Questi controlli di sicurezza forniscono un set di basi di confronto di procedure consigliate per la sicurezza di vCenter Server. Sono strutturati in modo da spiegare i vantaggi e i compromessi dell'implementazione del controllo. Per apportare modifiche, è possibile utilizzare vSphere Client, PowerCLI o l'interfaccia di gestione di vCenter Server, in base al controllo.
PowerCLI e variabili utilizzate
Alcuni degli esempi PowerCLI qui utilizzati richiedono l'installazione del modulo VMware.vSphere.SsoAdmin.
I comandi PowerCLI di questa sezione utilizzano le variabili seguenti:
- $VC="vcenter_server_name"
- $VDS="vsphere_distributed_switch_name"
- $VDPG="vsphere_distributed_port_group"
Impostazione del timeout di inattività di vSphere Client
vCenter Server deve terminare le sessioni vSphere Client dopo 15 minuti di inattività.
Le sessioni vSphere Client inattive possono essere lasciate aperte indefinitamente se un utente dimentica di disconnettersi, aumentando, tuttavia, il rischio di accesso privilegiato non autorizzato.
Impostazione dell'intervallo di tentativi di accesso non riusciti
vCenter Server deve impostare l'intervallo per i tentativi di accesso non riusciti su almeno 15 minuti.
Limitando il numero di tentativi di accesso non riusciti, si riduce il rischio di accessi non autorizzati mediante la procedura in cui all'utente viene richiesto di indovinare la password, nota anche come brute-force.
Configurazione del numero massimo di tentativi del criterio di blocco SSO di vSphere
vCenter Server deve bloccare un account dopo un determinato numero di tentativi di accesso non riusciti.
Accessi non riusciti ripetuti a un account possono segnalare problemi di sicurezza. Per limitare i tentativi di brute force, bloccare l'account dopo una determinata soglia, per trovare un equilibrio tra evitare tentativi di connessione automatici e potenziali attacchi Denial of Service.
Configurazione del tempo di sblocco del criterio di blocco SSO di vSphere
vCenter Server deve sbloccare gli account dopo un periodo di timeout specificato.
Accessi non riusciti ripetuti possono significare potenziali minacce alla sicurezza. Gli account vCenter Server non devono essere sbloccati automaticamente quando sono stati bloccati a causa di più errori di accesso. Assicurarsi di disporre delle informazioni [email protected] e che siano valide.
- Valori
- Valore predefinito installazione: 300
- Azione consigliata
- Modificare il valore predefinito dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Quando gli account non si sbloccano automaticamente, è possibile accedere al Denial Of Service.
- Esempio di correzione del comando tramite PowerCLI
-
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
- Impostazione della posizione in vSphere Client
Imposizione della complessità della password
vCenter Server deve imporre la complessità della password.
Le procedure consigliate moderne per le password (vedere la sezione 5.1.1.2 del NIST 800-63B, tra le altre guide) indicano che con un'entropia della password adeguata la sicurezza non viene migliorata richiedendo arbitrariamente agli utenti di modificare la password a determinati intervalli. Molti strumenti di sicurezza automatizzati e framework di conformità normativa non riflettono queste linee guida e potrebbero sovrascrivere questo consiglio.
Le regole di complessità della password si applicano agli account creati in SSO vSphere, incluso [email protected] (o, se durante l'installazione è stato specificato un dominio diverso, administrator@dominio). Queste regole non si applicano agli utenti Active Directory quando vCenter Server fa parte di un dominio, perché AD applica tali criteri della password.
- Valori
-
Valore predefinito dell'installazione:
Lunghezza massima: 20
Lunghezza minima: 8
Almeno 1 carattere speciale
Almeno 2 lettere
Almeno 1 maiuscola
Almeno 1 minuscola
Almeno 1 numero
3 caratteri adiacenti identici
- Azione consigliata
- Modificare i valori predefiniti dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Altri prodotti e servizi all'interno dell'ecosistema VMware potrebbero non aspettarsi modifiche dei requisiti di complessità della password e l'installazione potrebbe non riuscire.
