Questi controlli di sicurezza forniscono un set di basi di confronto delle procedure consigliate di progettazione del sistema vSphere.
Eliminazione dei plug-in di terze parti di vCenter Server
Ridurre o eliminare i plug-in vCenter Server di terze parti.
L'installazione di plug-in e di altre connessioni incrociate di terze parti tra sistemi può compromettere i confini tra i diversi sistemi di infrastruttura, offrendo opportunità agli utenti malintenzionati che hanno compromesso un sistema di spostarsi lateralmente in un altro. La stretta associazione di altri sistemi a vSphere spesso crea anche ostacoli all'installazione delle patch e aggiornamenti tempestivi. Assicurarsi che qualsiasi plug-in o componente aggiuntivo di terze parti per i componenti vSphere crei valore. Se si sceglie di utilizzare plug-in anziché singole console di gestione, assicurarsi che il loro utilizzo compensi i rischi che creano.
Prestare attenzione alle interfacce di gestione dell'infrastruttura
Prestare attenzione quando si connettono le interfacce di gestione dell'infrastruttura alle origini di autenticazione e autorizzazione generiche.
Le directory aziendali centralizzate sono bersagli degli utenti malintenzionati a causa del loro ruolo nelle autorizzazioni di un'azienda. Un utente malintenzionato può spostarsi liberamente all'interno di un'organizzazione quando la directory è compromessa. La connessione dell'infrastruttura IT a directory centralizzate ha dimostrato un notevole rischio per ransomware e altri attacchi. Isolare l'autenticazione e l'autorizzazione di tutti i sistemi dell'infrastruttura.
Per ESXi:
- eseguire la gestione di tutti gli host tramite vCenter Server
- Disattivazione della ESXi Shell
- Posizionare ESXi in modalità di blocco normale
- Impostare una password complessa per la password root di ESXi
Attivazione di vSphere Distributed Resource Scheduler
Attivare vSphere Distributed Resource Scheduler (DRS) in modalità completamente automatizzata.
vSphere DRS utilizza vMotion per spostare i carichi di lavoro tra host fisici per garantire prestazioni e disponibilità. La modalità completamente automatizzata garantisce che vSphere Lifecycle Manager possa lavorare con DRS per attivare le operazioni di installazione delle patch e aggiornamento.
Se sono necessarie mappature specifiche da macchina virtuale a host, utilizzare le regole DRS. Se possibile, utilizzare le regole "should" anziché "must" in modo da poter sospendere temporaneamente la regola durante l'installazione delle patch e il ripristino dell'alta disponibilità.
Attivare vSphere High Availability
vSphere High Availability (HA) riavvia i carichi di lavoro su altri host ESXi di un cluster se un host ESXi non riesce improvvisamente. Assicurarsi che le impostazioni di HA siano configurate correttamente per l'ambiente in uso.
Attivazione della compatibilità migliorata di vMotion
La compatibilità migliorata di vSphere vMotion (EVC) garantisce che i carichi di lavoro possano essere migrati in tempo reale utilizzando vMotion tra host ESXi in un cluster che eseguono generazioni di CPU diverse. EVC fornisce assistenza anche in situazioni con vulnerabilità della CPU, in cui potrebbero essere introdotte nuove istruzioni di microcodice alle CPU, rendendole temporaneamente incompatibili tra loro.
Protezione dei sistemi dalla manomissione
Assicurarsi che gli host ESXi e i relativi componenti di storage e di rete siano protetti da manomissioni, accessi non autorizzati e rimozioni non autorizzate. Inoltre, proteggere gli host dai danni causati da fattori ambientali come inondazioni, temperature estreme (basse o elevate), polvere e detriti.
L'utilizzo di funzionalità di sicurezza, come vSphere Native Key Provider e la persistenza della chiave di ESXi, può causare l'archiviazione locale di materiale sicuro negli host ESXi, consentendo agli utenti malintenzionati di avviare e sbloccare cluster altrimenti protetti. È importante considerare la sicurezza fisica e le relative minacce, come il furto.
Oltre il furto, avere un approccio alla sicurezza significa anche porsi domande come le seguenti:
- Cosa potrebbe andare storto?
- Come faccio a sapere se qualcosa è andato storto?
Queste domande assumono un'importanza aggiuntiva quando si tratta di posizioni di data center e di strutture di collocazione senza personale. Per quanto riguarda i data center e le configurazioni del rack, porsi le seguenti domande:
- Le porte del data center si chiudono automaticamente e si chiudono correttamente da sole?
