Ces contrôles de sécurité fournissent un ensemble de lignes de base de meilleures pratiques en matière de sécurité pour vCenter Server. Ils sont structurés de manière à expliquer les avantages et les contreparties de la mise en œuvre du contrôle. Pour apporter des modifications, vous pouvez utiliser vSphere Client, PowerCLI ou l'interface de gestion de vCenter Server, en fonction du contrôle.
PowerCLI et variables utilisées
Certains des exemples PowerCLI utilisés ici nécessitent l'installation du module VMware.vSphere.SsoAdmin.
Les commandes PowerCLI de cette section utilisent les variables suivantes :
- $VC="vcenter_server_name »
- $VDS="vsphere_distributed_switch_name »
- $VDPG="vsphere_distributed_port_group »
Définir le délai d'inactivité de vSphere Client
vCenter Server doit mettre fin aux sessions vSphere Client après 15 minutes d'inactivité.
Les sessions vSphere Client inactives peuvent être laissées ouvertes indéfiniment si un utilisateur oublie de se déconnecter, ce qui augmente le risque d'accès privilégié non autorisé.
Définir l'intervalle de tentatives de connexion infructueuses
vCenter Server doit définir l'intervalle de comptage des tentatives de connexion infructueuses sur au moins 15 minutes.
En limitant le nombre de tentatives de connexion infructueuses, le risque d'accès non autorisé en essayant de deviner le mot de passe de l'utilisateur, autrement appelé force brute, est réduit.
Configurer le nombre maximal de tentatives de stratégie de verrouillage SSO de vSphere
vCenter Server doit verrouiller un compte après un nombre spécifié de tentatives de connexion infructueuses.
Des échecs répétés de connexion pour un compte peuvent signaler des problèmes de sécurité. Pour limiter les tentatives de force brute, verrouillez le compte après un certain seuil, en trouvant l'équilibre entre éviter les nouvelles tentatives de connexion automatique et les attaques de déni de service potentielles.
Configurer le délai de déverrouillage de la stratégie de verrouillage SSO de vSphere
vCenter Server doit déverrouiller les comptes après un délai d'expiration spécifié.
Des échecs de connexion répétés peuvent suggérer des menaces de sécurité. Les comptes vCenter Server ne doivent pas se déverrouiller automatiquement lorsqu'ils ont été verrouillés en raison de plusieurs échecs de connexion. Assurez-vous que vous disposez de vos informations [email protected] et qu'elles sont valides.
- Valeurs
- Valeur par défaut d'installation : 300
- Action recommandée
- Modifiez la valeur par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Il est possible de refuser le service lorsque les comptes ne se déverrouillent pas automatiquement.
- Exemple de correction de la commande PowerCLI
-
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
- Emplacement du paramètre dans vSphere Client
Appliquer la complexité du mot de passe
Le vCenter Server doit appliquer la complexité du mot de passe.
Les meilleures pratiques modernes pour les mots de passe (reportez-vous à la section 5.1.1.2 du NIST 800-63B, entre autres instructions) indiquent qu'avec une entropie de mot de passe adéquate, la sécurité n'est pas améliorée en exigeant arbitrairement aux utilisateurs de modifier leurs mots de passe à certains intervalles. De nombreux outils de sécurité automatisés et cadres de conformité réglementaire ne reflètent pas ces instructions et peuvent remplacer cette recommandation.
Les règles de complexité et de sécurité du mot de passe s'appliquent aux comptes créés dans vSphere SSO, y compris [email protected] (ou, si vous avez spécifié un domaine différent lors de l'installation, administrator@mydomain). Ces règles ne s'appliquent pas aux utilisateurs Active Directory lorsque vCenter Server est joint à un domaine, car AD applique ces stratégies de mot de passe.