- Esempio di correzione del comando tramite PowerCLI
-
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
- Impostazione della posizione in vSphere Client
Configurazione del numero massimo di giorni tra le modifiche della password
vCenter Server deve essere configurato con una durata massima della password appropriata.
Le procedure consigliate moderne per le password (vedere la sezione 5.1.1.2 del NIST 800-63B, tra le altre guide) indicano che con un'entropia della password adeguata la sicurezza non viene migliorata richiedendo arbitrariamente agli utenti di modificare la password a determinati intervalli. Molti strumenti di sicurezza automatizzati e framework di conformità normativa non riflettono queste linee guida e potrebbero sovrascrivere questo consiglio.
Limitazione del riutilizzo delle password
Configurare l'impostazione di cronologia delle password per limitare il riutilizzo delle password in vCenter Server.
Le linee guida per la complessità delle password a volte impediscono agli utenti di riutilizzare le password precedenti. La configurazione dell'impostazione della cronologia delle password in vCenter Server può aiutare a prevenire questa situazione.
- Valutazione del comando tramite PowerCLI
-
Get-SsoPasswordPolicy | Select ProhibitedPreviousPasswordsCount
Configurazione del testo del banner di accesso per l'accesso SSH
Configurare il testo del banner di accesso a vCenter Server per l'accesso tramite SSH.
vCenter Server consente un messaggio di accesso, dissuadendo gli intrusi e comunicando obblighi agli utenti autorizzati. Questa configurazione stabilisce il testo visualizzato quando un client si connette utilizzando SSH. Il testo predefinito invia informazioni sulla configurazione del sistema agli utenti malintenzionati e deve essere modificato.
- Valori
-
Valore predefinito di installazione: versione di VMware vCenter Server
Tipo: vCenter Server con un Platform Services Controller incorporato
- Esempio di correzione del comando tramite PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Impostazione dell'intervallo di attività e conservazione
In vCenter Server deve essere impostato un intervallo appropriato per la conservazione degli eventi e delle attività.
vCenter Server conserva i dati di attività ed eventi, che vengono rimossi per risparmiare spazio di storage. L'età è configurabile. Questo influisce solo sullo storage locale dei dati degli eventi nell'appliance vCenter Server.
Attivazione della registrazione remota
Attivare la registrazione remota degli eventi di vCenter Server.
La registrazione remota in un host centrale migliora la sicurezza di vCenter Server archiviando i registri in modo sicuro. La registrazione remota semplifica il monitoraggio tra gli host e supporta l'analisi aggregata per rilevare attacchi coordinati. La registrazione centralizzata impedisce la manomissione e funge da resoconti di controllo affidabile a lungo termine. L'impostazione vpxd.event.syslog.enabled attiva la registrazione remota.
- Valutazione del comando tramite PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled
Attivazione di FIPS
vCenter Server deve attivare la crittografia con convalida FIPS.
La crittografia FIPS apporta una serie di modifiche al sistema per rimuovere le crittografie più deboli. L'attivazione di FIPS causa il riavvio di vCenter Server.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- La crittografia FIPS apporta una serie di modifiche al sistema per rimuovere le crittografie più deboli. L'abilitazione di FIPS causa il riavvio di vCenter Server.
- Esempio di correzione del comando tramite PowerCLI
-
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
- Impostazione della posizione in vSphere Client
- Vedere Attivazione e disattivazione di FIPS in vCenter Server Appliance.
Configurazione dei resoconti di controllo
vCenter Server deve produrre resoconti di controllo contenenti informazioni per stabilire il tipo di eventi che si sono verificati.
È importante garantire che nei resoconti di controllo siano presenti informazioni sufficienti a scopo diagnostico e forense. L'impostazione config.log.level configura i resoconti di controllo.