- Se le porte venissero lasciate socchiuse, ci sarebbe un avviso proattivo?
- Se le porte del rack sono bloccate, è comunque possibile raggiungere il rack da un lato o dall'alto e scollegare un cavo? Una persona non autorizzata può collegare un cavo a un commutatore di rete?
- È possibile rimuovere un dispositivo, ad esempio un dispositivo di storage o addirittura un intero server? Cosa succederebbe in uno scenario del genere?
Altre domande da porsi includono:
- Qualcuno potrebbe raccogliere informazioni sull'ambiente o sull'azienda dai display informativi sui server, ad esempio pannelli LCD o console?
- Se le visualizzazioni di tali informazioni sono inattive, potrebbero essere attivate dall'esterno del rack, ad esempio con l'uso di un filo metallico rigido?
- Ci sono altri pulsanti, ad esempio il pulsante di accensione, che potrebbero essere spinti per creare un'interruzione del servizio per l'azienda?
Infine, chiedersi se vi sono altre minacce fisiche, come la possibilità di allagamenti, congelamento o calore elevato o polvere e detriti dell'ambiente, che potrebbero influire sulla disponibilità.
Denominazione degli oggetti vSphere in modo descrittivo
Assicurarsi di denominare gli oggetti vSphere in modo descrittivo, modificando i nomi predefiniti degli oggetti per garantire l'accuratezza e ridurre eventuali confusioni.
Utilizzare procedure di denominazione consigliate per gli oggetti vSphere, modificando i nomi predefiniti come "Data center", "Datastore vSAN", "DSwitch", "Rete macchina virtuale" e così via, per includere informazioni aggiuntive. Ciò consente di migliorare l'accuratezza e ridurre gli errori durante lo sviluppo, l'implementazione e il controllo di criteri di sicurezza e processi delle operazioni.
I gruppi di porte che utilizzano tag VLAN 802.1Q possono includere il numero di VLAN. I nomi dei data center e dei cluster possono riflettere le posizioni e gli scopi. I nomi dei datastore e degli switch virtuali distribuiti possono riflettere i nomi dei data center e dei cluster a cui sono collegati. I nomi dei provider di chiavi sono particolarmente importanti, specialmente quando si proteggono macchine virtuali crittografate con replica in siti alternativi. Evitare l'insorgere di potenziali errori nell'utilizzo dei nomi con gli oggetti presenti in altri data center e cluster.
Alcune organizzazioni non assegnano nomi a sistemi con identificatori di posizione fisica come gli indirizzi, preferendo oscurare la posizione fisica dei data center tramite l'uso di termini come "Sito A", "Sito B" e così via. Ciò è utile anche se i siti vengono riposizionati, non dovendo rinominare tutto o evitando di mantenere informazioni imprecise.
Quando si decide uno schema di denominazione, tenere presente che molti oggetti possono avere proprietà simili. Ad esempio, due gruppi di porte possono avere la stessa VLAN assegnata, ma regole di filtro e contrassegno del traffico diverse. Incorporare un nome di progetto o una breve descrizione nel nome può essere utile per disambiguare oggetti di questo tipo.
Infine, considerare l'automazione quando si sviluppa uno schema di denominazione. I nomi che possono essere derivati a livello di programmazione sono spesso utili durante l'esecuzione di script e l'automazione delle attività.
Isolamento delle interfacce di gestione dell'infrastruttura
Assicurarsi che le interfacce di gestione dell'infrastruttura IT siano isolate nel rispettivo segmento di rete o come parte di una rete di gestione isolata.
Assicurarsi che tutte le interfacce di gestione configurate per i componenti di virtualizzazione si trovino in un segmento di rete (VLAN e così via) dedicato solo alla gestione della virtualizzazione, privo di carichi di lavoro e sistemi non correlati. Assicurarsi che le interfacce di gestione siano controllate con controlli di sicurezza del perimetro affinché solo gli amministratori vSphere autorizzati possano accedervi dalle workstation autorizzate.
Alcune progettazioni di sistema inseriscono vCenter Server e altri strumenti di gestione nei propri segmenti di rete, isolati da ESXi, perché offrono un migliore monitoraggio di tali sistemi. Altre progettazioni mettono vCenter Server con la gestione di ESXi a causa della relazione tra i due prodotti e della possibilità di errori di configurazione del firewall o interruzioni che interrompano il servizio. Qualunque sia il design scelto, è bene rifletterci.
