システムのセキュリティを強化するには、さまざまな vCenter Server コンポーネントへのアクセスを厳密に管理します。

次のガイドラインは、ご使用の環境のセキュリティを確保するのに役立ちます。

名前付きアカウントの使用

  • ローカルの Windows 管理者アカウントに管理者ロール vCenter Server が割り当てられている場合は、そのロールを削除して、1 つ以上の名前付き vCenter Server 管理者アカウントに割り当てます。管理者ロールは、そのロールを必要とする管理者にのみ付与します。権限に制限のある管理者向けに、カスタム ロール作成したり、非暗号化管理者ロールを使用することができます。メンバーシップが厳格に管理されていないグループには、このロールを付与しないようにします。

    注:

    vSphere 6.0 から、デフォルトでは、ローカル管理者は vCenter Server に対する完全な管理者権限を持たなくなりました。

  • vCenter Server のインストールには、Windows アカウントではなくサービス アカウントを使用します。サービス アカウントは、ローカル マシンの管理者である必要があります。

  • vCenter Server システムへの接続時に、アプリケーションが一意のサービス アカウントを使用するようにしてください。

vCenter Server 管理者ユーザーの権限の監視

すべての管理者ユーザーが管理者ロールを持つ必要はありません。代わりに、適切な一連の権限を持つカスタム ロールを作成して、そのロールを他の管理者に割り当てます。

vCenter Server 管理者ロールを持つユーザーには、階層内のすべてのオブジェクトに対する権限があります。たとえば、管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラムを操作できます。このロールを割り当てたユーザーが多すぎると、仮想マシン データの機密性、可用性、または正当性が低減する可能性があります。必要な権限を管理者に付与するロールを作成しますが、仮想マシンの管理権限の一部は除外します。

アクセスの抑制

ユーザーが直接 vCenter Server ホスト マシンにログインできないようにします。vCenter Server ホスト マシンにログインしたユーザーが設定やプロセスの変更を行うことで、意図的または無意識に悪影響を及ぼす可能性があります。これらのユーザーが、SSL 証明書などの vCenter の認証情報にアクセスする可能性もあります。正当なタスクを実行するユーザーにのみシステムへのログインを許可し、ログイン イベントを確実に監査します。

vCenter Server データベース ユーザーへの最小限の権限の付与

データベース ユーザーに必要なのは、データベースへのアクセスに関連する特定の一部権限のみです。

インストールとアップグレードにのみ必要な権限があります。vCenter Server のインストールまたはアップグレード後に、データベース管理者からこれらの権限を削除できます。

データストア ブラウザ アクセスの制限

データストア > データストアの参照 権限は、それらの権限が本当に必要なユーザーまたはグループにのみ割り当てるようにしてください。この権限を持つユーザーは、Web ブラウザまたは vSphere Web Client を使用して、vSphere のデプロイに関連付けられているデータストア上のファイルを参照、アップロード、またはダウンロードできます。

ユーザーによる仮想マシンでのコマンドの実行を制限

vCenter Server 管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラムを操作できます。ゲストの機密性、可用性、または整合性が損なわれるリスクを軽減するため、ゲスト操作 権限を持たない、カスタムの非ゲスト アクセス ロールを作成します。ユーザーによる仮想マシン内のコマンドの実行を制限を参照してください。

vpxuser のパスワード ポリシー変更を検討

vCenter Server は、vpxuser のパスワードをデフォルトで 30 日ごとに自動的に変更します。この設定が会社のポリシーに一致していることを確認し、一致していない場合は、vCenter Server のパスワード ポリシーを構成します。vCenter Server パスワード ポリシーの設定を参照してください。

注:

パスワード有効期限ポリシーが短すぎないかを確認します。

vCenter Server の再起動後に権限を確認

vCenter Server を再起動するときは、権限の再割り当てを確認します。ルート フォルダに対する管理者ロールを持つユーザーまたはグループを再起動中に検証できない場合は、そのユーザーまたはグループから管理者ロールが削除されます。代わりに、vCenter ServervCenter Single Sign-On 管理者(デフォルトでは administrator@vsphere.local)に管理者ロールを付与します。その後、このアカウントは vCenter Server 管理者の役割を果たすことができます。

名前付き管理者アカウントを再設定し、管理者ロールをそのアカウントに割り当てて、匿名の vCenter Single Sign-On 管理者アカウント(デフォルトでは administrator@vsphere.local)の使用を回避します。

高い RDP 暗号化レベルの使用

インフラストラクチャ内の各 Windows コンピュータで、リモート デスクトップ ホスト構成の各設定値を確実に設定し、環境に適した最高レベルの暗号化が確保されていることを確認します。

vSphere Web Client 証明書の確認

vSphere Web Client または他のクライアント アプリケーションのいずれかを使用しているユーザーに、証明書検証の警告は決して無視しないように指導してください。証明書を検証しないでいると、ユーザーは MiTM 攻撃の対象となる可能性があります。