vCenter Single Sign-On を介した認証、および vCenter Server 権限モデルによる認証により、vCenter Server システムとそれに関連するサービスが保護されます。デフォルトの動作を変更できます。また使用中の環境へのアクセスを制限するための手順を取ることもできます。

vSphere 環境を保護するときは、vCenter Server インスタンスに関連付けられているすべてのサービスが保護される必要があることを考慮します。一部の環境では、いくつかの vCenter Server インスタンスを保護する場合があります。

vCenter Server での暗号化された通信の使用

デフォルト(「out of the box」の状態)で、vCenter Server システムと他の vSphere コンポーネント間のすべてのデータ通信は暗号化されます。状況によっては、環境の構成により、トラフィックの一部が暗号化されない場合があります。たとえば、メール アラートに暗号化されていない SMTP を構成し、監視に暗号化されていない SNMP を構成できます。DNS トラフィックも暗号化されません。vCenter Server は、ポート 80 (TCP) とポート 443 (TCP) で待機します。ポート 443 (TCP) は業界標準の HTTPS(セキュア HTTP)ポートで、保護には TLS 暗号化を使用します。vSphere TLS 構成を参照してください。ポート 80 (TCP) は業界標準の HTTP ポートで、暗号化を使用しません。ポート 80 の目的は、要求をポート 80 から安全なポート 443 にリダイレクトすることです。

vCenter Server システムの強化

vCenter Server 環境を保護するための最初の手順は、vCenter Server または関連付けられているサービスが動作する各マシンを強化することです。物理マシンであれ仮想マシンであれ、同様のことを考慮する必要があります。必ず、オペレーティング システムに最新のセキュリティ パッチをインストールし、業界標準のベスト プラクティスに従ってホスト マシンを保護してください。

vSphere 証明書モデルについて

VMware Certificate Authority (VMCA) は、デフォルトでは、VMCA 署名付き証明書を持つ各 ESXi ホストおよび環境内の各マシンをプロビジョニングします。会社のポリシーで要求されている場合は、デフォルトの動作を変更できます。詳細については、ドキュメント『vSphere の認証』を参照してください。

さらに保護を強化する場合は、有効期限切れの証明書、失効した証明書、および失敗したインストールを明示的に削除してください。

vCenter Single Sign-On の構成

vCenter Server および関連付けられているサービスは、vCenter Single Sign-On 認証フレームワークによって保護されます。最初にソフトウェアをインストールする際に、vCenter Single Sign-On ドメインの管理者パスワード(デフォルトで [email protected])を指定します。最初は、アイデンティティ ソースとして、このドメインのみ使用できます。フェデレーション認証のために Microsoft Active Directory Federation Services (AD FS) などの外部 ID プロバイダを追加できます。その他のアイデンティティ ソース(Active Directory または LDAP)を追加して、デフォルトのアイデンティティ ソースを設定できます。これらの ID ソースのいずれかを認証できるユーザーが、オブジェクトを表示したり、タスクを実行したりすることができます(そのような権限がある場合)。詳細については、『vSphere の認証』を参照してください。

注: vSphere がトークンベースの認証に移行することに伴い、フェデレーション認証の使用を推奨します。 vCenter Server は引き続き、管理アクセスとエラー リカバリのためにローカル アカウントを使用します。

名前付きユーザーまたはグループへの vCenter Server ロールの割り当て

適切にログインするために、オブジェクトに付与した各権限を、名前付きユーザーまたはグループと、事前定義のロールまたはカスタム ロールに関連付けます。vSphere のアクセス許可モデルは、ユーザーまたはグループを認可する複数の方法を備え、柔軟性が非常に高くなっています。vSphere での認可についておよび一般的なタスクに必要な vCenter Server の権限を参照してください。

管理者権限と管理者ロールの使用を、制限してください。可能な場合は、匿名の管理者ユーザーは使用しないでください。

Precision Time Protocol または Network Time Protocol の設定

環境内の各ノードに Precision Time Protocol (PTP) または Network Time Protocol (NTP) を設定します。vSphere 証明書インフラストラクチャは、正確なタイム スタンプを必要とし、ノードが同期されない場合は適切に機能しません。

vSphere ネットワーク上の時刻の同期を参照してください。