企業の仮想インフラストラクチャ管理者として、vSphere 6.0 オブジェクトがvSphereセキュリティ強化ガイドのコンプライアンス ルールを遵守していることを確認する必要があります。vRealize Operations Manager でコンプライアンス アラートを使用して、コンプライアンス標準の違反についてオブジェクトを監視します。コンプライアンス アラートが vCenter Server インスタンス、ホスト、仮想マシン、分散ポート グループ、または分散スイッチに対してトリガした場合、コンプライアンスの違反について調査します。また、違反したオブジェクトが業界のセキュリティ標準を引き続き満たすように違反を解決する必要があります。

始める前に

vRealize Operations Manager の現在のバージョンがインストールされ、実行中であることを確認します。

このタスクについて

本番/テスト/開発環境のセキュリティを管理および監視します。オブジェクトは複数の vCenter Server インスタンスから構成され、各インスタンスにはホスト、仮想マシン、分散ポート グループ、分散スイッチが含まれます。

CIO は、本番/テスト環境のすべての vCenter Server インスタンスとホスト マシン上で SSH を実行することを求めています。SSH 要件に遵守していることを確認するためにすべてのホストを監視します。実装されたセキュリティ標準をオブジェクトが遵守していることをマネージャおよびコンプライアンス チームに示すために毎週コンプライアンス レポートを生成します。

vSphere 6.0 オブジェクトのコンプライアンスを強制し、レポートするために、vSphereセキュリティ強化ガイドのコンプライアンス ルールを有効にします。次に、適切なアラートを有効にし、仮想マシンにリスク プロファイルを適用します。vRealize Operations Manager によってオブジェクトからコンプライアンス データを収集した後、発生したルール違反をすべて解決し、マネージャとコンプライアンス チーム向けにコンプライアンス結果のレポートを作成します。

vRealize Operations Manager に付属するアラート定義は、セキュリティ強化ガイドの特定のバージョンではなく、オブジェクト タイプに基づきます。これらのアラートを使用するために、カスタム グループを作成して該当グループにポリシーを適用する必要はなくなりました。

一部のアラートの定義は、vSphere 6.0 オブジェクトと vSphere 5.5 オブジェクトで共通です。vRealize Operations Manager では、vSphere 6.0 オブジェクトに対して 6.0 シンプトムをチェックし、5.5 オブジェクトに対して 5.5 シンプトム、両バージョンのオブジェクトに対して 6.0 シンプトムと 5.5 シンプトムの組み合わせをチェックします。

手順

  1. vRealize Operations Manager で、コンプライアンス ルールを有効にします。
    1. 管理 をクリックして、ソリューション をクリックします。
    2. VMware vSphere ソリューションをクリックし、構成 をクリックします。
    3. ソリューションの管理ダイアログ ボックスで、監視目標の定義 をクリックします。
    4. vSphere セキュリティ強化ガイド アラートを有効にしますか? で、はい をクリックし、保存 をクリックします。
    5. オブジェクトに対するコンプライアンス データを収集するようにデフォルトのポリシーが構成された旨が vRealize Operations Manager でレポートされたら、OK をクリックして、完了 をクリックします。
  2. デフォルト ポリシーでコンプライアンス アラート定義を有効にします。
    1. ポリシー > ポリシー ライブラリをクリックします。
    2. デフォルト ポリシー をクリックし、選択したポリシーの編集 をクリックします。
    3. [監視ポリシーの編集] ワークスペースの左側で、アラート/シンプトム定義 をクリックします。
    4. アラート定義ペインのフィルタ テキスト ボックスで、セキュリティ強化と入力します。

      オブジェクトにコンプライアンスを適用するためのアラート定義がいくつか表示されます。各アラートには、シンプトムの数と、アラートが適用されるオブジェクト タイプが表示されます。仮想マシン上で高/中/低のセキュリティを確認するために使用するリスク プロファイル 1/2/3 のアラート定義が表示されます。

