VMware Cloud Foundation の情報セキュリティ設計の要素

この要件と推奨事項のリストを、VMware Cloud Foundation 環境でのアクセスコントロール、証明書、およびアカウントの管理に関する参照資料として使用してください。

設計の詳細については、「VMware Cloud Foundation の情報セキュリティの設計」を参照してください。

表 1. VMware Cloud Foundation でのアカウントとパスワード管理の設計の要件
推奨 ID	設計の推奨事項	理由	影響
VCF-ACTMGT-REQD-SEC-001	スケジュール設定されたローテーションをサポートするすべてのアカウントで、SDDC Manager でスケジュール設定されたパスワードローテーションを有効にします。	SDDC のセキュリティ状態が向上します。 SDDC 管理コンポーネント全体でパスワード管理を簡素化します。	アカウントをインタラクティブに使用する必要がある場合は、API を使用して新しいパスワードを取得する必要があります。
VCF-ACTMGT-REQD-SEC-003	SDDC Manager のスケジュール設定されたローテーションをサポートしていないコンポーネントで、SDDC Manager を使用してパスワードをローテーションする運用方法を確立します。	パスワードをローテーションし、それらのユーザーアカウントの SDDC Manager データベースを自動的に修正します。	なし。
VCF-ACTMGT-REQD-SEC-003	SDDC Manager によってローテーションできないコンポーネントで、パスワードを手動でローテーションする運用方法を確立します。	SDDC Manager のパスワード管理で処理されないコンポーネント間でパスワードポリシーを維持します。	なし。

表 2. VMware Cloud Foundation の証明書管理設計の推奨事項
推奨 ID	設計の推奨事項	理由	影響
VCF-SDDC-RCMD-SEC-001	すべての管理仮想アプライアンスにあるデフォルトの VMCA 署名付き証明書を、内部認証局によって署名された証明書に置き換えます。	すべての管理コンポーネントとの通信が安全であることを確認します。	デフォルトの証明書を認証局からの信頼済み CA 署名付き証明書に置き換える場合は、証明書要求の生成と送信が必要になるため、展開の準備にかかる時間が長くなる場合があります。
VCF-SDDC-RCMD-SEC-002	署名付き証明書には SHA-2 以上のアルゴリズムを使用します。	SHA-1 アルゴリズムは安全性が低いと見なされるため、廃止されました。	すべての認証局が SHA-2 以上をサポートしているわけではありません。
VCF-SDDC-RCMD-SEC-003	SDDC Manager を使用して、すべての管理アプライアンスの SSL 証明書ライフサイクル管理を実行します。	SDDC Manager は、手動による一連の手順の代わりに、SSL 証明書のライフサイクル管理の自動化をサポートします。	NSX グローバルマネージャインスタンスの証明書管理は手動で行う必要があります。