vCenter Server システムおよび関連付けられているサービスは、vCenter Single Sign-On による認証と、vCenter Server アクセス許可モデルを使用した認可によって保護されます。デフォルトの動作を変更できます。また使用中の環境へのアクセスを制限するための手順を取ることもできます。
vSphere 環境を保護するときは、vCenter Server インスタンスに関連付けられているすべてのサービスが保護される必要があることを考慮します。一部の環境では、いくつかの vCenter Server インスタンスを保護する場合があります。
- vCenter Server と暗号化された通信
- デフォルト(「out of the box」の状態)、 vCenter Server と他の vSphere コンポーネント間のすべてのデータ通信は暗号化されます。状況によっては、環境の構成により、トラフィックの一部が暗号化されない場合があります。たとえば、メール アラートに暗号化されていない SMTP を構成し、監視に暗号化されていない SNMP を構成できます。DNS トラフィックも暗号化されません。 vCenter Server は、ポート 80 (TCP) とポート 443 (TCP) で待機します。ポート 443 (TCP) は業界標準の HTTPS(セキュア HTTP)ポートで、保護には TLS 1.2 暗号化を使用します。ポート 80 (TCP) は業界標準の HTTP ポートで、暗号化を使用しません。ポート 80 の目的は、要求をポート 80 から安全なポート 443 にリダイレクトすることです。
- すべての vCenter Server のホスト マシンを強化する
- vCenter Server 環境を保護するための最初の手順は、 vCenter Server または関連付けられているサービスが動作する各マシンを強化することです。物理マシンであれ仮想マシンであれ、同様のことを考慮する必要があります。必ず、オペレーティング システムに最新のセキュリティ パッチをインストールし、業界標準のベスト プラクティスに従ってホスト マシンを保護してください。
- vCenter Server の証明書モデルについて
- VMware Certificate Authority は、デフォルトでは、VMCA 署名付き証明書を持つ各 ESXi ホストおよび環境内の各マシンをプロビジョニングします。会社のポリシーで要求されている場合は、デフォルトの動作を変更できます。詳細については、ドキュメント『 vSphere の認証』を参照してください。
- vCenter Single Sign-On の構成
- vCenter Server および関連付けられているサービスは、 vCenter Single Sign-On 認証フレームワークによって保護されます。最初にソフトウェアをインストールする際に、vCenter Single Sign-On ドメインの管理者パスワード(デフォルトで [email protected])を指定します。最初は、アイデンティティ ソースとして、このドメインのみ使用できます。フェデレーション認証のために Microsoft Active Directory Federation Services (AD FS) などの外部 ID プロバイダを追加できます。その他のアイデンティティ ソース(Active Directory または LDAP)を追加して、デフォルトのアイデンティティ ソースを設定できます。これらの ID ソースのいずれかを認証できるユーザーが、オブジェクトを表示したり、タスクを実行したりすることができます(そのような権限がある場合)。詳細については、『 vSphere の認証』を参照してください。
- 名前付きユーザーまたはグループへのロールの割り当て
- 適切にログインするために、オブジェクトに付与した各権限を、名前付きユーザーまたはグループと、事前定義のロールまたはカスタム ロールに関連付けます。vSphere のアクセス許可モデルは、ユーザーまたはグループを認可する複数の方法を備え、柔軟性が非常に高くなっています。 vSphere での認可についておよび 一般的なタスクに必要な権限を参照してください。
- PTP または NTP の設定
- 環境内の各ノードに PTP または NTP を設定します。証明書インフラストラクチャは、正確なタイム スタンプを必要とし、ノードが同期されない場合は適切に機能しません。