sur le modèle de certificat vSphere

Par défaut, VMware Certificate Authority (VMCA) provisionne chaque hôte ESXi et chaque machine de l'environnement avec un certificat signé par VMCA. Si la stratégie de votre entreprise l'exige, vous pouvez modifier le comportement par défaut. Pour plus d'informations, reportez-vous à la documentation Authentification vSphere.

Pour une protection supplémentaire, supprimez explicitement les certificats révoqués ou qui ont expiré, ainsi que les installations qui ont échoué.

Configurer vCenter Single Sign-On

vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. Lors de la première installation des logiciels, vous devez spécifier un mot de passe pour l'administrateur du domaine vCenter Single Sign-On (par défaut, administrator@vsphere.local). Seul ce domaine est disponible initialement comme source d'identité. Vous pouvez ajouter un fournisseur d'identité externe tel que Microsoft Active Directory Federation Services (AD FS), pour une authentification fédérée. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Les utilisateurs qui peuvent s'authentifier auprès d'une de ces sources d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Pour plus d'informations, reportez-vous à la documentation Authentification vSphere.

Attribuer des rôles vCenter Server à des utilisateurs ou groupes nommés

Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous aux sections Présentation des autorisations dans vSphere et Privilèges vCenter Server requis pour les tâches courantes.

Limitez les privilèges d'administrateur et l'utilisation du rôle d'administrateur. Dans la mesure du possible, évitez d'utiliser l'utilisateur Administrateur anonyme.

Configurer le protocole Precision Time Protocol ou Network Time Protocol

Configurez le protocole PTP (Precision Time Protocol) ou NTP (Network Time Protocol) pour chaque nœud de votre environnement. L'infrastructure de certificats vSphere exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés.

Reportez-vous à la section Synchronisation des horloges sur le réseau vSphere.