Per una maggiore sicurezza, evitare di collocare il sistema vCenter Server in una rete diversa da una rete di gestione e assicurarsi che il traffico di gestione vSphere si trovi in una rete con restrizioni. Ponendo restrizioni alla connettività di rete, si limitano determinati tipi di attacco.

vCenter Server richiede l'accesso solo a una rete di gestione. Evitare di mettere il sistema vCenter Server su altre reti come la rete di produzione o di storage o su qualsiasi rete con accesso a Internet. vCenter Server non ha bisogno di accedere alla rete in cui opera vMotion.

vCenter Server richiede la connettività di rete ai seguenti sistemi.
  • Tutti gli host ESXi.
  • Il database vCenter Server.
  • Altri sistemi vCenter Server (se i sistemi vCenter Server fanno parte di un comune dominio vCenter Single Sign-On allo scopo di replicare tag, autorizzazioni e così via).
  • Sistemi autorizzati a eseguire client di gestione. Ad esempio, vSphere Client, un sistema Windows in cui si utilizza PowerCLI o qualsiasi altro client basato su SDK.
  • Servizi dell'infrastruttura quali DNS, Active Directory e PTP o NTP.
  • Altri sistemi che eseguono componenti essenziali per la funzionalità del sistema vCenter Server.

Utilizzare il firewall sul vCenter Server. Includere le limitazioni di accesso basate su IP in modo che solo i componenti necessari possano comunicare con il sistema vCenter Server.

Valutazione dell'utilizzo dei client Linux con CLI e SDK

Per impostazione predefinita, le comunicazioni tra componenti client e un sistema vCenter Server o host ESXi sono protette dalla crittografia basata su SSL. Le versioni Linux di questi componenti non eseguono la convalida del certificato. È consigliabile limitare l'uso di questi client.

Per migliorare la sicurezza, è possibile sostituire i certificati firmati da VMCA nel sistema vCenter Server e negli host ESXi con certificati firmati da un'autorità di certificazione dell'azienda o di terze parti. Tuttavia, alcune comunicazioni con i client Linux potrebbero essere ancora vulnerabili agli attacchi machine-in-the-middle. I seguenti componenti sono vulnerabili quando vengono eseguiti nel sistema operativo Linux.
  • Comandi ESXCLI
  • Script di vSphere SDK for Perl
  • Programmi scritti utilizzano vSphere Web Services SDK
Se si applicano controlli appropriati, è possibile ridurre la limitazione rispetto all'utilizzo dei client Linux.
  • Limitare l'accesso alla rete di gestione solo ai sistemi autorizzati.
  • Utilizzare i firewall per assicurarsi che solo gli host autorizzati siano autorizzati ad accedere a vCenter Server.
  • Utilizzare gli host Bastion (sistemi jump box) per assicurarsi che i client Linux siano dietro il "jump".

Analisi dei plug-in di vSphere Client

Le estensioni vSphere Client vengono eseguite allo stesso livello di privilegio dell'utente che ha effettuato l'accesso. Un'estensione dannosa può mascherarsi come plug-in utile ed eseguire operazioni dannose come il furto di credenziali o la modifica della configurazione del sistema. Per aumentare la sicurezza, utilizzare un'installazione che include solo estensioni autorizzate da fonti attendibili.

Un'installazione di vCenter Server include un framework di estendibilità per vSphere Client. È possibile utilizzare questo framework per estendere il client con selezioni di menu o icone della barra degli strumenti. Le estensioni possono fornire l'accesso ai componenti aggiuntivi di vCenter Server o a funzionalità esterne basate sul Web.

L'utilizzo del framework di estensibilità comporta il rischio di introduzione di funzionalità indesiderate. Ad esempio, se un amministratore installa un plug-in in un'istanza di vSphere Client, il plug-in può eseguire comandi arbitrari con il livello di privilegio di tale amministratore.

Per proteggersi da potenziali compromissione di vSphere Client, esaminare periodicamente tutti i plug-in installati e assicurarsi che ciascun plug-in provenga da una fonte attendibile.

Prerequisiti

È necessario disporre dei privilegi per accedere al servizio vCenter Single Sign-On. Questi privilegi sono diversi dai privilegi di vCenter Server.

Procedura

  1. Accedere a vSphere Client come [email protected] o come utente con privilegi vCenter Single Sign-On.
  2. Dalla pagina Home, selezionare Amministrazione, quindi selezionare Plug-in client in Soluzioni.
  3. Esaminare l'elenco dei plug-in client.