Uso corretto di vMotion
Assicurarsi che vMotion utilizzi la crittografia dei dati in transito (impostata su "Obbligatorio" per le macchine virtuali) o che le interfacce di rete VMkernel utilizzate per vMotion siano isolate nei propri segmenti di rete con controlli del perimetro.
vMotion e Storage vMotion copiano, rispettivamente, i dati della memoria e dello storage della macchina virtuale attraverso la rete. Assicurarsi che i dati siano crittografati durante il transito garantisce la riservatezza. L'isolamento in un segmento di rete dedicato con controlli del perimetro appropriati può aggiungere una difesa in profondità e consentire anche la gestione del traffico di rete.
Come tutte le forme di crittografia, la crittografia di vMotion introduce una perdita di prestazioni, ma tale modifica delle prestazioni si verifica nel processo di vMotion in background e non influisce sul funzionamento della macchina virtuale.
Uso corretto di vSAN
Assicurarsi che vSAN utilizzi la crittografia dei dati in transito o che le interfacce di rete VMkernel utilizzate per vSAN siano isolate nei propri segmenti di rete che dispongono di controlli del perimetro.
vSAN dispone di crittografia dei dati in transito che può contribuire a mantenere la riservatezza durante la comunicazione dei nodi vSAN. Come per molti controlli di sicurezza, esiste un compromesso con le prestazioni. Monitorare la latenza e le prestazioni dello storage quando viene attivata la crittografia dei dati in transito. Le organizzazioni che non attivano o che non possono attivare la crittografia dei dati in transito vSAN devono isolare il traffico di rete in un segmento di rete dedicato con controlli del perimetro appropriati.
Attivazione di Network I/O Control
Assicurarsi di disporre di DoS (Denial of Service) di rete attivando Network I/O Control (NIOC).
vSphere Network I/O Control (NIOC) è una tecnologia di gestione del traffico che offre la qualità del servizio a livello di hypervisor, migliorando le prestazioni della rete assegnando priorità alle risorse in ambienti cloud multi-tenant e carichi di lavoro condivisi. Incorporato in vSphere Distributed Switch (vDS), NIOC partiziona la larghezza di banda della scheda di rete in "pool di risorse di rete" che corrispondono a diversi tipi di traffico, come vMotion e il traffico di gestione. L'utilizzo di NIOC consente agli utenti di allocare condivisioni, limiti e prenotazioni a questi pool.
NIOC preserva la disponibilità della rete per i servizi essenziali e impedisce la congestione limitando il traffico meno critico. Questo risultato si ottiene abilitando la creazione di criteri di controllo della rete in base ai requisiti aziendali, assicurando l'isolamento del tipo di traffico e consentendo la riassegnazione dinamica delle risorse in base alla priorità e all'utilizzo.
Non configurare le VLAN riservate del fornitore
Assicurarsi che gli uplink del commutatore fisico degli host ESXi non siano configurati con le VLAN riservate del fornitore.
Alcuni fornitori di reti riservano determinati ID VLAN per uso interno o specifico. Assicurarsi che le configurazioni della rete vSphere non includano questi valori.
Configurazione degli uplink ESXi come porte di accesso
Assicurarsi che gli uplink del commutatore fisico dagli host ESXi siano configurati come "porte di accesso" assegnate a una singola VLAN o come trunk VLAN 802.1Q contrassegnati senza VLAN nativa. Assicurarsi che i gruppi di porte vSphere non consentano l'accesso alla VLAN 1 o alle VLAN native senza tag.
Le connessioni di rete in cui è configurata una VLAN "nativa" per accettare traffico senza tag o che hanno accesso alla VLAN 1, possono offrire agli utenti malintenzionati la possibilità di creare pacchetti specializzati in grado di sconfiggere i controlli di sicurezza della rete. VLAN 1 è l'impostazione predefinita utilizzata spesso per la gestione della rete e le comunicazioni e deve essere isolata dai carichi di lavoro. Assicurarsi che i gruppi di porte non siano configurati per l'accesso alle VLAN native. Assicurarsi che le porte del trunk VLAN siano configurate con definizioni di VLAN specifiche (non "tutte"). Infine, assicurarsi che i gruppi di porte siano configurati correttamente affinché gli utenti malintenzionati non possano utilizzare un ambiente virtualizzato per eludere i controlli di sicurezza della rete.