Disattivazione di Apprendimento MAC
Tutti i gruppi di porte del Distributed Switch devono disattivare Apprendimento MAC a meno che non venga utilizzato intenzionalmente.
Apprendimento MAC consente a un Distributed Switch di fornire connettività di rete a sistemi in cui in una vNIC vengono utilizzati più indirizzi MAC. Ciò può essere utile in casi particolari come la virtualizzazione nidificata (ad esempio l'esecuzione di ESXi all'interno di ESXi). L'acquisizione MAC supporta anche il flooding unicast sconosciuto. Normalmente, quando il pacchetto ricevuto da una porta ha un indirizzo MAC di destinazione sconosciuto, il pacchetto viene ignorato. Con il flooding unicast sconosciuto abilitato, la porta esegue il flooding del traffico unicast sconosciuto verso ogni porta del commutatore in cui è abilitata l'acquisizione MAC e il flooding unicast sconosciuto. Questa proprietà è attivata per impostazione predefinita, ma solo se è abilitata l'Apprendimento MAC. Disattivare Apprendimento MAC a meno che non venga utilizzato intenzionalmente per un carico di lavoro noto che lo richiede.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Alcuni carichi di lavoro utilizzano legittimamente queste tattiche di rete e sono influenzati negativamente dalle impostazioni predefinite e dallo stato desiderato.
- Valutazione del comando tramite PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
- Esempio di correzione del comando tramite PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurazione dei dettagli del banner del messaggio di accesso
Configurare i dettagli del banner di accesso vCenter Server per vSphere Client.
vCenter Server consente di visualizzare un messaggio di accesso. Il messaggio di accesso può essere ad esempio utilizzato per informare gli intrusi che le loro attività sono illegali o indicare agli utenti autorizzati i requisiti e gli obblighi che devono soddisfare e accettare durante l'utilizzo del sistema. Questa configurazione imposta il testo dettagliato del messaggio della pagina di accesso di vSphere Client.
- Valutazione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
- Esempio di correzione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
Attivazione del banner di accesso
Attivare il banner di accesso di vCenter Server per vSphere Client.
vCenter Server consente di visualizzare un messaggio di accesso. Il messaggio di accesso può essere ad esempio utilizzato per informare gli intrusi che le loro attività sono illegali o indicare agli utenti autorizzati i requisiti e gli obblighi che devono soddisfare e accettare durante l'utilizzo del sistema. Questa configurazione attiva la visualizzazione del messaggio nella pagina di accesso di vSphere Client.
- Valutazione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
- Esempio di correzione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
Configurazione del testo del banner di accesso
Configurare il testo del banner di accesso di vCenter Server per vSphere Client.
vCenter Server consente di visualizzare un messaggio di accesso. Il messaggio di accesso può essere ad esempio utilizzato per informare gli intrusi che le loro attività sono illegali o indicare agli utenti autorizzati i requisiti e gli obblighi che devono soddisfare e accettare durante l'utilizzo del sistema. Questa configurazione stabilisce il testo visualizzato nella pagina di accesso di vSphere Client.
- Valutazione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
- Esempio di correzione del comando tramite PowerCLI
-
N/D (nessuna API pubblica disponibile)
È possibile configurare il messaggio di accesso eseguendo il comando seguente in una shell dell'appliance:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
Al termine, ricordarsi di disattivare nuovamente la shell.
Autenticazione e autorizzazione separate per gli amministratori
vCenter Server deve separare l'autenticazione e l'autorizzazione per gli amministratori.
La combinazione di autenticazione e autorizzazione, come fanno alcuni servizi tra cui Active Directory, potrebbe comportare violazioni dell'infrastruttura, se compromesse. Pertanto, per vCenter Server, assicurarsi di separare l'autenticazione e l'autorizzazione per gli amministratori. È consigliabile utilizzare i gruppi SSO locali per l'autorizzazione per gestire meglio i rischi, laddove possibile.
