セキュリティ上のベスト プラクティスとして、vRealize Operations コンソールをセキュリティ保護し、SSH、管理アカウント、およびコンソール アクセスを管理する必要があります。システムが安全な転送チャネルでデプロイされることを確認してください。 FIPS 140-2 の有効化FIPS 140-2 認定は、暗号化モジュールをクラッキング、改変などの改ざんから保護するために設計された特定の要件を暗号化ソリューションが満たしていることを検証します。FIPS 140-2 モードが有効になっている場合、vRealize Operations 8.4 以降とのセキュアな通信には、米国連邦情報処理規格 (FIPS) によって許可された暗号化アルゴリズムまたはプロトコルが使用されます。FIPS モードでは、FIPS 140-2 に準拠した暗号スイートが有効になります。vRealize Operations 8.4 以降に付属のセキュリティ関連のライブラリは、FIPS 140-2 認証を取得しています。ただし、FIPS 140-2 モードはデフォルトでは有効になっていません。FIPS 140-2 モードは、FIPS モードが有効な状態で FIPS 認定の暗号アルゴリズムを使用するセキュリティ コンプライアンス要件がある場合に有効にできます。 vRealize Operations コンソールのセキュリティ保護vRealize Operations をインストールした後、初回のログイン時にクラスタ内の各ノードのコンソールをセキュリティ保護する必要があります。 root パスワードの変更コンソールを使用して、vRealize Operations のプライマリ ノードまたはデータ ノードの root パスワードをいつでも変更できます。 SSH、管理アカウント、およびコンソール アクセスの管理リモート接続のために、すべてのセキュリティ強化アプライアンスに Secure Shell (SSH) プロトコルが含まれています。セキュリティ強化アプライアンスでは、デフォルトで SSH が無効化されています。 ブート ローダー認証の設定 適切なレベルのセキュリティを確保するために、VMware 仮想アプライアンスでブート ローダー認証を構成します。システム ブート ローダーで認証を必要としない場合、システムへのコンソール アクセスを持つユーザーがシステムのブート構成を変更できてしまう可能性があります。また、シングル ユーザー モードまたはメンテナンス モードでシステムをブートし、それによってサービス妨害または権限のないシステム アクセスが行われる可能性があります。 最低限必要なユーザー アカウントの監視既存のユーザー アカウントを監視して、不要なユーザー アカウントが削除されるようにする必要があります。 最低限必要なグループの監視既存のグループとメンバーを監視して、不要なグループやグループ アクセスが削除されるようにする必要があります。 vRealize Operations Manager 管理者パスワードのリセットセキュリティ上のベスト プラクティスとして、vApp インストールの vRealize Operations 管理者パスワードをリセットできます。 VMware アプライアンスでの NTP の構成クリティカルな時刻ソーシングを行う場合は、VMware アプライアンスでホスト時刻同期を無効にし、Network Time Protocol (NTP) を使用します。時間同期用の信頼できるリモート NTP サーバを構成する必要があります。NTP サーバは権限のある時間サーバであるか、または少なくとも権限のある時間サーバと同期していることが必要です。 Linux 上の TCP タイムスタンプ応答を無効にするTCP タイムスタンプ応答を使用して、リモート ホストの稼働時間を見積もり、以後の攻撃に利用します。また、一部のオペレーティング システムは、その TCP タイム スタンプの動作に基づいてフィンガープリントされることがあります。 転送中のデータの TLSセキュリティ上のベスト プラクティスとして、システムが安全な転送チャネルでデプロイされることを確認してください。 localhost 接続での TLS の有効化デフォルトでは、PostgreSQL データベースへの localhost 接続は TLS を使用しません。TLS を有効にするには、OpenSSL で自己署名の証明書を生成するか、独自の証明書を用意する必要があります。 保護する必要のあるアプリケーション リソースセキュリティ上のベスト プラクティスとして、アプリケーション リソースが保護されるようにします。 Apache の構成 構成モードを無効にするベスト プラクティスとして、vRealize Operations をインストール、構成、または保守するときは、インストールのトラブルシューティングおよびデバッグが有効になるように構成または設定を変更できます。 非必須ソフトウェア コンポーネントの管理セキュリティ上のリスクを最小限にするために、vRealize Operations Manager ホスト マシンの非必須ソフトウェアを削除するか構成します。 その他の安全な構成アクティビティホスト サーバ上の不要なポートをブロックします。
