仮想インフラストラクチャ管理者として、vRealize Operations Manager を使用して、vCenter Server インスタンスおよび仮想マシンを実行する VMware ESXi ホストを含む、環境内のオブジェクトを監視します。ホストの コンプライアンス タブで、いずれかのホストがVMware vSphereセキュリティ強化ガイドの標準に違反していないかどうかを確認します。問題を識別し、修正する必要があります。

このタスクについて

vRealize Operations Manager には、VMware vSphereセキュリティ強化ガイドのアラートベースのコンプライアンスが含まれます。

このシナリオでは、ホスト上で違反のあったルール、および仮想マシンで違反のあった別のルールを解決します。独自のシナリオでは、他に違反のあったルールについて、この手順を繰り返します。

vRealize Operations Managerでは、6.0 ルールに対して vSphere 6.0 オブジェクトを評価し、5.5 ルールに対して vSphere 5.5 オブジェクトを評価します。

前提条件

  • vRealize Operations Manager にアクセスするために使用しているマシンで .XLSX ファイルが開けることを確認します。

  • vSphereセキュリティ強化ガイドのアラートを有効にして、アラート ベースのコンプライアンスが環境内でアクティブになるようにします。vRealize Operations Manager ソリューションの監視目標の定義 を参照してください。

手順

  1. vRealize Operations Manager の左側のペインで、環境 アイコンをクリックします。
  2. ホスト オブジェクトを参照します。

    ホストを管理するオブジェクト グループを作成している場合は、そのグループ内のホストを選択します。

  3. ホストが選択された状態で、分析 タブ、コンプライアンス タブの順にクリックします。

    コンプライアンス バッジでは、100 または緑以外の値が表示されます。

  4. ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています という名前の違反のあった標準をクリックします。

    [コンプライアンスの内訳] 領域が拡張され、vSphere 6.0 オブジェクトおよび 5.5 オブジェクトの違反を含めて、違反のあったすべてのルールが表示されます。

  5. ページを確認して、このホストと環境内に対し、標準への非準拠のクリティカル度とその範囲を判断します。

    オプション

    評価

    コンプライアンスの内訳

    ホストの違反したルールの数はいくつでクリティカル度はどうなっているか。そのうち、クリティカルで対処が必要な違反したルールはいくつか。

    関連オブジェクトのコンプライアンス

    他のホストも同様のコンプライアンス状態か準拠違反の子オブジェクトはあるか。

    ホスト システム リソース

    ホストは期待どおりに構成されているか。

    このページでは、ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています という名前の違反したルールの解決が必要であることが示されています。

  6. アラート タブをクリックします。

    コンプライアンス標準はアラートに基づき、推奨を含めることができます。たとえば、ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています という名前のアラートには、VMware vSphereセキュリティ強化ガイドにリンクする推奨が含まれます。

  7. アラート タブで、ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています という名前のアラートをクリックします。

    [アラートの詳細 - 概要] タブには、違反したルールがシンプトムとして表示され、アラートを解決するための推奨が含まれます。

  8. [推奨] 領域で、vSphereセキュリティ強化ガイドhttp://www.vmware.com/security/hardening-guides.html)へのリンクをクリックし、必要なバージョンへのリンクをクリックします。

    vSphereセキュリティ強化ガイドは、vRealize Operations Manager へのアクセスに使用しているマシンに Excel スプレッドシートとしてダウンロードされます。

  9. vRealize Operations Manager によっていずれかの仮想マシンが DCUI ルールに違反していることが識別されたので、コンプライアンス ルールと修正方法を特定します。
    • vSphere 6.0 オブジェクトでは、vSphereセキュリティ強化ガイドの 6.0 バージョンで、信頼できるユーザーがロックダウン モードを上書きできるように DCUI.Access を設定する という名前のルールを見つけます。

    • vSphere 5.5 オブジェクトでは、vSphereセキュリティ強化ガイドの 5.5 バージョンで、ESXi タブをクリックし、ローカルの管理操作を防止するため DCUI を無効にする という名前のルールを見つけます。

  10. vSphereセキュリティ強化ガイドのルールに関する情報を確認し、修正方法を実装します。

タスクの結果

これで、ホストおよび仮想マシン上でトリガした違反コンプライアンス ルールを識別し、解決しました。vSphereセキュリティ強化ガイドの記載に従って、違反したルールを修正した後、vRealize Operations Manager で数回の収集サイクルが実行されるまで待ちます。数回の収集サイクルの後、違反したルールは、違反した標準のリストに表示されなくなります。