Progettazione della sicurezza delle informazioni per VMware Cloud Foundation

È possibile progettare la gestione dei controlli di accesso, dei certificati e degli account per VMware Cloud Foundation in base ai requisiti dell'organizzazione.

Gestione degli accessi per VMware Cloud Foundation

È possibile progettare la gestione degli accessi per VMware Cloud Foundation in base agli standard di settore e ai requisiti dell'organizzazione.


Componente	Metodo di accesso	Ulteriori informazioni
SDDC Manager	Interfaccia utente API SSH	SSH è attivo per impostazione predefinita. L'accesso utente root non è consentito.
NSX Local Manager	Interfaccia utente API SSH	SSH è disattivato per impostazione predefinita.
NSX Edge	API SSH	SSH è disattivato per impostazione predefinita.
NSX Global Manager	Interfaccia utente API SSH	L'impostazione SSH viene definita durante la distribuzione.
vCenter Server	Interfaccia utente API SSH VAMI	SSH è attivo per impostazione predefinita.
ESXi	DCUI (Direct Console User Interface) ESXi Shell SSH VMware Host Client	SSH ed ESXi Shell sono disattivati per impostazione predefinita.
VMware Aria Suite Lifecycle	Interfaccia utente API SSH	SSH è attivo per impostazione predefinita.
Workspace ONE Access	Interfaccia utente API SSH	SSH è attivo per impostazione predefinita.

Progettazione della gestione account per VMware Cloud Foundation

È possibile progettare la gestione degli account per VMware Cloud Foundation in base agli standard di settore e ai requisiti dell'organizzazione.

Metodi di gestione delle password

SDDC Manager gestisce il ciclo di vita delle password per i componenti che fanno parte dell'istanza di VMware Cloud Foundation. Sono supportati più metodi per la gestione del ciclo di vita delle password.

Tabella 1. Metodi di gestione delle password in VMware Cloud Foundation
Metodo	Descrizione
Ruotare	Aggiornare uno o più account con una password generata automaticamente
Aggiornamento	Aggiornare password per un singolo account con una password immessa manualmente
Correggi	Riconciliare un singolo account con una password impostata manualmente nel componente.
Pianificazione	Pianificare la rotazione automatica per uno o più account selezionati.
Modello	Aggiornare manualmente una password direttamente nel componente.

Gestione di account e password

VMware Cloud Foundation comprende più tipi di account interattivi, locali e account di servizio. Ogni account ha attributi diversi e può essere gestito nei modi seguenti:

Per ulteriori informazioni sulla complessità della password, sul blocco degli account o sull'integrazione con provider di identità aggiuntivi, fare riferimento a Gestione delle identità e degli accessi per VMware Cloud Foundation.

Tabella 2. Gestione di account e password in VMware Cloud Foundation
Componente	Account utente	Gestione delle password	Ulteriori informazioni
SDDC Manager	admin@local	Manuale utilizzando l'API di SDDC Manager Scadenza predefinita: mai	Account appliance locale Accesso API (account di emergenza)
	vcf	Manuale utilizzando il sistema operativo Scadenza predefinita: 365 giorni	Account appliance locale Accesso a livello di sistema operativo
	root	Manuale utilizzando il sistema operativo Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo
	backup	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 365 giorni	Account appliance locale Accesso a livello di sistema operativo
	[email protected]	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account vCenter Single Sign-On. Accesso all'applicazione e all'API. Per eseguire la rotazione manuale della password è necessario un account VMware Cloud FoundationAmministratore aggiuntivo.
NSX Local Manager	admin	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo, API e applicazione
	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo
	audit	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo Accesso a livello di applicazione di sola lettura
NSX Edge	admin	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo, API e applicazione
	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo
	audit	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo Accesso a livello di applicazione di sola lettura
NSX Global Manager	admin	Manuale utilizzando l'interfaccia utente o l'API di NSX Global Manager Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo, API e applicazione
	root	Manuale utilizzando ciascuna appliance NSX Global Manager Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo
	audit	Manuale utilizzando l'interfaccia utente o l'API di NSX Global Manager Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo Accesso a livello di applicazione di sola lettura
vCenter Server	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account appliance locale Accesso a livello di sistema operativo Accesso VAMI
	[email protected]	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 90 giorni	Account vCenter Single Sign-On. Accesso all'applicazione e all'API. Pertinente al dominio del carico di lavoro isolato
	svc-`sddc-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Sistema gestito. Rotazione automatica ogni 30 giorni per impostazione predefinita Scadenza predefinita: nessuna	Account di servizio tra SDDC Manager e vCenter Server
	svc-`nsx-manager-hostname`-`vcenter-server-hostname`@vsphere.local	Sistema gestito. Rotazione automatica ogni 30 giorni per impostazione predefinita Scadenza predefinita: nessuna	Account di servizio tra NSX Manager e vCenter Server
	svc-`vrslcm-hostname`-`vcenter-server-hostname`@vsphere.local	Sistema gestito Rotazione automatica ogni 30 giorni per impostazione predefinita Scadenza predefinita: nessuna	Account di servizio tra VMware Aria Suite Lifecycle e vCenter Server
ESXi	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 99999 (mai)	Modello
ESXi	svc-vcf-`esxi-hostname`	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 99999 (mai)	Account di servizio tra SDDC Manager e l'host ESXi
VMware Aria Suite Lifecycle	vcfadmin@local	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: mai	Accesso all'API e all'applicazione
VMware Aria Suite Lifecycle	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 365 giorni	Account appliance locale Accesso a livello di sistema operativo
Workspace ONE Access	root	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: 60 giorni	Account appliance locale Accesso a livello di sistema operativo
	sshuser	Gestita da VMware Aria Suite Lifecycle Scadenza predefinita: 60 giorni	Account appliance locale Accesso a livello di sistema operativo
	amministratore (porta 8443)	Gestita da VMware Aria Suite Lifecycle	Amministratore di sistema
	Amministratore (porta 443)	Ruotare, aggiornare, correggere o pianificare utilizzando l'interfaccia utente di SDDC Manager, il plug-in SDDC Manager in vCenter o l'API Scadenza predefinita: mai	Amministratore predefinito dell'applicazione
	configadmin	Per gestire la pianificazione di rotazione delle password dell'utente configadmin, è necessario utilizzare sia Workspace ONE Access sia VMware Aria Suite Lifecycle. Scadenza predefinita: mai	Amministratore configurazione dell'applicazione