- Valeurs
-
Valeur par défaut de l'installation :
Longueur maximale : 20
Longueur minimale : 8
Au moins 1 caractère spécial
Au moins 2 caractères alphabétiques
Au moins 1 majuscule
Au moins 1 minuscule
Au moins 1 chiffre
3 caractères identiques adjacents
- Action recommandée
- Modifiez les valeurs par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- D'autres produits et services au sein de l'écosystème VMware peuvent ne pas s'attendre à des modifications aux exigences de complexité des mots de passe et leur installation peut échouer.
- Exemple de correction de la commande PowerCLI
-
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
- Emplacement du paramètre dans vSphere Client
Configurer le nombre maximal de jours entre les changements de mot de passe
vCenter Server doit être configuré avec une durée de vie maximale appropriée pour le mot de passe.
Les meilleures pratiques modernes pour les mots de passe (reportez-vous à la section 5.1.1.2 du NIST 800-63B, entre autres instructions) indiquent qu'avec une entropie de mot de passe adéquate, la sécurité n'est pas améliorée en exigeant arbitrairement aux utilisateurs de modifier leurs mots de passe à certains intervalles. De nombreux outils de sécurité automatisés et cadres de conformité réglementaire ne reflètent pas ces instructions et peuvent remplacer cette recommandation.
Restreindre la réutilisation du mot de passe
Configurez le paramètre d'historique des mots de passe pour limiter la réutilisation des mots de passe sur vCenter Server.
Les directives de complexité des mots de passe obligent parfois les utilisateurs à réutiliser d'anciens mots de passe. La configuration du paramètre d'historique des mots de passe sur vCenter Server peut contribuer à éviter cette situation.
Configurer le texte de la bannière de connexion pour l'accès SSH
Configurez le texte de la bannière de connexion de vCenter Server pour l'accès à l'aide de SSH.
vCenter Server autorise un message de connexion, ce qui dissocie les intrus et communique des obligations aux utilisateurs autorisés. Cette configuration établit le texte affiché lorsqu'un client se connecte à l'aide de SSH. Le texte par défaut transmet des informations aux pirates sur la configuration du système et doit être modifié.
- Valeurs
-
Valeur d'installation par défaut : VMware vCenter Server version
Type : vCenter Server avec une instance intégrée de Platform Services Controller
- Exemple de correction de la commande PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Définir la tâche et l'intervalle de rétention
La rétention des tâches et des événements de vCenter Server doit être définie sur un intervalle approprié.
vCenter Server conserve les données de tâche et d'événement, qui vieillissent pour économiser de l'espace de stockage. L'âge est configurable. Cela affecte uniquement le stockage local des données d'événement sur le dispositif vCenter Server Appliance.
Activer la journalisation à distance
Activez la journalisation à distance des événements de vCenter Server.
La journalisation à distance sur un hôte central améliore la sécurité de vCenter Server en stockant les journaux en toute sécurité. La journalisation à distance simplifie la surveillance sur les hôtes et prend en charge l'analyse agrégée pour détecter les attaques coordonnées. La journalisation centralisée empêche la falsification et sert d'enregistrement d'audit fiable à long terme. Le paramètre vpxd.event.syslog.enabled active la journalisation à distance.
Activer FIPS
vCenter Server doit activer le chiffrement validé par FIPS.
Le chiffrement FIPS apporte un certain nombre de modifications au système pour supprimer les chiffrements les plus faibles. L'activation de FIPS entraîne le redémarrage de vCenter Server.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Le chiffrement FIPS apporte un certain nombre de modifications au système pour supprimer les chiffrements les plus faibles. L'activation de FIPS entraîne le redémarrage de vCenter Server.
- Exemple de correction de la commande PowerCLI
-
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
- Emplacement du paramètre dans vSphere Client
- Reportez-vous à la section Activer et désactiver le mode FIPS sur le vCenter Server Appliance.
Configurer les enregistrements d'audit
vCenter Server doit produire des enregistrements d'audit contenant des informations pour établir le type d'événements qui s'est produit.
