セキュリティ上のベスト プラクティスとして、VMware Aria Operations コンソールをセキュリティ保護し、SSH、管理アカウント、およびコンソール アクセスを管理する必要があります。システムが安全な転送チャネルでデプロイされることを確認してください。 次に参照するドキュメント FIPS 140-2 の有効化FIPS 140-2 認定は、暗号化モジュールをクラッキング、改変などの改ざんから保護するために設計された特定の要件を暗号化ソリューションが満たしていることを検証します。FIPS 140-2 モードが有効になっている場合、VMware Aria Operations 8.4 以降とのセキュアな通信には、米国連邦情報処理規格 (FIPS) によって許可された暗号化アルゴリズムまたはプロトコルが使用されます。FIPS モードでは、FIPS 140-2 に準拠した暗号スイートが有効になります。VMware Aria Operations 8.4 以降に付属のセキュリティ関連のライブラリは、FIPS 140-2 認証を取得しています。ただし、FIPS 140-2 モードはデフォルトでは有効になっていません。FIPS 140-2 モードは、FIPS モードが有効な状態で FIPS 認定の暗号アルゴリズムを使用するセキュリティ コンプライアンス要件がある場合に有効にできます。 ファイアウォールのセキュリティ強化の有効化ファイアウォールのセキュリティ強化を有効にすると、VMware Aria Operations 内の内部サービスへのネットワーク アクセスが制限されます。 VMware Aria Operations コンソールのセキュリティ保護VMware Aria Operations をインストールした後、初回のログイン時にクラスタ内の各ノードのコンソールをセキュリティ保護する必要があります。 root パスワードの変更コンソールを使用して、VMware Aria Operations のプライマリ ノードまたはデータ ノードの root パスワードをいつでも変更できます。 SSH、管理アカウント、およびコンソール アクセスの管理リモート接続のために、すべてのセキュリティ強化アプライアンスに Secure Shell (SSH) プロトコルが含まれています。セキュリティ強化アプライアンスでは、デフォルトで SSH が無効になっています。 ブート ローダー認証の設定 適切なレベルのセキュリティを確保するために、VMware 仮想アプライアンスでブート ローダー認証を構成します。システム ブート ローダーで認証を必要としない場合、システムへのコンソール アクセスを持つユーザーがシステムのブート構成を変更できてしまう可能性があります。また、シングル ユーザー モードまたはメンテナンス モードでシステムをブートし、それによってサービス妨害または権限のないシステム アクセスが行われる可能性があります。 最低限必要なユーザー アカウントの監視既存のユーザー アカウントを監視して、不要なユーザー アカウントが削除されるようにする必要があります。 最低限必要なグループの監視既存のグループとメンバーを監視して、不要なグループやグループ アクセスが削除されるようにする必要があります。 VMware Aria Operations 管理者パスワードのリセットセキュリティ上のベスト プラクティスとして、vApp インストールの VMware Aria Operations 管理者パスワードをリセットできます。 VMware Aria Operations での NTP の構成時間のソース設定が重要である場合は、VMware アプライアンスでホスト時刻同期を無効にし、Network Time Protocol (NTP) を使用します。時間同期用の信頼できるリモート NTP サーバを構成する必要があります。NTP サーバは権限のある時間サーバであるか、または少なくとも権限のある時間サーバと同期していることが必要です。 Linux 上の TCP タイムスタンプ応答を無効にするTCP タイムスタンプ応答を使用して、リモート ホストの稼働時間を見積もり、以後の攻撃に利用します。また、一部のオペレーティング システムは、その TCP タイム スタンプの動作に基づいてフィンガープリントされることがあります。 転送中のデータの TLSセキュリティ上のベスト プラクティスとして、システムが安全な転送チャネルでデプロイされることを確認してください。 localhost 接続での TLS の有効化デフォルトでは、PostgreSQL データベースへの localhost 接続は TLS を使用しません。TLS を有効にするには、OpenSSL で自己署名の証明書を生成するか、独自の証明書を用意する必要があります。 保護する必要のあるアプリケーション リソースセキュリティ上のベスト プラクティスとして、アプリケーション リソースが保護されるようにします。 Apache の構成 構成モードを無効にするベスト プラクティスとして、VMware Aria Operations をインストール、構成、または保守するときは、インストールのトラブルシューティングおよびデバッグが有効になるように構成または設定を変更できます。 非必須ソフトウェア コンポーネントの管理セキュリティ上のリスクを最小限にするために、VMware Aria Operations ホスト マシンの非必須ソフトウェアを削除するか構成します。 その他の安全な構成アクティビティホスト サーバ上の不要なポートをブロックします。
