Utilizzare questo elenco di requisiti e consigli di riferimento relativi alla gestione dei controlli di accesso, dei certificati e degli account in un ambiente VMware Cloud Foundation.

Per i dettagli completi sulla progettazione, vedere Progettazione della sicurezza delle informazioni per VMware Cloud Foundation.

Tabella 1. Requisiti di progettazione per la gestione di account e password per VMware Cloud Foundation

ID consiglio

Consigli di progettazione

Giustificazione

Implicazione

VCF-ACTMGT-REQD-SEC-001

Abilita la rotazione pianificata della password in SDDC Manager per tutti gli account che supportano la rotazione pianificata.

  • Aumenta il comportamento di sicurezza dell'SDDC.

  • Semplifica la gestione delle password per tutti i componenti di gestione dell'SDDC.

È necessario recuperare le nuove password utilizzando l'API se si devono utilizzare gli account in modo interattivo.

VCF-ACTMGT-REQD-SEC-003

Stabilire una prassi operativa per la rotazione delle password utilizzando SDDC Manager sui componenti che non supportano la rotazione programmata in SDDC Manager.

Ruota le password e corregge automaticamente i database di SDDC Manager per questi account utente.

nessuna.

VCF-ACTMGT-REQD-SEC-003

Stabilire una prassi operativa per la rotazione manuale delle password sui componenti che non possono essere ruotati da SDDC Manager.

Mantiene i criteri delle password nei componenti non gestiti dalla gestione delle password di SDDC Manager.

nessuna.

Tabella 2. Consigli per la progettazione della gestione dei certificati per VMware Cloud Foundation

ID consiglio

Consigli di progettazione

Giustificazione

Implicazione

VCF-SDDC-RCMD-SEC-001

Sostituire il certificato VMCA o firmato predefinito in tutte le appliance virtuali di gestione con un certificato firmato da un'autorità di certificazione interna.

Assicura che la comunicazione con tutti i componenti di gestione sia sicura.

La sostituzione dei certificati predefiniti con certificati firmati da un'autorità di certificazione attendibile potrebbe aumentare il tempo di preparazione della distribuzione, perché è necessario generare e inviare richieste di certificati.

VCF-SDDC-RCMD-SEC-002

Utilizzare un algoritmo SHA-2 o versione successiva per i certificati firmati.

L'algoritmo SHA-1 è considerato meno sicuro ed è obsoleto.

Non tutte le autorità di certificazione supportano SHA-2 o versioni successive.

VCF-SDDC-RCMD-SEC-003

Eseguire la gestione del ciclo di vita del certificato SSL per tutte le appliance di gestione utilizzando SDDC Manager o il plug-in SDDC Manager in vCenter.

SDDC Manager supporta la gestione automatica del ciclo di vita dei certificati SSL anziché richiedere una serie di passaggi manuali.

La gestione dei certificati per le istanze di NSX Global Manager deve essere eseguita manualmente.