Il est important de s'assurer que les journaux d'audit contiennent suffisamment d'informations à des fins de diagnostic et d'analyse. Le paramètre config.log.level configure les enregistrements d'audit.
Désactiver l'apprentissage MAC
Tous les groupes de ports de commutateur distribué doivent désactiver l'apprentissage MAC, sauf s'ils sont utilisés intentionnellement.
L'apprentissage MAC permet à un commutateur distribué de fournir la connectivité réseau aux systèmes sur lesquels plusieurs adresses MAC sont utilisées sur une vNIC. Cela peut être utile dans des cas particuliers, tels que la virtualisation imbriquée (exécution d'ESXi à l'intérieur d'ESXi, par exemple). L'apprentissage MAC prend également en charge la propagation monodiffusion inconnue. Normalement, lorsqu'un paquet reçu par un port a une adresse MAC de destination inconnue, le paquet est abandonné. Lorsque la propagation monodiffusion inconnue est activée, le port propage le trafic de monodiffusion inconnue à chaque port du commutateur sur lequel l'apprentissage MAC et la propagation monodiffusion inconnue sont activés. Cette propriété est activée par défaut, mais uniquement si l'apprentissage MAC est activé. Désactivez l'apprentissage MAC, sauf s'il est utilisé intentionnellement pour une charge de travail connue qui en a besoin.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Certaines charges de travail utilisent légitimement ces tactiques réseau et sont affectées négativement par les valeurs par défaut et l'état souhaité.
- Évaluation de la commande PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
- Exemple de correction de la commande PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurer les détails de la bannière de message de connexion
Configurez les détails de la bannière de connexion de vCenter Server pour l'instance de vSphere Client.
vCenter Server permet d'afficher un message de connexion. Les utilisations du message de connexion incluent l'information des intrus que leurs activités sont illégales et la transmission aux utilisateurs autorisés des attentes et des obligations qu'ils doivent respecter et accepter lors de l'utilisation du système. Cette configuration définit le texte détaillé du message de la page de connexion de vSphere Client.
- Évaluation de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
- Exemple de correction de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
Activer la bannière de connexion
Activez la bannière de connexion de vCenter Server pour l'instance de vSphere Client.
vCenter Server permet d'afficher un message de connexion. Les utilisations du message de connexion incluent l'information des intrus que leurs activités sont illégales et la transmission aux utilisateurs autorisés des attentes et des obligations qu'ils doivent respecter et accepter lors de l'utilisation du système. Cette configuration active l'affichage du message sur la page de connexion de vSphere Client.
- Évaluation de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
- Exemple de correction de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
Configurer le texte de la bannière de connexion
Configurez le texte de la bannière de connexion de vCenter Server pour l'instance de vSphere Client.
vCenter Server permet d'afficher un message de connexion. Les utilisations du message de connexion incluent l'information des intrus que leurs activités sont illégales et la transmission aux utilisateurs autorisés des attentes et des obligations qu'ils doivent respecter et accepter lors de l'utilisation du système. Cette configuration établit le texte affiché sur la page de connexion de vSphere Client.
- Évaluation de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
- Exemple de correction de la commande PowerCLI
-
S/O (aucune API publique disponible)
Vous pouvez configurer le message de connexion en exécutant la commande suivante dans un shell de dispositif :
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
N'oubliez pas de désactiver à nouveau le shell lorsque vous avez terminé.
Authentification et autorisation séparées pour les administrateurs
vCenter Server doit séparer l'authentification et l'autorisation pour les administrateurs.
La combinaison de l'authentification et de l'autorisation en tant que services tels que le fait Active Directory risque de compromettre l'infrastructure en cas de compromission. Par conséquent, pour vCenter Server, assurez-vous de séparer l'authentification et l'autorisation pour les administrateurs. Envisagez d'utiliser des groupes SSO locaux pour l'autorisation afin de mieux gérer les risques lorsque cela est possible.
