vCenter Server システムおよび関連付けられているサービスは、vCenter Single Sign-On による認証と、vCenter Server アクセス許可モデルを使用した認可によって保護されます。デフォルトの動作を変更できます。また使用中の環境へのアクセスを保護するための追加的な手順を取ることもできます。

vSphere 環境を保護するときは、vCenter Server インスタンスに関連付けられているすべてのサービスが保護される必要があることを考慮します。一部の環境では、いくつかの vCenter Server インスタンスと 1 つ以上の Platform Services Controller インスタンスを保護する場合があります。

すべての vCenter ホスト マシンを強化する

vCenter 環境を保護するための最初の手順は、vCenter Server または関連付けられているサービスが動作する各マシンを強化することです。物理マシンであれ仮想マシンであれ、同様のことを考慮する必要があります。必ず、オペレーティング システムに最新のセキュリティ パッチをインストールし、業界標準のベスト プラクティスに従ってホスト マシンを保護してください。

vCenter 証明書モデルについて

VMware Certificate Authority は、デフォルトでは、各 ESXi ホスト、環境内の各マシン、および VMCA 署名付き証明書を持つ各ソリューション ユーザーをプロビジョニングします。環境の動作のための設定は不要ですが、企業ポリシーの必要性に応じて、デフォルトの動作を変更できます。vSphere セキュリティ証明書 を参照してください。

さらに保護を強化する場合は、有効期限切れの証明書、失効した証明書、および失敗したインストールを必ず明示的に削除してください。

vCenter Single Sign-On の構成

vCenter Server および関連付けられているサービスは、vCenter Single Sign-On 認証フレームワークによって保護されます。初めてソフトウェアをインストールするときに、administrator@vsphere.local ユーザーのパスワードを指定すると、そのドメインのみがアイデンティティ ソースとして使用できます。その他のアイデンティティ ソース(Active Directory または LDAP)を追加して、デフォルトのアイデンティティ ソースを設定できます。今後は、アイデンティティ ソースを認証できるユーザーが、オブジェクトの表示やタスクの実行を行うことができます(そのような権限がある場合)。vCenter Single Sign-On による vSphere 認証 を参照してください。

ユーザーまたはグループへのロールの割り当て

適切にログインするために、オブジェクトに付与した各アクセス許可を、名前付きユーザーまたはグループと、事前定義のロールまたはカスタム ロールに関連付けます。vSphere 6.0 のアクセス許可モデルは、ユーザーまたはグループを認可する複数の方法を備え、柔軟性が非常に高くなっています。vSphere での認可について および一般的なタスクに必要な権限 を参照してください。

管理者権限と管理者ロールの使用を、必ず制限してください。可能な場合は、匿名の管理者ユーザーは使用しないでください。

NTP の設定

環境内の各ノードに NTP を設定します。証明書インフラストラクチャは、正確なタイム スタンプを必要とし、ノードが同期されない場合は適切に機能しません。

vSphere ネットワーク上の時計の同期 を参照してください。