vCenter Server システムを保護するすべてのベスト プラクティスに従って、vCenter Server Appliance を保護します。追加の手順を実行すると、お使いのアプライアンスのセキュリティを高めることができます。
- NTP の構成
- すべてのシステムで同じ相対時間ソースが使用されていることを確認します。この時間ソースは、協定世界時 (UTC) のような合意された時間標準と同期している必要があります。システムの同期は、証明書の検証を行うために不可欠です。NTP により、ログ ファイルの攻撃者の追跡も容易になります。時間の設定が正しくないと、ログ ファイルの調査や関連付けを行って攻撃を検出することが難しくなり、監査が不正確になります。 vCenter Server Appliance と NTP サーバとの時刻同期を参照してください。
- vCenter Server Appliance のネットワーク アクセスの制限
-
vCenter Server Appliance との通信に必要なコンポーネントへのアクセスを制限します。不要なシステムからのアクセスをブロックすると、オペレーティング システムに対する攻撃の可能性を軽減できます。
vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。
- Bastion ホストの構成
- アセットを保護するため、Bastion ホスト(ジャンプ ボックスとも呼ばれます)で、引き上げられた管理タスクが実行されるよう構成します。Bastion ホストは、最小数の管理アプリケーションをホストする専用コンピュータです。その他の不要なサービスはすべて削除されます。ホストは通常、管理ネットワーク上に配置されます。Bastion ホストでは、ログインを主要なユーザーに制限し、ログインするためのファイアウォール ルールを要求し、監査ツールによる監視を追加することで、アセットの保護が強化されます。