L'esecuzione di una valutazione della sicurezza è il primo passo per comprendere eventuali vulnerabilità nell'infrastruttura. Una valutazione della sicurezza fa parte di una verifica della sicurezza, che esamina sia i sistemi sia le procedure, inclusa la conformità alla sicurezza.

Una valutazione della sicurezza indica in genere un'analisi dell'infrastruttura fisica dell'organizzazione (firewall, reti, hardware e così via) per identificare vulnerabilità e difetti. Una valutazione della sicurezza non corrisponde a una verifica della sicurezza. Una verifica della sicurezza include non solo una revisione dell'infrastruttura fisica, ma altre aree come i criteri e le procedure operative standard, tra cui la conformità alla sicurezza. Dopo la verifica, è possibile decidere quali passaggi eseguire per risolvere i problemi all'interno del sistema.

Quando ci si prepara a eseguire una verifica della sicurezza, è opportuno farsi queste domande:

  1. La nostra organizzazione deve rispettare le norme di conformità? Se sì, quali?
  2. Qual è l'intervallo tra una verifica e l'altra?
  3. Qual è l'intervallo tra un'autovalutazione interna e l'altra?
  4. Possiamo accedere ai risultati delle verifiche precedenti e li abbiamo esaminati?
  5. Ci rivolgiamo a una società di verifica di terze parti per prepararci alla verifica? Se sì, ha esperienza nel campo della virtualizzazione?
  6. Eseguiamo analisi delle vulnerabilità dei sistemi e delle applicazioni? Quando e con quale frequenza?
  7. Quali sono i nostri criteri per la sicurezza informatica interna?
  8. La registrazione delle verifiche è configurata in base alle nostre esigenze? Vedere Registrazione di controllo in vSphere.

In assenza di linee guida o istruzioni specifiche, è possibile iniziare a proteggere l'ambiente di vSphere:

  • Mantenendo aggiornato l'ambiente con le patch del software e del firmware più recenti
  • Mantenendo una gestione efficiente e una protezione attiva delle password per tutti gli account
  • Esaminando i consigli sulla sicurezza approvati dal fornitore
  • Facendo riferimento alle Guide alla configurazione della sicurezza di VMware (vedere Informazioni di riferimento per i controlli di sicurezza vSphere)
  • Utilizzando le linee guida disponibili e affidabili dei framework dei criteri come NIST, ISO e così via
  • Seguendo le indicazioni dei framework di conformità normativa come PCI, DISA e FedRAMP