Définir la stratégie Fausses transmissions sur Rejeter
Définissez tous les commutateurs distribués et leurs groupes de ports pour qu'ils rejettent les transmissions forgées.
Une machine virtuelle peut emprunter l'identité d'adaptateurs réseau en modifiant les adresses MAC, ce qui pose des menaces pour la sécurité. En définissant l'option Transmissions forgées sur Rejeter sur tous les commutateurs distribués et groupes de ports, ESXi vérifie les adresses MAC et empêche l'emprunt d'identité.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Certaines charges de travail utilisent légitimement ces tactiques réseau et sont affectées négativement par le paramètre par défaut.
- Évaluation de la commande PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Définissez la stratégie Modifications d'adresse MAC sur Rejeter
Définissez la stratégie Modifications d'adresse MAC sur Rejeter sur le commutateur vSphere Standard et ses groupes de ports.
Autoriser les machines virtuelles à modifier les adresses MAC pose des risques de sécurité, ce qui permet l'emprunt d'identité d'adaptateur réseau potentiel. Le refus des modifications d'adresse MAC sur tous les commutateurs distribués et les groupes de ports l'empêche, mais peut avoir un impact sur certaines applications, telles que Microsoft Clustering ou les licences dépendantes des adresses MAC. Appliquez des exceptions à ces conseils de sécurité si nécessaire.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Certaines charges de travail utilisent légitimement ces tactiques réseau et sont affectées négativement par le paramètre Rejeter.
- Évaluation de la commande PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Définir la stratégie du mode Promiscuité sur Rejeter
Définissez la stratégie du mode Promiscuité sur Rejeter sur le commutateur standard vSphere et ses groupes de ports.
L'activation du mode promiscuité sur un groupe de ports permet à toutes les machines virtuelles connectées de lire tous les paquets réseau, ce qui pose un risque de sécurité potentiel. Bien qu'il soit parfois nécessaire d'autoriser le mode promiscuité pour le débogage ou la surveillance, le paramètre par défaut Rejeter est recommandé. Créez des exceptions pour des groupes de ports spécifiques si nécessaire.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Certaines charges de travail utilisent légitimement ces tactiques réseau et sont affectées négativement par le paramètre Rejeter.
- Évaluation de la commande PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Réinitialiser la configuration du port lorsque des machines virtuelles sont déconnectées
vCenter Server doit réinitialiser la configuration du port lorsque les machines virtuelles sont déconnectées.
Lorsqu'une machine virtuelle est déconnectée du port de commutateur virtuel, il est souhaitable de réinitialiser la configuration du port afin qu'une autre machine virtuelle connectée dispose d'un port dans un état connu.
- Évaluation de la commande PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
- Exemple de correction de la commande PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.PortConfigResetAtDisconnect = $true $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Désactiver le protocole Cisco Discovery ou Link Layer Discovery Protocol
Désactivez la participation au protocole CDP (Cisco Discovery Protocol) ou LLDP (Link Layer Discovery Protocol) sur les commutateurs distribués, sauf s'ils sont utilisés intentionnellement.
L'instance virtuelle de vSphere Distributed Switch peut s'engager dans CDP ou LLDP, partageant potentiellement des informations sensibles non chiffrées, telles que des adresses IP et des noms de système, sur le réseau. Par conséquent, CDP et LLDP peuvent aider les adversaires à comprendre ou à emprunter l'identité de votre environnement. Cependant, CDP et LLDP sont également extrêmement utiles pour les cas d'utilisation légitimes. Désactivez CDP et LLDP, sauf si cela est nécessaire pour le dépannage ou la validation de la configuration.
