システムのセキュリティを強化するには、さまざまな vCenter Server コンポーネントへのアクセスを厳密に管理します。

次のガイドラインは、ご使用の環境のセキュリティを確保するのに役立ちます。

特定のアカウントを使用した vCenter Server へのアクセス

  • 管理者ロールは、そのロールを必要とする管理者にのみ付与します。権限に制限のある管理者向けに、カスタム ロール作成したり、非暗号化管理者ロールを使用することができます。メンバーシップが厳格に管理されていないグループには、このロールを付与しないようにします。
  • vCenter Server システムへの接続時に、アプリケーションが一意のサービス アカウントを使用するようにしてください。

vCenter Server 管理者ユーザーの権限の監視

すべての管理者ユーザーが管理者ロールを持つ必要はありません。代わりに、適切な一連の権限を持つカスタム ロールを作成して、そのロールを他の管理者に割り当てます。

vCenter Server 管理者ロールを持つユーザーには、階層内のすべてのオブジェクトに対する権限があります。たとえば、管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラムを操作できます。このロールを割り当てたユーザーが多すぎると、仮想マシン データの機密性、可用性、または正当性が低減する可能性があります。必要な権限を管理者に付与するロールを作成しますが、仮想マシンの管理権限の一部は除外します。

vCenter Server Appliance へのアクセスの最小化

ユーザーが直接 vCenter Server Appliance にログインできないようにします。vCenter Server Appliance にログインしたユーザーが設定やプロセスの変更を行うことで、意図的または無意識のうちに問題を引き起こす可能性があります。これらのユーザーが、SSL 証明書などの vCenter Server の認証情報にアクセスする可能性もあります。正当なタスクを実行するユーザーにのみシステムへのログインを許可し、ログイン イベントを確実に監査します。

データベース ユーザーに対する最小限の権限の付与

データベース ユーザーに必要なのは、データベースへのアクセスに関連する特定の一部権限のみです。

インストールとアップグレードにのみ必要な権限があります。vCenter Server のインストールまたはアップグレード後に、データベース管理者からこれらの権限を削除できます。

データストア ブラウザ アクセスの制限

データストア.データストアの参照 権限は、その権限が本当に必要なユーザーまたはグループにのみ割り当てるようにしてください。この権限を持つユーザーは、Web ブラウザまたは vSphere Client を使用して、vSphere のデプロイに関連付けられているデータストア上のファイルを参照、アップロード、またはダウンロードできます。

ユーザーによる仮想マシンでのコマンドの実行を制限

デフォルトでは、管理者ロールを持つユーザーは、仮想マシン内のゲスト OS のファイルおよびプログラムを操作できます。ゲストの機密性、可用性、または整合性が損なわれるリスクを軽減するため、仮想マシン.ゲスト操作権限を持たない、カスタムの非ゲスト アクセス ロールを作成します。ユーザーによる仮想マシン内のコマンドの実行を制限を参照してください。

vpxuser のパスワード ポリシー変更を検討

vCenter Server は、vpxuser のパスワードをデフォルトで 30 日ごとに自動的に変更します。この設定が会社のポリシーに一致していることを確認し、一致していない場合は、 vCenter Server のパスワード ポリシーを構成します。 vCenter Serverパスワード ポリシーの設定を参照してください。
注: パスワード有効期限ポリシーが短すぎないかを確認します。

vCenter Server の再起動後の権限の確認

vCenter Server を再起動するときは、権限の再割り当てを確認します。ルート フォルダに対する管理者ロールを持つユーザーまたはグループを再起動中に検証できない場合は、そのユーザーまたはグループから管理者ロールが削除されます。代わりに、vCenter ServervCenter Single Sign-On 管理者(デフォルトでは administrator@vsphere.local)に管理者ロールを付与します。その後、このアカウントは vCenter Server 管理者の役割を果たすことができます。

名前付き管理者アカウントを再設定し、管理者ロールをそのアカウントに割り当てて、匿名の vCenter Single Sign-On 管理者アカウント(デフォルトでは administrator@vsphere.local)の使用を回避します。

Remote Desktop Protocol での高い暗号化レベルの使用

インフラストラクチャ内の各 Windows コンピュータで、Remote Desktop Protocol (RDP) ホスト構成の各設定値を確実に設定し、環境に適した最高レベルの暗号化が確保されていることを確認します。

vSphere Client 証明書の確認

vSphere Client または他のクライアント アプリケーションのユーザーに、証明書検証の警告に注意するよう喚起してください。証明書の検証がないと、ユーザーは MiTM 攻撃の対象となる可能性があります。

vCenter Serverパスワード ポリシーの設定

vCenter Serverは、vpxuser のパスワードをデフォルトで 30 日ごとに自動的に変更します。値は vSphere Client から変更できます。

手順

  1. vSphere Client を使用して、vCenter Server システムにログインします。
  2. オブジェクト階層で、vCenter Server システムを選択します。
  3. [構成] をクリックします。
  4. [詳細設定] をクリックし、[設定の編集] をクリックします。
  5. [フィルタ] アイコンをクリックし、「VimPasswordExpirationInDays」と入力します。
  6. 要件を満たすように VirtualCenter.VimPasswordExpirationInDays を設定します。

期限が切れたかまたは失効した証明書とログを失敗したインストールから削除

vCenter Server システムで、有効期限の切れた証明書、失効した証明書、失敗したインストールの vCenter Server インストール ログを放置すると、環境が損なわれる恐れがあります。

有効期限の切れた証明書、または失効した証明書は、次の理由により、削除する必要があります。
  • 有効期限の切れた証明書、または失効した証明書を vCenter Server システムから削除しない場合、その環境が MiTM 攻撃の対象になる恐れがあります。

  • 場合によっては、vCenter Server のインストールに失敗すると、システムにおいて、プレーン テキストでデータベース パスワードが記載されたログ ファイルが作成される場合があります。vCenter Server システムに侵入しようとする攻撃者が、このパスワードへのアクセスを取得するのと同時に vCenter Server データベースにアクセスする恐れがあります。