L'autenticazione tramite vCenter Single Sign-On e l'autorizzazione tramite il modello di autorizzazioni vCenter Server proteggono il sistema vCenter Server e i servizi associati. È possibile modificare il comportamento predefinito ed eseguire i passaggi necessari per limitare l'accesso all'ambiente.
Poiché si protegge l'ambiente di vSphere, occorre considerare che tutti i servizi associati alle istanze vCenter Server devono essere protetti. In alcuni ambienti è possibile proteggere diverse istanze vCenter Server.
vCenter Server utilizza la comunicazione crittografata
Per impostazione predefinita, tutte le comunicazioni dati tra il sistema vCenter Server e gli altri componenti di vSphere sono crittografate. In alcuni casi, in base a come si configura l'ambiente, è possibile che il traffico non sia crittografato. Ad esempio, è possibile configurare SMTP non crittografato per gli avvisi e-mail e SNMP non crittografato per il monitoraggio. Anche il traffico DNS non è crittografato. vCenter Server è in ascolto sulla porta 80 (TCP) e sulla porta 443 (TCP). La porta 443 (TCP) è la porta HTTPS (HTTP sicuro) standard di settore e utilizza la crittografia TLS per la protezione. Vedere Configurazione di TLS di vSphere. La porta 80 (TCP) è la porta HTTP standard di settore e non utilizza la crittografia. La porta 80 ha lo scopo di reindirizzare le richieste dalla porta 80 alla porta 443, in cui sono sicure.
Protezione dei sistemi vCenter Server
Il primo passaggio per proteggere l'ambiente vCenter Server consiste nel proteggere ogni macchina in cui è in esecuzione vCenter Server o un servizio associato. Considerazioni simili si applicano a una macchina fisica o a una macchina virtuale. Installare sempre le patch di sicurezza più recenti del sistema operativo e seguire le procedure consigliate del settore per proteggere la macchina host.
Informazioni sul modello di certificato di vSphere
Per impostazione predefinita, l'Autorità di certificazione VMware (VMCA) esegue il provisioning di ogni host ESXi e di ogni macchina nell'ambiente con un certificato firmato da VMCA. Se i criteri dell'azienda lo richiedono, è possibile modificare il comportamento predefinito. Per maggiori dettagli, vedere la documentazione di Autenticazione di vSphere.
Per un'ulteriore protezione si consiglia di rimuovere esplicitamente i certificati scaduti o revocati e le installazioni non riuscite.
Configurare vCenter Single Sign-On
vCenter Server e i servizi associati sono protetti dal framework di autenticazione vCenter Single Sign-On. Quando si installa il software per la prima volta, si specifica una password per l'amministratore del dominio di vCenter Single Sign-On, [email protected] per impostazione predefinita. Solo quel dominio è inizialmente disponibile come origine di identità. È possibile aggiungere un fornitore di identità esterno, ad esempio Microsoft Active Directory Federation Services (AD FS) per l'autenticazione federata. È possibile aggiungere altre origini di identità, Active Directory o LDAP, e impostare un'origine di identità predefinita. Gli utenti che possono autenticarsi in una di queste origini di identità possono visualizzare oggetti ed eseguire attività qualora siano autorizzati a farlo. Per maggiori dettagli, vedere la documentazione di Autenticazione di vSphere.
Assegnazione di ruoli di vCenter Server a utenti o gruppi denominati
Per una migliore registrazione, associare ogni autorizzazione fornita a un oggetto con un utente o un gruppo denominato e un ruolo predefinito o un ruolo personalizzato. Il modello delle autorizzazioni vSphere offre una grande flessibilità grazie alle molteplici modalità di autorizzazione di utenti o gruppi. Vedere Informazioni sulle autorizzazioni in vSphere e Privilegi vCenter Server necessari per le attività comuni.
Limitare i privilegi di amministratore e l'uso del ruolo di amministratore. Se possibile, non utilizzare l'utente amministratore anonimo.
Configurazione di Precision Time Protocol o Network Time Protocol
Configurare Precision Time Protocol (PTP) o Network Time Protocol (NTP) per ogni nodo dell'ambiente. L'infrastruttura del certificato di vSphere richiede data e ora precise e non funziona correttamente se i nodi non sono sincronizzati.