En matière de sécurité, la meilleure pratique consiste à sécuriser la console vRealize Operations et à gérer les protocoles Secure Shell (SSH), les comptes administratifs et l'accès à la console. Assurez-vous que votre système est déployé avec des canaux de transmission sécurisés.
Activation de FIPS 140-2 L'accréditation FIPS 140-2 vérifie qu'une solution de chiffrement répond à un ensemble spécifique de conditions requises conçues pour protéger le module de chiffrement contre le craquage, la modification ou toute autre falsification. Lorsque le mode FIPS 140-2 est activé, toute communication sécurisée vers ou depuis vRealize Operations 8.4 et versions ultérieures utilise des algorithmes ou des protocoles de chiffrement qui sont autorisés par la norme FIPS (Federal Information Processing Standards) des États-Unis. Le mode FIPS active les suites de chiffrement conformes à FIPS 140-2. Les bibliothèques liées à la sécurité qui sont fournies avec vRealize Operations 8.4 et versions ultérieures sont certifiées FIPS 140-2. Cependant, le mode FIPS 140-2 n'est pas activé par défaut. Le mode FIPS 140-2 peut être activé si des algorithmes de chiffrement certifiés FIPS doivent être utilisés avec le mode FIPS activé pour des raisons de conformité de sécurité.
Sécuriser la console vRealize Operations Après avoir installé vRealize Operations , vous devez vous connecter pour la première fois et sécuriser la console de chaque nœud du cluster.
Modifier le mot de passe racine Vous pouvez modifier le mot de passe racine pour tout nœud principal ou de données vRealize Operations à tout moment en utilisant la console.
Gestion de Secure Shell, des comptes administratifs et de l'accès à la console Pour les connexions à distance, toutes les appliances sécurisées comprennent le protocole Secure Shell (SSH). SSH est désactivé par défaut sur le dispositif renforcé.
Définir l'authentification du chargeur d'amorçage Afin d'assurer un niveau approprié de sécurité, configurez l'authentification du chargeur d'amorçage sur vos appliances virtuelles VMware. Si le chargeur d'amorçage du système ne nécessite pas d'authentification, les utilisateurs disposant d'un accès console au système pourraient être capables de modifier la configuration d'amorçage du système ou de démarrer le système en mode utilisateur unique ou en mode de maintenance, ce qui pourrait entraîner un déni de service ou un accès non autorisé au système.
Surveiller le minimum de comptes d'utilisateur nécessaires Vous devez surveiller les comptes d'utilisateur existants afin de vous assurer que tous les comptes d'utilisateur inutiles sont supprimés.
Surveiller le minimum de groupes nécessaires Vous devez surveiller les groupes existants et leurs membres afin de vous assurer que tous les groupes ou accès aux groupes inutiles sont supprimés.
Réinitialisation du mot de passe d'administrateur de vRealize Operations Manager En application d'une recommandation de sécurité, vous pouvez réinitialiser le mot de passe d'administrateur de vRealize Operations pour les installations de vApp.
Configurer NTP sur des dispositifs VMware Si la source horaire est capitale, désactivez la synchronisation temporelle de l'hôte et utilisez NTP (Network Time Protocol) sur les dispositifs VMware. Vous devez configurer un serveur NTP distant approuvé pour la synchronisation de l'heure. Le serveur NTP doit être un serveur de temps de référence ou être au moins synchronisé avec un serveur de ce type.
Désactiver la réponse d'état TCP sous Linux Utilisez la réponse d'horodatage TCP pour estimer le temps d'activité de l'hôte distant et empêcher de nouvelles attaques. Il est par ailleurs possible de relever l'empreinte digitale de certains systèmes d'exploitation en fonction du comportement de leurs horodatages TCP.
TLS pour les données en transit En matière de sécurité, la meilleure pratique consiste à s'assurer que le système est déployé avec des canaux de transmission sécurisés.
Activation de TLS sur les connexions Localhost Par défaut, les connexions localhost à la base de données PostgreSQL n'utilisent pas TLS. Pour activer TLS, vous devez générer un certificat auto-signé avec OpenSSL ou fournir votre propre certificat.
Ressources d'application qui doivent être protégées En matière de sécurité, la meilleure pratique consiste à s'assurer que les ressources d'application sont protégées.
Configuration d'Apache
Désactiver les modes de configuration Lorsque vous installez, configurez ou gérez vRealize Operations , la meilleure pratique consiste à modifier la configuration ou les paramètres pour activer le dépannage et le débogage de votre installation.
Gestion des composants logiciels non essentiels Pour minimiser les risques de sécurité, supprimez ou configurez les logiciels non essentiels de vos machines hôtes vRealize Operations Manager .
Activités de configuration sécurisée supplémentaire Bloquez les ports inutiles sur votre serveur hôte qui ne sont pas nécessaires.