Consigli di progettazione per la gestione dell'account

Nella progettazione della gestione dell'account è possibile applicare determinate procedure consigliate.

Tabella 3. Requisiti di progettazione per la gestione di account e password per VMware Cloud Foundation
ID consiglio	Consigli di progettazione	Giustificazione	Implicazione
VCF-ACTMGT-REQD-SEC-001	Abilita la rotazione pianificata della password in SDDC Manager per tutti gli account che supportano la rotazione pianificata.	Aumenta il comportamento di sicurezza dell'SDDC. Semplifica la gestione delle password per tutti i componenti di gestione dell'SDDC.	È necessario recuperare le nuove password utilizzando l'API se si devono utilizzare gli account in modo interattivo.
VCF-ACTMGT-REQD-SEC-003	Stabilire una prassi operativa per la rotazione delle password utilizzando SDDC Manager sui componenti che non supportano la rotazione programmata in SDDC Manager.	Ruota le password e corregge automaticamente i database di SDDC Manager per questi account utente.	nessuna.
VCF-ACTMGT-REQD-SEC-003	Stabilire una prassi operativa per la rotazione manuale delle password sui componenti che non possono essere ruotati da SDDC Manager.	Mantiene i criteri delle password nei componenti non gestiti dalla gestione delle password di SDDC Manager.	nessuna.

Gestione certificati per VMware Cloud Foundation

È possibile progettare la gestione dei certificati per VMware Cloud Foundation in base agli standard di settore e ai requisiti dell'organizzazione.

L'accesso a tutte le interfacce dei componenti di gestione deve essere tramite una connessione SSL (Secure Socket Layer). Durante la distribuzione, a ogni componente viene assegnato un certificato firmato da un'autorità di certificazione predefinita. Per fornire accesso sicuro a ciascun componente, sostituire il certificato predefinito con un certificato attendibile firmato dall'autorità di certificazione aziendale.

Tabella 4. Gestione dei certificati in VMware Cloud Foundation
Componente	CA predefinita	Ciclo di vita dei certificati aziendali firmati dall'autorità di certificazione
SDDC Manager	Dominio di gestione VMCA	SDDC Manager vCenter SDDC Manager Plug-in
NSX Local Manager	Dominio di gestione VMCA	SDDC Manager vCenter SDDC Manager Plug-in
NSX Edge	Non applicabile	Non applicabile
NSX Global Manager	Autofirmato	Modello
vCenter Server	VMCA del carico di lavoro locale	SDDC Manager vCenter SDDC Manager Plug-in
ESXi	VMCA del carico di lavoro locale	Manuale*
VMware Aria Suite Lifecycle	Dominio di gestione VMCA	SDDC Manager vCenter SDDC Manager Plug-in

Nota:

* Per utilizzare certificati aziendali firmati da un'autorità di certificazione con ESXi, la distribuzione iniziale di VMware Cloud Foundation deve essere eseguita utilizzando l'API che fornisce il certificato root attendibile.

Tabella 5. Consigli per la progettazione della gestione dei certificati per VMware Cloud Foundation
ID consiglio	Consigli di progettazione	Giustificazione	Implicazione
VCF-SDDC-RCMD-SEC-001	Sostituire il certificato VMCA o firmato predefinito in tutte le appliance virtuali di gestione con un certificato firmato da un'autorità di certificazione interna.	Assicura che la comunicazione con tutti i componenti di gestione sia sicura.	La sostituzione dei certificati predefiniti con certificati firmati da un'autorità di certificazione attendibile potrebbe aumentare il tempo di preparazione della distribuzione, perché è necessario generare e inviare richieste di certificati.
VCF-SDDC-RCMD-SEC-002	Utilizzare un algoritmo SHA-2 o versione successiva per i certificati firmati.	L'algoritmo SHA-1 è considerato meno sicuro ed è obsoleto.	Non tutte le autorità di certificazione supportano SHA-2 o versioni successive.
VCF-SDDC-RCMD-SEC-003	Eseguire la gestione del ciclo di vita del certificato SSL per tutte le appliance di gestione utilizzando SDDC Manager o il plug-in SDDC Manager in vCenter.	SDDC Manager supporta la gestione automatica del ciclo di vita dei certificati SSL anziché richiedere una serie di passaggi manuali.	La gestione dei certificati per le istanze di NSX Global Manager deve essere eseguita manualmente.