この要件と推奨事項のリストを、VMware Cloud Foundation 環境でのアクセス コントロール、証明書、およびアカウントの管理に関する参照資料として使用してください。
設計の詳細については、「VMware Cloud Foundation の情報セキュリティの設計」を参照してください。
推奨 ID |
設計の推奨事項 |
理由 |
影響 |
---|---|---|---|
VCF-ACTMGT-REQD-SEC-001 |
スケジュール設定されたローテーションをサポートするすべてのアカウントで、SDDC Manager でスケジュール設定されたパスワード ローテーションを有効にします。 |
|
アカウントをインタラクティブに使用する必要がある場合は、API を使用して新しいパスワードを取得する必要があります。 |
VCF-ACTMGT-REQD-SEC-003 |
SDDC Manager のスケジュール設定されたローテーションをサポートしていないコンポーネントで、SDDC Manager を使用してパスワードをローテーションする運用方法を確立します。 |
パスワードをローテーションし、それらのユーザー アカウントの SDDC Manager データベースを自動的に修正します。 |
なし。 |
VCF-ACTMGT-REQD-SEC-003 |
SDDC Manager によってローテーションできないコンポーネントで、パスワードを手動でローテーションする運用方法を確立します。 |
SDDC Manager のパスワード管理で処理されないコンポーネント間でパスワード ポリシーを維持します。 |
なし。 |
推奨 ID |
設計の推奨事項 |
理由 |
影響 |
---|---|---|---|
VCF-SDDC-RCMD-SEC-001 |
すべての管理仮想アプライアンスにあるデフォルトの VMCA または署名付き証明書を、内部認証局によって署名された証明書に置き換えます。 |
すべての管理コンポーネントとの通信が安全であることを確認します。 |
デフォルトの証明書を認証局からの信頼済み CA 署名付き証明書に置き換える場合は、証明書要求の生成と送信が必要になるため、展開の準備にかかる時間が長くなる場合があります。 |
VCF-SDDC-RCMD-SEC-002 |
署名付き証明書には SHA-2 以上のアルゴリズムを使用します。 |
SHA-1 アルゴリズムは安全性が低いと見なされるため、廃止されました。 |
すべての認証局が SHA-2 以上をサポートしているわけではありません。 |
VCF-SDDC-RCMD-SEC-003 |
SDDC Manager または vCenter Server の SDDC Manager プラグインを使用して、すべての管理アプライアンスの SSL 証明書ライフサイクル管理を実行します。 |
SDDC Manager は、手動による一連の手順の代わりに、SSL 証明書のライフサイクル管理の自動化をサポートします。 |
NSX グローバル マネージャ インスタンスの証明書管理は手動で行う必要があります。 |