セキュリティの強化のため、vCenter Server システムを管理ネットワーク以外のネットワークに置くことを避け、vSphere 管理トラフィックが制限されたネットワークにあることを確認してください。ネットワーク接続を制限することで、特定のタイプの攻撃を制限できます。

vCenter Server は、管理ネットワークにのみアクセスする必要があります。他のネットワーク (本番環境のネットワークやストレージ ネットワーク、またはインターネットにアクセスできるネットワークなど) に vCenter Server システムを配置することを避けてください。vCenter Server は vMotion が動作しているネットワークにアクセスする必要はありません。

vCenter Server は次のシステムへのネットワーク接続が必要です。
  • すべての ESXi ホスト。
  • vCenter Server データベース。
  • 他の vCenter Server システム(タグや権限などを複製するために vCenter Server システムが共通の vCenter Single Sign-On ドメインの一部である場合)。
  • 管理クライアントの実行が許可されたシステム。たとえば、vSphere Client、PowerCLI を使用する Windows システム、またはその他の SDK ベースのクライアント。
  • DNS、Active Directory、および PTP または NTP などのインフラストラクチャ サービス。
  • vCenter Server システムの機能に不可欠なコンポーネントを実行するその他のシステム。

vCenter Server でファイアウォールを使用します。必要なコンポーネントのみが vCenter Server システムと通信できるように、IP ベースのアクセス制限を含めます。

CLI と SDK を使用した Linux クライアントの使用の評価

クライアント コンポーネントと vCenter ServerシステムまたはESXi ホスト間の通信は、デフォルトでは SSL ベースの暗号化で保護されます。これらのコンポーネントの Linux バージョンでは、証明書の検証は実行されません。これらのクライアントの使用制限を検討してください。

セキュリティ向上のため、 vCenter Serverシステムと ESXi ホストにある VMware 認証局 (VMCA) の署名済み証明書を、エンタープライズまたはサードパーティ CA によって署名された証明書に置き換えることができます。ただし、Linux クライアントとの特定の通信は、中間者攻撃に対して脆弱なままです。次のコンポーネントは、Linux オペレーティング システムで実行される場合は攻撃を受けやすくなります。
  • ESXCLI コマンド
  • vSphere SDK for Perl スクリプト
  • vSphere Web Services SDK を使用して記述されたプログラム
適切な制御を行っている場合、Linux クライアントの使用に対する制限を緩和できます。
  • 認証済みシステムのみに管理ネットワークのアクセスを制限します。
  • ファイアウォールを使用して、認証済みホストのみが vCenter Serverにアクセスできるようにします。
  • Bastion ホスト(JumpBox システム)を使用して、Linux クライアントが「Jump」の制限を受けていることを確認します。

vSphere Client プラグインの確認

vSphere Client の拡張機能は、ログインしているユーザーと同じ権限レベルで実行されます。悪意のある拡張機能は便利なプラグインを装いながら、認証情報の不正入手、システム構成の変更などの有害な操作を実行できます。セキュリティを強化するには、信頼できるソースからの認証済み拡張機能のみが含まれたインストールを使用します。

vCenter Server のインストールには、vSphere Client の拡張フレームワークが含まれています。このフレームワークを使用すると、メニュー選択項目またはツールバーのアイコンでクライアントを拡張できます。拡張機能は、vCenter Server アドオン コンポーネントや外部の Web ベースの機能へのアクセスを提供できます。

拡張フレームワークを使用すると、意図しない機能が導入されるリスクがあります。たとえば、管理者が vSphere Client のインスタンスにプラグインをインストールすると、そのプラグインは管理者の権限レベルで任意のコマンドを実行できます。

vSphere Client を潜在的な危険性から保護するには、インストールされているすべてのプラグインを定期的に確認し、各プラグインは信頼できるソースからのものであることを確認します。

前提条件

vCenter Single Sign-On サービスにアクセスする権限が必要です。これらの権限は、vCenter Server の権限とは異なります。

手順

  1. administrator@vsphere.local または vCenter Single Sign-On の権限を持つユーザーとして vSphere Client にログインします。
  2. ホーム ページから、[管理] を選択し、[ソリューション][クライアント プラグイン] を選択します。
  3. クライアント プラグインのリストを調べます。