- Évaluation de la commande PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
- Exemple de correction de la commande PowerCLI
-
$VDview = Get-VDSwitch -Name $VDS | Get-View $ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec $ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig $ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp' $ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none' $ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion $VDview.ReconfigureDvs_Task($ConfigSpec)
S'assurer que les collecteurs autorisés reçoivent le trafic NetFlow
vCenter Server doit s'assurer que le trafic NetFlow est envoyé aux collecteurs autorisés.
vSphere Distributed Switch peut exporter des données NetFlow non chiffrées, ce qui révèle des détails sur le réseau virtuel et les modèles de trafic. Vérifiez que l'utilisation de NetFlow est autorisée et configurée correctement pour éviter les fuites d'informations.
- Évaluation de la commande PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress (Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
- Exemple de correction de la commande PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy $ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false $ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurer la sécurité du port de machine virtuelle
vCenter Server ne doit pas remplacer les paramètres du groupe de ports au niveau du port sur les commutateurs distribués, sauf pour bloquer les ports.
Bien que des remplacements de configuration au niveau du port puissent être nécessaires pour des configurations de machines virtuelles uniques, assurez-vous de les surveiller pour éviter toute utilisation non autorisée. Les remplacements non surveillés peuvent permettre un accès plus large si une configuration de vSphere Distributed Switch moins sécurisée est exploitée.
- Valeurs
-
Valeur par défaut de l'installation :
Remplacement des ports de bloc : TRUE
Tous les autres remplacements : FALSE
- Exemple de correction de la commande PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false $ConfigSpec.Policy.BlockOverrideAllowed = $true $ConfigSpec.Policy.LivePortMovingAllowed = $false $ConfigSpec.Policy.VlanOverrideAllowed = $false $ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false $ConfigSpec.Policy.VendorConfigOverrideAllowed = $false $ConfigSpec.Policy.ShapingOverrideAllowed = $false $ConfigSpec.Policy.IpfixOverrideAllowed = $false $ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Supprimer la mise en miroir de port
vCenter Server doit supprimer les sessions de mise en miroir de ports non autorisées sur les commutateurs distribués.
vSphere Distributed Switch peut mettre en miroir le trafic entre les ports, ce qui permet l'observation du trafic. Pour maintenir la sécurité, toutes les sessions de mise en miroir de ports non autorisées sur des commutateurs distribués doivent être supprimées.
Restreindre le balisage d'invité virtuel
vCenter Server doit limiter l'utilisation du balisage d'invité virtuel sur les commutateurs distribués.
La définition d'un groupe de ports sur VLAN 4095 permet le balisage d'invité virtuel qui oblige la machine virtuelle à traiter les balises VLAN. Activez VGT uniquement pour les machines virtuelles autorisées et équipées pour gérer les balises VLAN. Une utilisation inappropriée peut entraîner un déni de service ou une interaction de trafic VLAN non autorisée.
- Évaluation de la commande PowerCLI
-
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Vérifier la maintenance VMware sur la version de vCenter Server
Assurez-vous que la version d'vCenter Server n'a pas atteint l'état Fin du support général de VMware.
Limiter l'accès à SSH
Le service SSH vCenter Server doit être désactivé.
vCenter Server Appliance est livré en tant que dispositif et est destiné à être géré via l'interface de gestion de vCenter Server, vSphere Client et les API. SSH est un outil de dépannage et de support à activer uniquement lorsque cela est nécessaire. vCenter Server High Availability utilise SSH pour coordonner la réplication et le basculement entre les nœuds. L'utilisation de cette fonctionnalité nécessite que SSH reste activé.
- Évaluation de la commande PowerCLI
-
Note : Vous devez d'abord vous connecter à l'hôte vCenter Server à l'aide de l'applet de commande Connect-CISServer.
Vérifier l'expiration du mot de passe de l'utilisateur racine
L'expiration du mot de passe du compte racine vCenter Server doit être configurée de manière appropriée.