    5. vCenter が vSphere セキュリティ強化ガイドに違反しています という名前のアラートをクリックします。
    6. [状態] 列で、下向き矢印をクリックし、ローカル を選択します。
    7. 仮想マシン、分散ポート グループ、および分散スイッチのコンプライアンス アラートを有効にするには、他のアラート定義を有効にし、保存 をクリックします。
  3. ESXi ホストのアラート定義のシンプトム設定を表示します。
    1. コンテンツ > アラートの定義 をクリックします。
    2. フィルタ テキスト ボックスに、セキュリティ強化と入力します。
    3. vCenter が vSphere セキュリティ強化ガイドに違反しています という名前のアラートをクリックします。
    4. 下側のペインで、アラートの影響、重要度、およびシンプトムの設定を見つけます。
    5. シンプトムの設定をスクロールし、ホストについてアラートをトリガする可能性があるシンプトムを調査します。
    6. このシンプトム セットの下で、ホストに対してこのアラートをトリガする場合に、問題を修正するための推奨事項を確認してください。
    7. VMware vSphereセキュリティ強化ガイドへのリンクをクリックします。

      http://www.vmware.com/security/hardening-guides.html で Web ページが開き、VMware vSphereセキュリティ強化ガイドのリストが表示されます。

  4. 本番 vCenter Server インスタンスのホストに対するアラートにフォーカスを移動します。
    1. ナビゲーション ペインで、ホーム をクリックし、推奨事項 タブをクリックします。

      コンプライアンス違反

    2. [トップリスクアラート(子孫)] ペインで、次のアラートがトリガしたことを確認します。

      コンプライアンス アラートのトリガ

      アラートを解決する方法

      仮想マシンは、vSphere セキュリティ強化ガイドのリスク プロファイル 1 に違反しています

      12 台の仮想マシンのアラートを解決するには、vSphereセキュリティ強化ガイドへのリンクをクリックします。

      ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています

      6 台のホストのアラートを解決するには、vSphereセキュリティ強化ガイドへのリンクをクリックします。

    3. ESXi ホストが、vSphere セキュリティ強化ガイドに違反しています という名前のコンプライアンス アラートのリンクをクリックします。
    4. [リスクの問題] ダイアログ ボックスで、vSphereセキュリティ強化ガイドのルールに違反したホストを調べます。

      コンプライアンス アラート詳細のリスクの問題

    5. 表示される最初のホストで、詳細表示 をクリックし、[サマリ] タブで違反を確認します。
    6. SSH 違反を含めて、ホストについて複数のコンプライアンス違反を調べます。SSH ルール違反の説明で、ルールが vSphere 6.0 および 5.5 の両オブジェクトに適用されることを確認します。

      コンプライアンス アラート詳細サマリ

  5. SSH サービスのシンプトムによってコンプライアンス アラートがトリガした時期を決定するために、違反したシンプトムの横にある下向き矢印をクリックします。次に、vSphereセキュリティ強化ガイドを使用してアラートを解決します。
  6. コンプライアンス チーム向けのレポートを実行します。
    1. 左側のナビゲーション ペインで、ホスト オブジェクトをクリックします。
    2. レポート タブをクリックします。
    3. フィルタ テキスト ボックスに、セキュリティ強化と入力します。

      VMware vSphereセキュリティ強化ガイド - 非コンプライアンス レポートが表示されります。

    4. [レポート テンプレート] タブで、テンプレートの実行をクリックし、vRealize Operations Manager でレポートが生成されるまで待ちます。
    5. 生成されたレポートをクリックします。

      レポートが表示され、ダウンロード用の PDF/CSV バージョンが提示されます。

    6. [ダウンロード] 列で、PDF アイコンをクリックし、レポートの内容を確認します。

      ホストに対するコンプライアンス違反レポートが表示され、レポートを実行した日付と時間が含まれます。また、レポートを実行したユーザーが確認されます。このレポートでは、オブジェクトとその子孫に対して実行した非準拠のルールが示されます。レポートで、アラート、オブジェクト名、およびアラートがトリガしたタイプの重要度とステータスが表示されます。

    7. [ダウンロード] 列で、CSV アイコンをクリックし、スプレッドシートの内容を確認します。

      このスプレッドシートでは、結果のサマリを簡単に確認でき、別のアプリケーションにデータをインポートすることが可能です。

タスクの結果

VMware vSphereコンプライアンス ルールがセキュリティ強化ガイドに従って vCenter Server インスタンス内のオブジェクトに適用されていることを確認しました。

次のタスク

他のオブジェクトのコンプライアンス アラートの定義を確認するために、コンテンツ > アラート定義をクリックします。