システムのセキュリティを強化するには、さまざまな vCenter Server コンポーネントへのアクセスを厳密に管理します。

次のガイドラインは、ご使用の環境のセキュリティを確保するのに役立ちます。

名前付きアカウントの使用

  • ローカルの Windows 管理者アカウントが、現在、vCenter Server に対する完全な管理者権限を持っている場合は、それらのアクセス権を削除してから、同じアクセス権を 1 つ以上の名前付き vCenter Server 管理者アカウントに付与します。完全な管理者権限は、その権限を必要とする管理者にのみ付与します。メンバーシップが厳格に管理されていないグループには、管理者権限を付与しないようにします。

    注:

    vSphere 6.0 から、デフォルトでは、ローカル管理者は vCenter Server に対する完全な管理者権限を持たなくなりました。ローカル オペレーティング システム ユーザーの使用はお勧めしません。

  • vCenter Server のインストールには、Windows アカウントではなくサービス アカウントを使用します。サービス アカウントは、ローカル マシンの管理者である必要があります。

  • vCenter Server システムへの接続時に、アプリケーションが一意のサービス アカウントを使用するようにしてください。

アクセスの抑制

ユーザーが直接 vCenter Server ホスト マシンにログインできないようにします。vCenter Server にログインしたユーザーが設定やプロセスの変更を行うことで、意図的または無意識に悪影響を及ぼす可能性があります。SSL 証明書などの vCenter の認証情報にアクセスする可能性もあります。正当なタスクを実行するユーザーにのみシステムへのログインを許可し、ログイン イベントを確実に監査します。

vCenter Server 管理者ユーザーの権限の監視

すべての管理者ユーザーが管理者ロールを持つ必要はありません。代わりに、適切な一連の権限を持つカスタム ロールを作成して、そのロールを他の管理者に割り当てます。

vCenter Server 管理者ロールを持つユーザーには、階層内のすべてのオブジェクトに対する権限があります。たとえば、管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラムを操作できます。このロールを割り当てたユーザーが多すぎると、仮想マシン データの機密性、可用性、または正当性が低減する可能性があります。必要な権限を管理者に付与するロールを作成しますが、仮想マシンの管理権限の一部は除外します。

vCenter Server データベース ユーザーへの最小限の権限の付与

データベース ユーザーに必要なのは、データベースへのアクセスに関連する特定の一部権限のみです。これらのほかに、インストールとアップグレードにのみ必要な権限があります。このような権限は、製品のインストールやアップグレード後に削除できます。

データストア ブラウザ アクセスの制限

データストア ブラウザ機能を使用すると、適切な権限があるユーザーは、vSphere デプロイに関連付けられているデータストア上のファイルを Web ブラウザまたは vSphere Web Client を使用して表示、アップロード、またはダウンロードできます。データストア > データストアの参照権限は、それらの権限が本当に必要なユーザーまたはグループにのみ割り当てるようにしてください。

ユーザーによる仮想マシンでのコマンドの実行を制限

vCenter Server 管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラムを操作できます。ゲストの機密性、可用性、または整合性が損なわれるリスクを軽減するため、ゲスト操作権限を持たない非ゲスト アクセス ロールを作成します。ユーザーによる仮想マシン内のコマンドの実行を制限 を参照してください。

vpxuser のパスワード ポリシーの確認

vCenter Server は、vpxuser のパスワードをデフォルトで 30 日ごとに自動的に変更します。この設定がポリシーを満たしていることを確認するか、企業のパスワード有効期限ポリシーを満たすようにポリシーを構成します。vCenter Server パスワード ポリシーの設定 を参照してください。

注:

パスワード有効期限ポリシーが短すぎないかを確認します。

vCenter Server の再起動後に権限を確認

vCenter Server を再起動するときは、権限の再割り当てを確認します。ルート フォルダで管理者ロールが割り当てられているユーザーまたはユーザー グループが、再起動時に有効なユーザーまたはグループとして確認できない場合は、そのユーザーまたはグループから管理者ロールが削除されます。vCenter Server は、ルート フォルダで、vCenter Single Sign-On アカウントの administrator@vsphere.local に管理者ロールを付与します。このアカウントは管理者として機能できるようになります。

名前付き管理者アカウントを再設定し、管理者ロールをそのアカウントに割り当てて、匿名の administrator@vsphere.local アカウントの使用を回避します。

高い RDP 暗号化レベルの使用

インフラストラクチャ内の各 Windows コンピュータで、リモート デスクトップ ホスト構成の各設定値を確実に設定し、環境に適した最高レベルの暗号化が確保されていることを確認します。

vSphere Web Client 証明書の確認

vSphere Web Client または他のクライアント アプリケーションのいずれかを使用しているユーザーに、証明書検証の警告は決して無視しないように指導してください。証明書を検証しないでいると、ユーザーは MiTM 攻撃の対象となる可能性があります。