Les meilleures pratiques modernes pour les mots de passe (NIST 800-63B, section 5.1.1.2, entre autres instructions) indiquent qu'avec une entropie de mot de passe adéquate, la sécurité n'est pas améliorée en exigeant arbitrairement aux utilisateurs de modifier leurs mots de passe à certains intervalles. De nombreux outils de sécurité automatisés et cadres de conformité réglementaire ne reflètent pas ces instructions et peuvent remplacer cette recommandation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Si vous ne réinitialisez pas le mot de passe avant l'expiration, des procédures de récupération sont nécessaires.
- Évaluation de la commande PowerCLI
-
Note : Vous devez d'abord vous connecter à l'hôte vCenter Server à l'aide de l'applet de commande Connect-CISServer.
Configurer la sauvegarde et la récupération basées sur des fichiers
Configurez la sauvegarde et la récupération basées sur des fichiers afin de pouvoir récupérer votre dispositif vCenter Server Appliance et sa configuration à l'aide du programme d'installation de vCenter Server. La sauvegarde et la restauration jouent un rôle important pour la protection de l'environnement.
Configurer le pare-feu pour autoriser uniquement le trafic provenant de réseaux autorisés
Le dispositif vCenter Server Appliance doit configurer le pare-feu pour autoriser uniquement le trafic provenant des réseaux autorisés.
Assurez-vous que tout le trafic réseau entrant et sortant est bloqué sauf autorisation explicite, ce qui réduit la surface d'attaque et permet d'empêcher tout accès non autorisé au système. Le trafic sortant (sortie) n'est pas bloqué, ni les connexions liées ou établies, vCenter Server Appliance est donc toujours en mesure de communiquer avec les systèmes sur lesquels il initie la connexion. Utilisez des pare-feu de périmètre pour restreindre ces types de connexions.
- Valeurs
- Valeur d'installation par défaut : Connexions autorisées à partir de n'importe quelle adresse IP.
Configurer le serveur de journaux distant
Configurez un serveur de journaux distant pour vCenter Server.
La journalisation à distance sur un hôte central améliore la sécurité de vCenter Server en stockant les journaux en toute sécurité. La journalisation à distance simplifie la surveillance sur les hôtes et prend en charge l'analyse agrégée pour détecter les attaques coordonnées. La journalisation centralisée empêche la falsification et sert d'enregistrement d'audit fiable à long terme.
Configurer la synchronisation de l'heure
vCenter Server doit disposer de sources de synchronisation de l'heure fiables.
La cryptographie, la journalisation d'audit, les opérations de cluster, la réponse aux incidents et les analyses reposent fortement sur l'heure synchronisée. Le protocole NTP (Network Time Protocol) doit avoir au moins quatre sources. Si vous devez choisir entre deux sources et une source, une source est préférable.
- Évaluation de la commande PowerCLI
-
Note : Vous devez d'abord vous connecter à l'hôte vCenter Server à l'aide de l'applet de commande Connect-CISServer.
Installer des mises à jour logicielles
Assurez-vous que toutes les mises à jour logicielles sont installées sur vCenter Server.
En gardant les correctifs vCenter Server à jour, les vulnérabilités peuvent être atténuées. Les pirates peuvent exploiter des vulnérabilités connues lorsqu'ils tentent d'obtenir un accès non autorisé ou d'augmenter les privilèges.
Lors de l'application des mises à jour, mettez à jour vCenter Server d'abord, si une mise à jour est disponible, puis poursuivez la mise à jour d'ESXi. Cette séquence garantit que la couche de gestion est mise à jour avant la mise à jour des hôtes ESXi.
Effectuer la rotation du mot de passe vpxuser
vCenter Server doit configurer le mot de passe vpxuser pour qu'il fasse l'objet d'une rotation selon un intervalle approprié.
Le paramètre VirtualCenter.VimPasswordExpirationInDays configure la période de rotation. Assurez-vous que vCenter Server fait pivoter correctement le mot de passe qu'il définit automatiquement sur les hôtes ESXi.
- Évaluation de la commande PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays
