VMware Cloud Foundation の情報セキュリティの設計

組織の要件に従って、VMware Cloud Foundation のアクセス制御、証明書、およびアカウントの管理を設計します。

VMware Cloud Foundation のアクセス管理

VMware Cloud Foundation のアクセス管理は、業界標準および組織の要件に従って設計します。


コンポーネント	アクセス方法	追加情報
SDDC Manager	ユーザーインターフェイス API SSH	SSH はデフォルトでアクティブになっています。root ユーザーアクセスは許可されていません。
NSX ローカルマネージャ	ユーザーインターフェイス API SSH	SSH はデフォルトで無効になっています。
NSX Edge	API SSH	SSH はデフォルトで無効になっています。
NSX グローバルマネージャ	ユーザーインターフェイス API SSH	SSH 設定は展開時に定義されます。
vCenter Server	ユーザーインターフェイス API SSH VAMI	SSH はデフォルトでアクティブになっています。
ESXi	ダイレクトコンソールユーザーインターフェイス（DCUI） ESXi Shell SSH VMware Host Client	SSH および ESXi Shell は、デフォルトで無効になっています。
VMware Aria Suite Lifecycle	ユーザーインターフェイス API SSH	SSH はデフォルトでアクティブになっています。
Workspace ONE Access	ユーザーインターフェイス API SSH	SSH はデフォルトでアクティブになっています。

VMware Cloud Foundation のアカウント管理の設計

業界標準および組織の要件に従って、VMware Cloud Foundation のアカウント管理を設計します。

パスワード管理方法

SDDC Manager は、VMware Cloud Foundation インスタンスに含まれるコンポーネントのパスワードのライフサイクルを管理します。パスワードライフサイクルを管理するための複数の方法がサポートされています。

表 1. VMware Cloud Foundation のパスワード管理方法
方法	説明
ローテーション	自動生成されたパスワードを使用して 1 つ以上のアカウントを更新します
更新	手動で入力したパスワードを使用して 1 つのアカウントのパスワードを更新します
修正	コンポーネントで手動で設定されたパスワードを使用して、単一のアカウントを調整します。
スケジュール	選択した 1 つ以上のアカウントの自動ローテーションをスケジュール設定します。
手動	コンポーネントでパスワードを手動で直接更新します。

アカウントとパスワード管理

VMware Cloud Foundation は、複数のタイプのインタラクティブアカウント、ローカルアカウント、サービスアカウントで構成されます。各アカウントには異なる属性があり、次の方法で管理できます。

パスワードの複雑さ、アカウントのロックアウト、または追加の ID プロバイダとの統合の詳細については、「VMware Cloud Foundation のための ID およびアクセス管理」を参照してください。

表 2. VMware Cloud Foundation でのアカウントとパスワードの管理
コンポーネント	ユーザーアカウント	パスワードの管理	追加情報
SDDC Manager	admin@local	SDDC Manager API を使用した手動デフォルトの有効期限：なし	ローカルアプライアンスアカウント API アクセス（緊急用アカウント）
	vcf	OS を使用した手動デフォルトの有効期限：365 日	ローカルアプライアンスアカウント OS レベルのアクセス
	root	OS を使用した手動デフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス
	backup	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：365 日	ローカルアプライアンスアカウント OS レベルのアクセス
	[email protected]	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	vCenter Single Sign-On アカウント。アプリケーションおよび API アクセス。パスワードの手動ローテーションを実行するには、追加の VMware Cloud Foundation管理者アカウントが必要です。
NSX ローカルマネージャ	admin	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベル、API、およびアプリケーションアクセス
	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス
	audit	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス読み取り専用アプリケーションレベルのアクセス
NSX Edge	admin	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベル、API、およびアプリケーションアクセス
	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス
	audit	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス読み取り専用アプリケーションレベルのアクセス
NSX グローバルマネージャ	admin	NSX グローバルマネージャユーザーインターフェイスまたは API を使用した手動デフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベル、API、およびアプリケーションアクセス
	root	各 NSX グローバルマネージャアプライアンスを使用した手動デフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス
	audit	NSX グローバルマネージャユーザーインターフェイスまたは API を使用した手動デフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス読み取り専用アプリケーションレベルのアクセス
vCenter Server	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	ローカルアプライアンスアカウント OS レベルのアクセス VAMI アクセス
	[email protected]	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：90 日	vCenter Single Sign-On アカウント。アプリケーションおよび API アクセス。隔離されたワークロードドメインに関連
	svc-`sddc-manager-hostname`-`vcenter-server-hostname`@vsphere.local	システム管理。デフォルトでは 30 日ごとに自動ローテーションデフォルトの有効期限：なし	SDDC Manager と vCenter Server 間のサービスアカウント
	svc-`nsx-manager-hostname`-`vcenter-server-hostname`@vsphere.local	システム管理。デフォルトでは 30 日ごとに自動ローテーションデフォルトの有効期限：なし	NSX Manager と vCenter Server 間のサービスアカウント
	svc-`vrslcm-hostname`-`vcenter-server-hostname`@vsphere.local	システム管理デフォルトでは 30 日ごとに自動ローテーションデフォルトの有効期限：なし	VMware Aria Suite Lifecycle と vCenter Server 間のサービスアカウント
ESXi	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：99999（なし）	手動
ESXi	svc-vcf-`esxi-hostname`	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：99999（なし）	SDDC Manager と ESXi ホスト間のサービスアカウント
VMware Aria Suite Lifecycle	vcfadmin@local	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：なし	API およびアプリケーションアクセス
VMware Aria Suite Lifecycle	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：365 日	ローカルアプライアンスアカウント OS レベルのアクセス
Workspace ONE Access	root	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：60 日	ローカルアプライアンスアカウント OS レベルのアクセス
	sshuser	VMware Aria Suite Lifecycle によって管理デフォルトの有効期限：60 日	ローカルアプライアンスアカウント OS レベルのアクセス
	admin（ポート 8443）	VMware Aria Suite Lifecycle によって管理	システム管理者
	管理者（ポート 443）	SDDC Manager ユーザーインターフェイス、vCenter Server の SDDC Manager プラグイン、または API を使用したローテーション、更新、修正、またはスケジューリングデフォルトの有効期限：なし	デフォルトのアプリケーション管理者
	configadmin	Workspace ONE Access と VMware Aria Suite Lifecycle の両方を使用して、configadmin ユーザーのパスワードローテーションスケジュールを管理する必要があります。デフォルトの有効期限：なし	アプリケーションの構成管理者

