Le Guide sulla protezione avanzata della sicurezza di VMware forniscono istruzioni prescrittive sulla distribuzione e il funzionamento dei prodotti di VMware in modo sicuro. Nel caso di vSphere, questa guida è denominata Guida alla configurazione della sicurezza di vSphere (in precedenza nota come Guida alla protezione avanzata). A partire da vSphere 8.0 Update 3, le informazioni della Guida alla configurazione della sicurezza di vSphere note come controlli di sicurezza sono ora incluse in questa guida.
I controlli di sicurezza forniscono procedure consigliate di sicurezza per vSphere. I controlli di sicurezza non sono mappati direttamente alle linee guida o ai framework normativi. Pertanto, non utilizzarli come un modo per raggiungere la conformità. Inoltre, i controlli di sicurezza non sono destinati a essere utilizzati come elenco di controllo della sicurezza.
La sicurezza è sempre un compromesso. L'implementazione di controlli di sicurezza può influire negativamente sull'usabilità, sulle prestazioni o su altre attività operative. Prima di apportare modifiche alla sicurezza, considerare attentamente i carichi di lavoro, i modelli di utilizzo, la struttura dell'organizzazione e così via, a prescindere dal fatto che i consigli vengano forniti da VMware o da altre società del settore.
Se l'organizzazione ha esigenze di conformità normativa, vedere il sito https://core.vmware.com/compliance. Il sito include kit di conformità e guide per il controllo dei prodotti che consentono agli amministratori di vSphere e a chi deve valutare il rispetto delle norme di proteggere e verificare l'infrastruttura virtuale rispetto ai framework normativi, come NIST 800-53v4, NIST 800-171, PCI DSS, HIPAA, CJIS, ISO 27001 e molti altri.
- Software in esecuzione all'interno della macchina virtuale, ad esempio il sistema operativo guest e le applicazioni
- Traffico in esecuzione nelle reti delle macchine virtuali
- Sicurezza dei componenti aggiuntivi
I controlli di sicurezza di vSphere non sono pensati per essere utilizzati come strumento di "conformità". Questi controlli di sicurezza consentono di eseguire i passaggi iniziali verso la conformità ma, se utilizzati da soli, non garantiscono la conformità della distribuzione. Per ulteriori informazioni sulla conformità, vedere Sicurezza e conformità nell'ambiente vSphere.
Non applicare controlli di sicurezza all'ambiente alla cieca. Prendersi invece un po' di tempo per valutare ogni impostazione e decidere consapevolmente se applicarla o meno. È possibile utilizzare almeno le istruzioni contenute nelle sezioni Valutazione per verificare la sicurezza della propria distribuzione.
Questi controlli di sicurezza sono un aiuto per iniziare a implementare la conformità nella propria distribuzione. Se utilizzati con la Defense Information Systems Agency (DISA) e altre linee guida relative alla conformità, è possibile mappare i controlli di sicurezza di vSphere alla conformità per ogni linea guida.
Definizioni dei termini dei controlli di sicurezza
Nelle sezioni dei controlli della sicurezza seguenti, vengono utilizzati i termini e le definizioni seguenti.
| Termine relativo al controllo | Definizione |
|---|---|
| Valore predefinito installazione | Valore predefinito del controllo in questa versione di vSphere quando si installa il prodotto per la prima volta. |
| Valore base di confronto suggerito | Un consiglio ragionevole per configurare questo controllo, se non sono presenti altre istruzioni. Le linee guida per la conformità normativa potrebbero ad esempio sostituire questi consigli. |
| Azione necessaria | Azione suggerita per un determinato controllo. Modifica: apportare la modifica. Per i controlli che si trovano al di fuori di vSphere, ad esempio le impostazioni hardware, questa documentazione presuppone sempre che il controllo sia impostato in modo non sicuro per impostazione predefinita e consiglia di modificare la configurazione. Controllo: verificare che il valore predefinito sia in uso, che il valore previsto sia presente o che siano documentate eccezioni al controllo. Quando si controlla un controllo il cui valore predefinito è il valore suggerito, sono possibili due linee di pensiero. Prima: solo impostando i parametri in modo esplicito è possibile controllarne e conoscerne i dati. Seconda: tutte le modifiche della configurazione richiedono "cura e alimentazione" nel tempo, quindi laddove esista un valore predefinito sicuro, è possibile utilizzarlo per semplificare un ambiente. Questa documentazione segue il secondo approccio, ma è possibile scegliere un percorso personalizzato. I controlli che non sono distribuiti non hanno alcun effetto sulla sicurezza. Sono elencati come "controllo" in questa documentazione, ma possono essere rimossi. |
| Potenziale impatto funzionale se il valore predefinito viene modificato | Questa modifica può causare problemi? La maggior parte dei controlli di sicurezza presenta compromessi in qualche modo. Che cosa potrebbe richiedere la modifica di questo controllo in cambio? |
| Valutazione del comando tramite PowerCLI | Un esempio di comando tramite PowerCLI per determinare la modalità di impostazione del controllo. |
| Esempio di correzione del comando tramite PowerCLI | Un esempio di comando tramite PowerCLI per impostare il controllo in base al consiglio. |
