L'esecuzione di una valutazione della sicurezza è il primo passo per comprendere eventuali vulnerabilità nell'infrastruttura. Una valutazione della sicurezza fa parte di una verifica della sicurezza, che esamina sia i sistemi sia le procedure, inclusa la conformità alla sicurezza.
Una valutazione della sicurezza indica in genere un'analisi dell'infrastruttura fisica dell'organizzazione (firewall, reti, hardware e così via) per identificare vulnerabilità e difetti. Una valutazione della sicurezza non corrisponde a una verifica della sicurezza. Una verifica della sicurezza include non solo una revisione dell'infrastruttura fisica, ma altre aree come i criteri e le procedure operative standard, tra cui la conformità alla sicurezza. Dopo la verifica, è possibile decidere quali passaggi eseguire per risolvere i problemi all'interno del sistema.
Quando ci si prepara a eseguire una verifica della sicurezza, è opportuno farsi queste domande:
- La nostra organizzazione deve rispettare le norme di conformità? Se sì, quali?
- Qual è l'intervallo tra una verifica e l'altra?
- Qual è l'intervallo tra un'autovalutazione interna e l'altra?
- Possiamo accedere ai risultati delle verifiche precedenti e li abbiamo esaminati?
- Ci rivolgiamo a una società di verifica di terze parti per prepararci alla verifica? Se sì, ha esperienza nel campo della virtualizzazione?
- Eseguiamo analisi delle vulnerabilità dei sistemi e delle applicazioni? Quando e con quale frequenza?
- Quali sono i nostri criteri per la sicurezza informatica interna?
- La registrazione delle verifiche è configurata in base alle nostre esigenze? Vedere Registrazione di controllo in vSphere.
In assenza di linee guida o istruzioni specifiche, è possibile iniziare a proteggere l'ambiente di vSphere:
- Mantenendo aggiornato l'ambiente con le patch del software e del firmware più recenti
- Mantenendo una gestione efficiente e una protezione attiva delle password per tutti gli account
- Esaminando i consigli sulla sicurezza approvati dal fornitore
- Facendo riferimento alle Guide alla configurazione della sicurezza di VMware (vedere Informazioni di riferimento per i controlli di sicurezza vSphere)
- Utilizzando le linee guida disponibili e affidabili dei framework dei criteri come NIST, ISO e così via
- Seguendo le indicazioni dei framework di conformità normativa come PCI, DISA e FedRAMP