VMware crée des Guides de sécurisation renforcée qui fournissent des recommandations sur le déploiement et l'exploitation des produits VMware de manière sécurisée. Pour vSphere, ce guide est appelé Guide de configuration de la sécurité vSphere (nommé auparavant Guide de sécurisation renforcée).

Le Guide de configuration de la sécurité vSphere, disponible sur la page https://core.vmware.com/security-configuration-guide, contient des recommandations en matière de sécurité pour vSphere. Le Guide de configuration de la sécurité vSphere n'est pas directement relié aux directives ou aux cadres réglementaires, il ne s'agit donc pas d'un guide de conformité. En outre, le Guide de configuration de la sécurité vSphere n'est pas destiné à être utilisé comme liste de contrôle de la sécurité. La sécurité doit toujours être vue comme un compromis. Lorsque vous implémentez des contrôles de sécurité, vous pouvez avoir une incidence négative sur l’utilisation, les performances ou d’autres tâches opérationnelles. Examinez attentivement vos charges de travail, vos modèles d'utilisation, votre structure organisationnelle, etc. avant d'apporter des modifications à la sécurité, quel que soit le conseil fourni par VMware ou d'autres sources du secteur. Si votre organisation est soumise à des exigences de conformité réglementaire, consultez Sécurité ou conformité dans l'environnement vSphere ou visitez le site Web https://core.vmware.com/compliance. Ce site contient des kits de conformité et des guides d'audit de produit pour aider les administrateurs vSphere et les auditeurs réglementaires à sécuriser et à attester l'infrastructure virtuelle pour différents cadres réglementaires, tels que NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001, etc.

Le Guide de configuration de la sécurité vSphere ne traite pas la sécurisation des éléments suivants :
  • Logiciel s'exécutant dans la machine virtuelle, tel que le système d'exploitation invité et les applications
  • Trafic en cours d'exécution via les réseaux de machine virtuelle
  • Sécurité des produits de modules complémentaires

Le Guide de configuration de la sécurité vSphere n'est pas destiné à être utilisé comme un outil de « conformité ». Le Guide de configuration de la sécurité vSphere vous permet de prendre les mesures initiales d'une mise en conformité, mais ne garantit pas par lui-même la conformité de votre déploiement. Pour plus d'informations sur la conformité, reportez-vous à Sécurité ou conformité dans l'environnement vSphere.

Lecture du Guide de configuration de la sécurité vSphere

Le Guide de configuration de la sécurité vSphere est une feuille de calcul contenant des directives de sécurité pour vous aider à modifier votre configuration de sécurité vSphere. Ces directives sont regroupées dans des onglets en fonction des composants concernés.

N'appliquez pas aveuglément les directives du Guide de configuration de la sécurité vSphere à votre environnement. Prenez plutôt le temps d'évaluer chaque paramètre et de prendre une décision éclairée quant à son application éventuelle. Au minimum, vous pouvez utiliser les instructions fournies dans les colonnes Évaluation pour vérifier la sécurité de votre déploiement.

Le Guide de la configuration de la sécurité vSphere est une aide pour la mise en œuvre de la conformité dans votre déploiement. Lorsqu'il est utilisé avec les directives DISA (Defense Information Systems Agency) et autres directives de conformité, le Guide de la configuration de la sécurité vSphere vous permet de mapper les contrôles de sécurité vSphere au type de conformité correspondant à chaque directive.