Impostazione del criterio Trasmissioni contraffatte su Rifiuta
Impostare tutti i Distributed Switch e i relativi gruppi di porte affinché rifiutino le trasmissioni contraffatte.
Una macchina virtuale può impersonificare schede di rete modificando gli indirizzi MAC e minacciando in questo modo la sicurezza. Impostando l'opzione Trasmissioni contraffatte su Rifiuta in tutti i Distributed Switch e i gruppi di porte, ESXi verifica gli indirizzi MAC e impedisce tale impersonificazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Alcuni carichi di lavoro utilizzano legittimamente queste tattiche di rete e sono influenzati negativamente dall'impostazione predefinita.
- Valutazione del comando tramite PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Impostazione del criterio Modifiche all'indirizzo MAC su Rifiuta
Impostare il criterio Modifiche all'indirizzo MAC su Rifiuta nel commutatore standard vSphere e nei relativi gruppi di porte.
La possibilità di modificare gli indirizzi MAC delle macchine virtuali comporta rischi per la sicurezza, perché consente una potenziale impersonificazione di schede di rete. Il rifiuto delle modifiche MAC in tutti i Distributed Switch e i gruppi di porte impedisce questa operazione, ma potrebbe influire su alcune applicazioni come Microsoft Clustering o la licenza dipendente dall'indirizzo MAC. Fare eccezioni a queste linee guida sulla sicurezza in base alle necessità.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Alcuni carichi di lavoro utilizzano legittimamente queste tattiche di rete e sono influenzati negativamente dall'impostazione predefinita Rifiuta.
- Valutazione del comando tramite PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Impostazione del criterio Modalità promiscua su Rifiuta
Impostare il criterio Modalità promiscua su Rifiuta nel commutatore standard vSphere e nei relativi gruppi di porte.
L'attivazione della modalità promiscua in un gruppo di porte consente a tutte le macchine virtuali connesse di leggere tutti i pacchetti di rete, con un potenziale rischio per la sicurezza. Anche se a volte è necessario consentire la modalità promiscua a scopo di debug o il monitoraggio, è consigliabile utilizzare l'impostazione predefinita Rifiuta. Creare eccezioni per gruppi di porte specifici in base alle esigenze.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Alcuni carichi di lavoro utilizzano legittimamente queste tattiche di rete e sono influenzati negativamente dall'impostazione Rifiuta.
- Valutazione del comando tramite PowerCLI
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Reimpostazione della configurazione della porta quando le macchine virtuali sono disconnesse
vCenter Server deve reimpostare la configurazione della porta quando le macchine virtuali sono disconnesse.
Quando una macchina virtuale è disconnessa dalla porta del commutatore virtuale, è consigliabile reimpostare la configurazione della porta, in modo che un'altra macchina virtuale che si collega abbia una porta in uno stato noto.
- Valutazione del comando tramite PowerCLI
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
- Esempio di correzione del comando tramite PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.PortConfigResetAtDisconnect = $true $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Disattivare Cisco Discovery Protocol o Link Layer Discovery Protocol
Disattivare la partecipazione a Cisco Discovery Protocol (CDP) o Link Layer Discovery Protocol (LLDP) nei Distributed Switch a meno che non venga utilizzato intenzionalmente.
vSphere Distributed Virtual Switch può interagire in CDP o LLDP, potenzialmente condividendo nella rete informazioni sensibili non crittografate, come gli indirizzi IP e i nomi di sistema. In questo modo, CDP e LLDP possono aiutare gli avversari a comprendere o impersonificare l'ambiente. Tuttavia, CDP e LLDP sono estremamente utili anche per casi d'uso legittimi. Disattivare CDP e LLDP a meno che non sia necessario per la risoluzione dei problemi o la convalida della configurazione.
