vCenter Server システムおよび関連付けられているサービスは、vCenter Single Sign-On による認証と、vCenter Server アクセス許可モデルを使用した認可によって保護されます。デフォルトの動作を変更できます。また使用中の環境へのアクセスを制限するための追加的な手順を取ることもできます。

vSphere 環境を保護するときは、vCenter Server インスタンスに関連付けられているすべてのサービスが保護される必要があることを考慮します。一部の環境では、いくつかの vCenter Server インスタンスと 1 つ以上の Platform Services Controller インスタンスを保護する場合があります。

すべての vCenter Server のホスト マシンを強化する

vCenter Server 環境を保護するための最初の手順は、vCenter Server または関連付けられているサービスが動作する各マシンを強化することです。物理マシンであれ仮想マシンであれ、同様のことを考慮する必要があります。必ず、オペレーティング システムに最新のセキュリティ パッチをインストールし、業界標準のベスト プラクティスに従ってホスト マシンを保護してください。

vCenter Server の証明書モデルについて

VMware Certificate Authority は、デフォルトでは、各 ESXi ホスト、環境内の各マシン、および VMCA 署名付き証明書を持つ各ソリューション ユーザーをプロビジョニングします。環境の動作のための設定は不要ですが、企業ポリシーの必要性に応じて、デフォルトの動作を変更できます。詳細については、ドキュメント『Platform Services Controller の管理』を参照してください。

さらに保護を強化する場合は、有効期限切れの証明書、失効した証明書、および失敗したインストールを明示的に削除してください。

vCenter Single Sign-On の構成

vCenter Server および関連付けられているサービスは、vCenter Single Sign-On 認証フレームワークによって保護されます。最初にソフトウェアをインストールする際に、vCenter Single Sign-On ドメインの管理者パスワード(デフォルトで administrator@vsphere.local)を指定します。最初は、アイデンティティ ソースとして、このドメインのみ使用できます。その他のアイデンティティ ソース(Active Directory または LDAP)を追加して、デフォルトのアイデンティティ ソースを設定できます。その後は、これらのアイデンティティ ソースのいずれかを認証できるユーザーが、オブジェクトを表示したり、タスクを実行したりすることができます(そのような権限がある場合)。詳細については、ドキュメント『Platform Services Controller の管理』を参照してください。

名前付きユーザーまたはグループへのロールの割り当て

適切にログインするために、オブジェクトに付与した各権限を、名前付きユーザーまたはグループと、事前定義のロールまたはカスタム ロールに関連付けます。vSphere 6.0 のアクセス許可モデルは、ユーザーまたはグループを認可する複数の方法を備え、柔軟性が非常に高くなっています。vSphere での認可についておよび一般的なタスクに必要な権限を参照してください。

管理者権限と管理者ロールの使用を、制限してください。可能な場合は、匿名の管理者ユーザーは使用しないでください。

NTP の設定

環境内の各ノードに NTP を設定します。証明書インフラストラクチャは、正確なタイム スタンプを必要とし、ノードが同期されない場合は適切に機能しません。

vSphere ネットワーク上の時刻の同期を参照してください。