アカウント管理設計の推奨事項

アカウント管理の設計では、特定のベストプラクティスを適用できます。

表 3. VMware Cloud Foundation でのアカウントとパスワード管理の設計の要件
推奨 ID	設計の推奨事項	理由	影響
VCF-ACTMGT-REQD-SEC-001	スケジュール設定されたローテーションをサポートするすべてのアカウントで、SDDC Manager でスケジュール設定されたパスワードローテーションを有効にします。	SDDC のセキュリティ状態が向上します。 SDDC 管理コンポーネント全体でパスワード管理を簡素化します。	アカウントをインタラクティブに使用する必要がある場合は、API を使用して新しいパスワードを取得する必要があります。
VCF-ACTMGT-REQD-SEC-003	SDDC Manager のスケジュール設定されたローテーションをサポートしていないコンポーネントで、SDDC Manager を使用してパスワードをローテーションする運用方法を確立します。	パスワードをローテーションし、それらのユーザーアカウントの SDDC Manager データベースを自動的に修正します。	なし。
VCF-ACTMGT-REQD-SEC-003	SDDC Manager によってローテーションできないコンポーネントで、パスワードを手動でローテーションする運用方法を確立します。	SDDC Manager のパスワード管理で処理されないコンポーネント間でパスワードポリシーを維持します。	なし。

VMware Cloud Foundation の証明書管理

VMware Cloud Foundation の証明書管理は、業界標準および組織の要件に従って設計します。

管理コンポーネントインターフェイスへのすべてのアクセスは、Secure Socket Layer (SSL) 接続を介して行う必要があります。展開時、各コンポーネントにはデフォルトの署名 CA からの証明書が割り当てられます。各コンポーネントへの安全なアクセスを実現するには、デフォルトの証明書を、信頼できる CA 署名付きエンタープライズ証明書に置き換えます。

表 4. VMware Cloud Foundation での証明書の管理
コンポーネント	デフォルトの署名 CA	CA 署名付きエンタープライズ証明書のライフサイクル
SDDC Manager	管理ドメイン VMCA	SDDC Manager vCenter Server の SDDC Manager プラグイン
NSX ローカルマネージャ	管理ドメイン VMCA	SDDC Manager vCenter Server の SDDC Manager プラグイン
NSX Edge	該当なし	該当なし
NSX グローバルマネージャ	自己署名済み	手動
vCenter Server	ローカルワークロードドメイン VMCA	SDDC Manager vCenter Server の SDDC Manager プラグイン
ESXi	ローカルワークロードドメイン VMCA	手動*
VMware Aria Suite Lifecycle	管理ドメイン VMCA	SDDC Manager vCenter Server の SDDC Manager プラグイン

注：

* ESXi で CA 署名付きエンタープライズ証明書を使用するには、信頼済みルート証明書を提供する API を使用して、VMware Cloud Foundation の初期展開を行う必要があります。

表 5. VMware Cloud Foundation の証明書管理設計の推奨事項
推奨 ID	設計の推奨事項	理由	影響
VCF-SDDC-RCMD-SEC-001	すべての管理仮想アプライアンスにあるデフォルトの VMCA または署名付き証明書を、内部認証局によって署名された証明書に置き換えます。	すべての管理コンポーネントとの通信が安全であることを確認します。	デフォルトの証明書を認証局からの信頼済み CA 署名付き証明書に置き換える場合は、証明書要求の生成と送信が必要になるため、展開の準備にかかる時間が長くなる場合があります。
VCF-SDDC-RCMD-SEC-002	署名付き証明書には SHA-2 以上のアルゴリズムを使用します。	SHA-1 アルゴリズムは安全性が低いと見なされるため、廃止されました。	すべての認証局が SHA-2 以上をサポートしているわけではありません。
VCF-SDDC-RCMD-SEC-003	SDDC Manager または vCenter Server の SDDC Manager プラグインを使用して、すべての管理アプライアンスの SSL 証明書ライフサイクル管理を実行します。	SDDC Manager は、手動による一連の手順の代わりに、SSL 証明書のライフサイクル管理の自動化をサポートします。	NSX グローバルマネージャインスタンスの証明書管理は手動で行う必要があります。