- Valutazione del comando tramite PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
- Esempio di correzione del comando tramite PowerCLI
-
$VDview = Get-VDSwitch -Name $VDS | Get-View $ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec $ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig $ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp' $ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none' $ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion $VDview.ReconfigureDvs_Task($ConfigSpec)
Assicurarsi che gli agenti di raccolta autorizzati ricevano il traffico NetFlow
vCenter Server deve assicurarsi che il traffico NetFlow venga inviato agli agenti di raccolta autorizzati.
vSphere Distributed Switch può esportare dati NetFlow non crittografati, rivelando dettagli sulla rete virtuale e sui modelli di traffico. Verificare che l'utilizzo di NetFlow sia autorizzato e configurato correttamente per evitare perdite di informazioni.
- Valutazione del comando tramite PowerCLI
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress (Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
- Esempio di correzione del comando tramite PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy $ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false $ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Configurazione della sicurezza delle porte della macchina virtuale
vCenter Server non deve sostituire le impostazioni del gruppo di porte a livello di porta nei Distributed Switch, salvo se con lo scopo di bloccare le porte.
Anche se potrebbero essere necessarie sostituzioni della configurazione a livello di porta per configurazioni univoche di macchine virtuali, assicurarsi di monitorarle per evitare l'uso non autorizzato. Le sostituzioni non monitorate potrebbero consentire un accesso più ampio se viene sfruttata una configurazione di Distributed Switch meno sicura.
- Valori
-
Valore predefinito dell'installazione:
Sostituzione blocco porte: TRUE
Tutte le altre sostituzioni: FALSE
- Esempio di correzione del comando tramite PowerCLI
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false $ConfigSpec.Policy.BlockOverrideAllowed = $true $ConfigSpec.Policy.LivePortMovingAllowed = $false $ConfigSpec.Policy.VlanOverrideAllowed = $false $ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false $ConfigSpec.Policy.VendorConfigOverrideAllowed = $false $ConfigSpec.Policy.ShapingOverrideAllowed = $false $ConfigSpec.Policy.IpfixOverrideAllowed = $false $ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Rimozione del mirroring della porta
vCenter Server deve rimuovere le sessioni di mirroring delle porte non autorizzate nei Distributed Switch.
vSphere Distributed Switch può eseguire il mirroring del traffico tra le porte, consentendo l'osservazione del traffico. Per garantire la sicurezza, è necessario rimuovere tutte le sessioni di mirroring delle porte non autorizzate sui Distributed Switch.
Limitazione del Virtual Guest Tagging
vCenter Server deve limitare l'utilizzo di Virtual Guest Tagging (VGT) nei Distributed Switch.
L'impostazione di un gruppo di porte su VLAN 4095 consente il Virtual Guest Tagging (VGT) richiedendo alla macchina virtuale di elaborare i tag VLAN. Attivare VGT solo per le macchine virtuali autorizzate e in grado di gestire i tag VLAN. Un utilizzo non appropriato può causare il rifiuto del servizio o l'interazione non autorizzata del traffico VLAN.
- Valutazione del comando tramite PowerCLI
-
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Verifica della manutenzione VMware nella versione vCenter Server
Assicurarsi che la versione di vCenter Server non abbia raggiunto lo stato Fine del supporto generale di VMware.
Limitazione dell'accesso a SSH
Il servizio SSH di vCenter Server deve essere disattivato.
vCenter Server Appliance viene fornito come appliance e deve essere gestito tramite l'interfaccia di gestione di vCenter Server, vSphere Client e le API. SSH è uno strumento di supporto e di risoluzione dei problemi che può essere attivato solo quando necessario. vCenter Server High Availability utilizza SSH per coordinare la replica e il failover tra i nodi. L'utilizzo di questa funzionalità richiede che SSH rimanga attivo.
- Valutazione del comando tramite PowerCLI
-
Nota: È innanzitutto necessario connettersi all'host di vCenter Server utilizzando il cmdlet Connect-CISServer.