Configurazione corretta delle connessioni dell'infrastruttura di storage
Assicurarsi che le connessioni dell'infrastruttura di storage utilizzino la crittografia dei dati in transito o siano isolate nei propri segmenti di rete o SAN che dispongono di controlli del perimetro.
La protezione dei dati di storage in transito consente di garantire la riservatezza dei dati. La crittografia non è un'opzione praticabile per molte tecnologie di storage, spesso a causa di problemi di disponibilità o prestazioni. In questi casi, l'isolamento a un segmento di rete dedicato con i controlli del perimetro appropriati può essere un efficace controllo di compensazione e può aggiungere una difesa in profondità.
Utilizzo del masking LUN nei sistemi di storage
Assicurarsi che i sistemi di storage utilizzino il masking LUN, la creazione di zone e altre tecniche di sicurezza lato storage per garantire che le allocazioni di storage siano visibili solo per il cluster vSphere in cui devono essere utilizzate.
Il masking LUN nel controller di storage e la creazione di zone SAN contribuiscono a garantire che il traffico di storage non sia visibile agli host non autorizzati e che gli host non autorizzati non possano montare i datastore, ignorando altri controlli di sicurezza.
Limitazione delle connessioni ai sistemi autorizzati
Si consideri l'uso del firewall vCenter Server Appliance per limitare le connessioni ai sistemi e agli amministratori autorizzati.
vCenter Server Appliance contiene un firewall di base utilizzabile per limitare le connessioni in arrivo in vCenter Server. Può essere un livello efficace di difesa in profondità in combinazione con i controlli di sicurezza del perimetro.
Come sempre, prima di aggiungere regole per bloccare le connessioni, assicurarsi che siano presenti regole per consentire l'accesso dalle workstation amministrative.
Non archiviare le chiavi di crittografia negli host ESXi senza proteggere l'accesso fisico
L'ambiente non deve archiviare le chiavi di crittografia negli host ESXi senza proteggere anche l'accesso fisico agli host.
Per impedire loop di dipendenze, vSphere Native Key Provider archivia le chiavi di decrittografia direttamente negli host ESXi, in un Trusted Platform Module (TPM) o come parte della configurazione di ESXi crittografata. Tuttavia, se non si protegge fisicamente un host e un utente malintenzionato ruba l'host, l'autore dell'attacco possiede i mezzi per sbloccare ed eseguire carichi di lavoro crittografati. Pertanto, è fondamentale garantire la sicurezza fisica (vedere Protezione dei sistemi dalla manomissione) o scegliere di utilizzare un Provider di chiavi standard (vedere Che cos'è un provider di chiavi standard) che includa ulteriori controlli di sicurezza della rete.
Utilizzo di dispositivi persistenti, non SD, non USB e di adeguate di dimensioni per volumi di avvio ESXi
L'ambiente deve utilizzare persistenti, non SD, non USB e di adeguate di dimensioni per volumi di avvio ESXi.
La memoria flash è un componente che si usurano nel tempo e ogni scrittura di dati ne riduce la durata. SSD e dispositivi NVMe dispongono di funzionalità integrate per ridurre questa usura, rendendoli più affidabili. Tuttavia, le schede SD e la maggior parte delle unità flash USB non dispongono di queste funzionalità e possono sviluppare problemi di affidabilità, come settori danneggiati, spesso senza alcun segno evidente.
Per ridurre l'usura e fare in modo che i dispositivi SD e USB durino più a lungo, quando si installa ESXi su questi dispositivi, è possibile salvare i registri di controllo e di sistema su un disco RAM anziché scrivere costantemente sul dispositivo. Questo significa che è necessario configurare nuove posizioni di storage a lungo termine per questi registri e modificare l'output del registro per passare a queste nuove posizioni.
La scelta di un'unità di avvio affidabile rimuove questi passaggi aggiuntivi e aiuta ESXi a superare automaticamente i controlli di sicurezza.
Configurazione corretta della destinazione iSCSI vSAN
Assicurarsi che la destinazione iSCSI vSAN utilizzi le proprie interfacce di rete VMkernel, isolate nel proprio segmento di rete e con controlli perimetri separati mediante l'utilizzo di filtri e contrassegni del traffico del gruppo di porte distribuite, NSX o controlli di sicurezza della rete esterna.
Poiché i client della destinazione iSCSI sono esterni al cluster, isolarli nelle rispettive interfacce di rete. In questo modo, è possibile limitare separatamente altre comunicazioni di rete solo interne. L'isolamento di questo tipo consente inoltre di diagnosticare e gestire le prestazioni.