Verifica della scadenza della password dell'utente root
La scadenza della password dell'account radice di vCenter Server deve essere configurata correttamente.
Le procedure consigliate moderne per le password (la sezione 5.1.1.2 del NIST 800-63B, tra le altre guide) indicano che con un'entropia della password adeguata la sicurezza non viene migliorata richiedendo arbitrariamente agli utenti di modificare la password a determinati intervalli. Molti strumenti di sicurezza automatizzati e framework di conformità normativa non riflettono queste linee guida e potrebbero sovrascrivere questo consiglio.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Se la password non viene reimpostata prima della scadenza, sono necessarie le procedure di ripristino.
- Valutazione del comando tramite PowerCLI
-
Nota: È innanzitutto necessario connettersi all'host di vCenter Server utilizzando il cmdlet Connect-CISServer.
Configurazione di backup e ripristino basati su file
Configurare il backup e il ripristino basati su file in modo da poter ripristinare vCenter Server Appliance e la sua configurazione utilizzando il programma di installazione di vCenter Server. Il backup e il ripristino sono una parte importante per la protezione dell'ambiente.
Configurazione del firewall per consentire solo il traffico da reti autorizzate
vCenter Server Appliance deve configurare il firewall per consentire solo il traffico proveniente da reti autorizzate.
Assicurarsi che tutto il traffico di rete in entrata e in uscita sia bloccato a meno che non sia esplicitamente consentito, riducendo la superficie di attacco e impedendo accessi non autorizzati al sistema. Il traffico in uscita non è bloccato, né lo sono connessioni correlate o stabilite, pertanto vCenter Server Appliance è ancora in grado di comunicare con i sistemi in cui avvia la connessione. Utilizzare i firewall perimetrali per limitare questi tipi di connessioni.
Configurazione del server di registro remoto
Configurare un server di registro remoto per vCenter Server.
La registrazione remota in un host centrale migliora la sicurezza di vCenter Server archiviando i registri in modo sicuro. La registrazione remota semplifica il monitoraggio tra gli host e supporta l'analisi aggregata per rilevare attacchi coordinati. La registrazione centralizzata impedisce la manomissione e funge da resoconti di controllo affidabile a lungo termine.
Configurazione della sincronizzazione dell'ora
vCenter Server devono disporre di fonti di sincronizzazione dell'ora affidabili.
La crittografia, la registrazione di controllo, le operazioni del cluster, le risposte agli incidenti e le attività forensi dipendono molto dalla sincronizzazione dell'ora. Il protocollo NTP (Network Time Protocol) deve avere almeno quattro origini. Se è necessario scegliere tra due origini e un'origine, è preferibile un'origine.
- Valutazione del comando tramite PowerCLI
-
Nota: È innanzitutto necessario connettersi all'host di vCenter Server utilizzando il cmdlet Connect-CISServer.
Installazione degli aggiornamenti software
Assicurarsi che in vCenter Server siano installati tutti gli aggiornamenti del software.
Mantenendo aggiornate le patch di vCenter Server, è possibile attenuare le vulnerabilità. Gli utenti malintenzionati possono sfruttare le vulnerabilità note quando tentano di ottenere accessi non autorizzati o privilegi elevati.
Quando si applicano gli aggiornamenti, aggiornare innanzitutto vCenter Server, se è disponibile un aggiornamento, quindi procedere con l'aggiornamento di ESXi. Questa sequenza garantisce che il livello di gestione venga aggiornato prima di aggiornare gli host ESXi.
Rotazione della password vpxuser
vCenter Server deve configurare la password vpxuser in modo che venga fatta ruotare in un intervallo appropriato.
L'impostazione VirtualCenter.VimPasswordExpirationInDays configura il periodo di rotazione. Assicurarsi che vCenter Server faccia ruotare correttamente la password impostata automaticamente negli host ESXi.
- Valutazione del comando tramite PowerCLI
-
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays
